PHP反序列化_02字符串逃逸(小白学习记录ing)

于 2023-12-27 20:02:48 发布
阅读量434 收藏 8
点赞数 12
分类专栏: PHP相关 文章标签: php 学习 android web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74408192/article/details/135211250
版权

今天讲讲字符串逃逸。题目中可能会用它把flag藏起来。

字符串逃逸减少

也可以记作长换短。

class S{
    public $v1='abcsystem()';
    public $v2='123';
}

$data=serialize(new S());
$data=str_replace("system()","",$data);
var_dump(unserialize($data));

上面这段代码,意思是初始化一个类后将它序列化,将'system'替换为'',在输出反序列化后的结果。

str_replace:替换函数,引用格式str_replace("被替换字符","替换字符",替换类)

bool(false)

运行后出现上面的情况,也就是说,反序列化过程中出现了错误,那么首先想到查看序列化结果分析一下

O:1:"S":2:{s:2:"v1";s:11:"abcsystem()";s:2:"v2";s:3:"123";}
O:1:"S":2:{s:2:"v1";s:11:"abc";s:2:"v2";s:3:"123";}

第一串字符串是不替换时的序列化成果,第二串是替换时的序列化成果。二者区别在于是否有'system()',问题就在这里,第二串的成员字符数量错误,如果数量仍为11,那么会连着后面的字符一起包括进来直到满足这个数量,此时第一个成员为下面红色部分

O:1:"S":2:{s:2:"v1";s:11:"abc";s:2:"v2";s:3:"123";}

对于序列化后的字符串来说,只要引号可以对应上,结尾为';}'即为结束,并可以反序列化。

那么现在的问题就是,如何改变成员属性,可以使之正常反序列化。我们观察可知,必须要留最后一个引号保证格式正确,那么就将倒数第二个引号及之前的字符都作为成员内容。

这里把3改为xx,是因为后面还要改第二个成员属性,只能大概确定字符个数为两位数(因为涉及藏数据),具体的要构造后才能修改。

O:1:"S":2:{s:2:"v1";s:?:"abc";s:2:"v2";s:xx:"123";}

我们发现红色部分一共为20个字符,除去'abc'还有17个。前面我们知道,'system()'一共8个字符,那么我们需要连续三个'system()'才能包括,但这时总体字符数就变成3+24=27个了,?值就有了,就是27。

那又超出去了,怎么办?我把接下来这一步叫“水多了加面,面多了加水”。

此时还缺7个字符,简单,修改第二个成员属性。现在还剩下'123',直接拉到7,1234567,这就够7个了。蓝色部分为第二个成员目前构造的部分。

"O:1:"S":2:{s:2:"v1";s:27:"abc";s:2:"v2";s:xx:"1234567";}"

前面说了,这种题一般都是藏flag的。那么,这一步最重要的就是,构造第三个成员。并且这个成员时作为第二个成员内容出现的。此时xx的值也可以数出来了。并且大括号钱的成员数量也需要修改,这样反序列化时才能把第三个成员显示出来。

成员很好构造,上一篇说过构造方法,重要的是不能忘记',}',因为对于第三个成员来说,引号内的';}'才是结束的标志。

O:1:"S":3:{s:2:"v1";s:27:"abc";s:2:"v2";s:30:"1234567";s:2:"v3";s:4:"flag";}";}

最后的代码如下,成员属性修改过程思路也在下面

class S{
    public $v1='abcsystem()system()system()';
    public $v2='1234567";s:2:"v3";s:4:"flag";}';
}
$data=serialize(new S());
//"O:1:"S":2:{s:2:"v1";s:11:"abcsystem()";s:2:"v2";s:3:"123";}"
$data=str_replace("system()","",$data);
//"O:1:"S":2:{s:2:"v1";s:11:"abc";s:2:"v2";s:3:"123";}"
//"O:1:"S":2:{s:2:"v1";s:?:"abc";s:2:"v2";s:xx:"123";}"
//"O:1:"S":2:{s:2:"v1";s:27:"abc";s:2:"v2";s:xx:"1234567";"123";}"
//"O:1:"S":2:{s:2:"v1";s:27:"abc";s:2:"v2";s:30:"1234567";s:2:"v3";s:4:"flag";}";}"
//$data='O:1:"S":3:{s:2:"v1";s:27:"abc";s:2:"v2";s:30:"1234567";s:2:"v3";s:4:"flag";}";}'
var_dump(unserialize($data));

反序列化后运行结果如下

object(S)#1 (3) {
  ["v1"]=>
  string(27) "abc";s:2:"v2";s:30:"1234567"
  ["v2"]=>
  string(30) "1234567";s:2:"v3";s:4:"flag";}"
  ["v3"]=>
  string(4) "flag"
}

字符串逃逸增加(待更新......)

