PHP序列化长度变化导致字符逃逸

最新推荐文章于 2024-04-24 14:54:57 发布
最新推荐文章于 2024-04-24 14:54:57 发布
阅读量238 收藏
点赞数
分类专栏: web安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38850916/article/details/120726940
版权

基本思想

如果php代码对序列化后的内容进行过滤时,可能会导致用户可控的字符溢出

序列化

从这里可以看出来序列化的显示是根据最前面冒号后面的长度决定的,那么如果利用这一点,当php代码对序列化过后的字符串str进行过滤操作(转义)从而导致str的长度发生改变,导致str内容的实际长度和冒号后面的数字不一样时,就无法进行正常的反序列话操作得出原来的数据,下面举一个例子。

这里还是正常显示的。 当我们把test后面加一个单引号改为test'

可以看到显示已经不正常了,并没有正常输出username和sign,这是因为php代码bad_str()函数对序列化后的内容$seri进行了过滤,将单引号替换为了no,导致内容的长度加一,但是冒号后面的数字并未发生改变。

基于这点我们就可以对payload进行合理的拼接,以上面的代码为例

若我们传入的username的参数为

test";i:1;s:7:"no guys";}

test后面的双引号和payload最后的大括号都和前面进行了拼接相当于,这时候我们就可以利用整个溢出了,因为当在username的参数后面添加一个'就会被替换为no,意思是加一个分号就会多出来一个字符长度,那么我们如果想让上图后面的红框内容逃逸,就要让test的长度4加上(分号的个数)乘2=25(序列化后字符串冒号后的数字)加上分号的个数

列出方程就是

4+x=25+x  =>可得x等于21,也就是要在payload后加上21个冒号

可以看到$user[2]也就是sign的内容成功被改为了no guys

这是因为testnonononononononononononononononononononono的正好为冒号后面的数字46,no guys的长度为7,前面a:2也就导致了"no guys";}后面的内容被反序列化函数unserialize()抛弃了

参考文献https://www.cnblogs.com/litlife/p/11690918.htmlhttps://www.cnblogs.com/litlife/p/11690918.html

Le叶a子f
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password = $_POST['password']; if(strlen($username
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
php json与xml序列化/反序列化
10-26
在WEB开发中,php对象的序列化与反序列化经常使用,比较主流的有json格式与xml格式的序列化与反序列化。今天我们就来看看是如何用的。
php序列化与反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);echo <br>; print_r(unserialize($new)); 结果:a:3:{i:0;s:3:”Moe”;i:1;s:5:”Larry”;i:2;s:5:”Curly”;} Array ( [0] => Moe [1] => Larry [2] => Curly )
PHP序列化——基本格式
Win_X_的博客
12-23 332
CTF鶸,刚开始学序列化,感觉这里有些容易混淆,所以列出来以加强记忆
php序列化与反序列化字符集不一致问题的解决办法
weixin_34415923的博客
09-17 238
今天的用PHP的时候无意的出现了用unserialize()函数转换老是返回false,我确认我的字符串是没错的,测试了很多次还是一样,没办法,启用了error_reporting(E_ALL)启用错误信息, 没想到发现了Notice: unserialize() [function.unserialize]: Error at offset的信息, 因为我字符我是从数组转换过来的,所以应该是没...
php serialize参数,PHP 序列化(serialize)格式详解
weixin_35691715的博客
03-10 3172
PHP 序列化(serialize)格式详解1.前言PHP (从 PHP 3.05 开始)为保存对象提供了一组序列化和反序列化的函数:serialize、unserialize。不过在PHP 手册中对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言中实现 PHP方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP 序列化的程序,不过这些...
php php 序列化方法,PHP序列化的4种方法已公布,这是你PHP进阶之路必会的
weixin_42569329的博客
03-19 471
【摘要】php作为一种编程软件,也能实现很多功能,不过今天环球网校的小编要为大家讲解PHP序列化的4种方法已公布,这是你PHP进阶之路必会的?看完这个代码你就明白了,因为只要你了解了PHP序列化的4种方法已公布,这是你PHP进阶之路必会的,你对于PHP7的了解就更深入了。在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。本文讲述PHP序列化的四种方案,感兴趣的可以了解...
[0CTF 2016]piapiapia总结(PHP序列化长度变化导致尾部字符逃逸
qq_44657899的博客
04-30 1515
这道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了。 下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固。 一,信息收集 拿到题没有什么思路,先找找线索,从源码和题目里没看到什么提示。 试了试万能密码登录也无果,然后试着扫目录和用burp抓包找提示。 发现有www.zip源码泄露。 二,分析源码 对于代码审...
python的序列化和反序列化_浅析Python 序列化与反序列化
weixin_39902085的博客
12-11 148
序列化是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态(存在内存中)写入到临时或持久性存储区(硬盘)。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。实现对象的序列化和反序列化在python中有两种方式:json 和 pickle。其中json用于字符串 和 python数据类型间进行转换,pickle用于python特有的类型 和 python...
web学习(php序列化长度变化尾部字符逃逸)
weixin_44897902的博客
11-02 1156
BUUCTF piapiapia(php序列化长度变化尾部字符逃逸) 引用: https://blog.csdn.net/zz_Caleb/article/details/96777110 前提知识: md5(Array()) = null sha1(Array()) = null ereg(pattern,Array()) = null preg_match(pattern,Ar...
PHP 序列化(serialize)格式详解
weixin_34204057的博客
08-17 458
1.前言 PHP (从 PHP 3.05 开始)为保存对象提供了一组序列化和反序列化的函数:serialize、unserialize。不过在 PHP 手册中对这两个函数的说明仅限于如何使用,而对序列化结果的格式却没做任何说明。因此,这对在其他语言中实现 PHP 方式的序列化来说,就比较麻烦了。虽然以前也搜集了一些其他语言实现的 PHP 序列化的程序,不过这些实现都不完...
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
ALex_zry的博客
04-22 483
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
webman 事务回滚失效问题记录
juan9872的博客
04-21 834
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Android配置环境
最新发布
u012627628的博客
04-24 307
执行命令:sudo mv /home/用户名/Downloads/android-sdk-linux /usr/java。sudo mv /home/用户名/Downloads/jdk1.8.0_271 /usr/java。执行命令:/usr/java/android-sdk-linux/tools/android。执行命令:tar -zxvf android-sdk-linux.tgz。执行 source /etc/profile。验证是否安装成功(我验证是成功的)执行:java -version。
bugku ezbypass
m_de_g的博客
04-23 214
bugku ezbypass $++,$_++
JetBrains PhpStorm v2024.1 安装教程 (PHP集成开发IDE)
wyqshusan的博客
04-23 565
PhpStorm是由JetBrains推出的一款轻量级集成开发环境,专为PHP开发者而设计。该软件融合了智能的HTML/CSS/JavaScript/PHP编辑器、代码质量分析工具、版本控制系统集成(包括SVN和GIT)、调试和测试等功能。除此之外,PhpStorm还提供了诸如代码自动完成、语法高亮、实时导航、实时错误检查和代码重构等实用功能。在新版本中,PhpStorm引入了许多新功能,并对现有功能进行了优化和调整。其中包括新增了死代码检测功能,可以帮助检测出冗余代码,并突出显示之前可能未被使用过的类、
php序列化字符逃逸是什么
02-07
但是,如果字符串中含有恶意代码,反序列化过程就可能导致漏洞的产生。这种情况就称为“反序列化字符逃逸”。 举个例子,假设你有一个函数可以将用户提交的数据存储在一个 cookie 中,然后从 cookie 中读取并反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值