守倏尔
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
JSON PHP中,Json字符串反序列化成对象/数组的方法
10-18
今天小编就为大家分享一篇JSON PHP中,Json字符串反序列化成对象/数组的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
JavaScript实现的反序列化json字符串操作示例
01-21
本文实例讲述了JavaScript实现的反序列化json字符串操作。分享给大家供大家参考,具体如下: JavaScript中如何反序列化json字符串呢? 有如下两种方法: (1) 使用万能的eval var jsonText = '{name:acwong,age:23,address:{province:GuangDong,city:GuangZhou},friends:[bc,cc,dc],blog://www.jb51.net}'; var person = eval((+jsonText+)); console.log
C#实现JSON字符串序列化与反序列化的方法
08-31
在这篇文章中,我们将会学到如何使用C#,来序列化对象成为Json格式的数据,以及如何反序列化Json数据到对象。
PHP字符逃逸导致的对象注入详解
weixin_42928781的博客
12-26 245
1.漏洞产生原因: 序列化的字符串在经过过滤函数不正确的处理而导致对象注入,目前看到都是因为过滤函数放在了serialize函数之后,要是放在序列化之前应该就不会产生这个问题 <?php function filter($string){ $a = str_replace('x','zz',$string); return $a; } $username = "tr1pl...
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1161
php反序列化字符逃逸
php反序列化-字符串逃逸-增减多个字符
最新发布
m0_61867082的博客
07-29 272
众所周知php反序列化字符串逃逸,分为2种类型(字符串增多,字符串减少)。但网上大多数文章讲的都是增加一个字符或者减少一个字符串。对于增加减少多个字符串进行逃逸的文章,却少有人提及。本篇文章在特定源码的基础上,对增加减少多个字符串的情况进行简单分析。需要你有一定的字符串逃逸理论基础。如有错误欢迎批评指正。先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面。先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面。假设前提必须使用admin才行。假设前提必须使用admin才行。
PHP反序列化之字符逃逸
weixin_72667582的博客
06-28 149
php反序列化之字符逃逸
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1675
php反序列化字符串逃逸
PHP反序列化中的字符串逃逸
有时候,想要一块二向箔
12-09 419
首先,对于序列化和反序列化还不太理解的话看看以下链接: PHP中序列化与反序列化 JAVA中的序列化与反序列化 简单来说: 在PHP中 序列化 将变量或对象转换成字符串的过程。 反序列化字符串转换成变量或对象的过程。 就是对数据处理的两种互逆过程 下面以一道题目来进行讲解反序列化中的字符串逃逸 题目链接:bugku-newphp 打开后页面展示源码 <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); hig
php反序列化--字符串逃逸
YkingH的博客
03-14 5071
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
PHP字符逃逸导致的对象注入
山有山的高度,海有海的胸怀。
11-23 2522
1.漏洞产生原因: 序列化的字符串在经过过滤函数不正确的处理而导致对象注入,目前看到都是因为过滤函数放在了serialize函数之后,要是放在序列化之前应该就不会产生这个问题 ?php function filter($string){ $a = str_replace('x','zz',$string); return $a; } $username = "tr1ple";...
逃逸字符%的详细解释
熊晓杰 -- (暴熊 || kongbu0621 || kongbu0622) 的专栏
12-08 2020
逃逸字符%的详细解释1、%是个ESCAPE字符,通常将之译为转义字符,但也有更形象的译名脱逸字符、逃逸字符等。也就是说%不仅仅将与其相关的特定字符串转义并替换为特定字符串,而且自身也会被“脱逸”。而且类似于C语言中的转义字符"/",双%会转义并脱逸为单%,四%则脱为双%。      2、for本身是一个特殊的命令,类似于一个特化的命令解释器,因为它的功能实现需要执行多条语句,因此它必须也具有对
php反序列化之字符逃逸
qq_53856457的博客
05-14 1548
php反序列化之字符逃逸法 1.按我的理解,反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。如下序列化: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列化结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
浅析php反序列化字符串逃逸
Lemon's blog
08-26 3025
前言: php反序列化字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
php反序列化字符串逃逸是什么
02-07
PHP 中,反序列化是指将序列化的字符串转换为原来的 PHP 对象。但是,如果字符串中含有恶意代码,反序列化过程就可能导致漏洞的产生。这种情况就称为“反序列化字符串逃逸”。 举个例子,假设你有一个函数可以将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值