字符串逃逸基础

于 2024-07-31 09:51:13 发布
阅读量182 收藏 3
点赞数 3
分类专栏: # PHP反序列化 文章标签: 服务器 数据库 前端 php CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52579508/article/details/140814834
版权

字符串减少

反序列化分隔符
反序列化以;}结束,后面的字符串不影响正常的反序列化
属性逃逸
一般在数据先经过一次serialize再经过unserialize,
在这个中间反序列化的字符串变多或者变少的时候有可能存在反序列化属性逃逸。

image.png
这样是反序列不了 , 成员属性 不对 $b成员属性是两个
所以要改成
image.png

image.png

O:1:“A”:1:{s:2:“v1”;s:3:“a"b”;}

是字符还是格式符号 ,是由字符串长度3 来判断的
在前面字符串没有问题的情况下,;}是反序列化结束符,后面的字符串不影响反序列化结果
没有问题指的是三个一致:

成员属性数量一致
成员属性名称长度一致,
内容长度一致

属性逃逸
一般在数据先经过一次serialize再经过unserialize,
在这个中间反序列化的字符串变多或者变少的时候才有可能存在反序列化属性逃逸。
image.png
这里他肯定是不成功的
原本的序列化内容是这样的
O:1:"A":2:{s:2:"v1";s:11:"abcsystem()";s:2:"v2";s:3:"123";}
但是经过
str_replace(“system()”,“”,$data);
就是这样的
O:1:"A":2:{s:2:"v1";s:11:"abc";s:2:"v2";s:3:"123";}
长度都不一致了 看到反序列化不了 ,所以会直接flase

思考: 通过修改v2的值 "123"达到逃逸效果
image.png

image.png

image.png

字符串增多

字符串逃逸
反序列化字符串减少逃逸:多逃逸出一个成员属性
第一个字符串减少,吃掉有效代码,在第二个字符串构造代码
反序列化字符串增多逃逸:构造出一个逃逸成员属性
第一个字符串增多,吐出多余代码,把多余位代码构造成逃逸的成员属性

<?php
class A{
    public $v1 = 'ls';
    public $v2 = '123';

    public function __construct($arga,$argc){
        $this->v1 = $arga;
        $this->v2 = $argc;
    }
}
$data =  serialize(new A($a,$b));
$data = str_replace("ls","pwd",$data);

var_dump(unserialize($data));

image.png
str_replace把"ls"替换为"pwd"
字符增多,会把末尾多出来的字符挤出bool(false)
image.png
就会放回bool(false)
image.png
lslslslslslslslslslslslslslslslslslslslslsls";s:2:"v3";s:3:"666";}
image.png
这样就可以逃逸了
第一个字符串增多,吐出多余代码,把多余位代码构造成逃逸成员属性

增多例题:

image.png

减少例题:

小龙_(R0 Team)
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python基础强化训练手册和随册练习代码
02-17
python基础强化训练手册和随册练习代码学习目录: 1、python初体验之快学快用 2、熟悉PyCharm开发环境 ...7、字符串与正则表达式的应用 适合零基础的朋友学习观看,结合代码实践,提升速度会更快哦。
Java基础知识点 - 内容比较全面
10-17
StringBuffer是可变的,适合在多线程环境中进行字符串拼接,避免频繁的对象创建。 10. **Java中Comparable和Comparator实现对象比较**:Comparable接口用于定义对象的自然排序,而Comparator接口可以自定义比较规则...
php反序列化学习之字符串逃逸
m0_54903333的博客
04-28 604
php在反序列化时,会严格按照字符串长度来读取后面的字符串,如果长度不对,就会反序列化失败,返回一个布尔变量false,我看其他大佬的文章这里都会报错,可能是php版本不同,如:我们把原来的4改为3,php在读取时就会往后面读取3个字符:nam,然后结束这个字符串的读取**,正常来说接下来该读取结束符 “;来构成闭合,但是没有,而是读取到了e,于是反序列化失败**,返回false,如果改为5,就会读取 name” 然后结束,也是无法闭合而失败。
php反序列化字符串逃逸
2301_80913334的博客
03-30 1284
字符增多逃逸:第一个字符串增多吐出多余代码,把多余位代码构造成逃逸的成员属性,构造出一个逃逸成员属性字符减少逃逸:第一个字符串减少吃掉有效代码,在第二个字符串构造代码,多逃逸出一个成员属性做题顺序:1、找目标;2、构造所需的有效代码;3、将构造出的有效代码作为值赋值给属性。
php反序列化之字符串逃逸
weixin_47813861的博客
10-08 269
最近回顾了几道php反序列化的基础题,就随便写一类个人比较中意的题型——字符串逃逸。 这里以ctfshow262为例。 有两部分源码 index.php <?php error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct($f,$m,$t){ $this-&
php反序列化学习——字符串逃逸
m0_73756016的博客
03-13 1015
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
反序列化字符串逃逸(上篇)
csjjjd的博客
01-21 1145
结果:O:4:"user":3:{s:8:"username";s:3:"BTG";这里BTG从0变成了1,说明你是污染成功了的,因为我的原代码里面写死了BTG是0的,现在变成了1,所以证明反序列化是成功了。其实就到这里就搞定了,如果不放心,那就var——dump,把反序列化输出出来,
php反序列化--字符串逃逸
YkingH的博客
03-14 5084
php反序列化–字符串逃逸 PHP反序列化的字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
PHP反序列化字符逃逸详解
蚁景网安学院
08-24 426
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
Java基础:减少对象的创建提高java性能
09-29
对于需要频繁修改的字符串操作,如搜索、替换或拼接,使用`StringBuilder`或`StringBuffer`类通常会比直接操作`String`有更好的性能,因为它们支持在原对象上进行修改,而不是每次都创建新对象。在并行环境中,如果...
Java基础学习教程J2SE资料学习代码实例
06-15
- 尽管没有明确的`String`相关的文件,但在Java中,字符串处理是极其常见的,可能会在各个示例中都有所涉及,如字符串的创建、连接、比较、查找、替换等操作。 9. **测试与度量**: - `TestMetrics.java`可能是...
是一个非常详细的 Swift 基础教程.docx
02-10
Swift 支持字符串插值,允许将表达式值插入到字符串中: ```swift let name = "John" let greeting = "Hello, \(name)!" // 输出 "Hello, John!" ``` #### 8. 集合类型 ##### 8.1 数组 (Array) 数组是一系列相同...
python 零基础学习篇-10正则匹配-正则表达式 Regular Expression、
04-27
Python正则表达式是编程语言Python中的一个强大工具,它用于处理字符串,执行模式匹配和查找。在Python中,正则表达式主要通过`re`模块来实现,它提供了多种函数,如`match`, `search`, `findall`, `sub`等,用于...
Redis学习笔记,基于《Redis设计与实现》的内容,对Redis的基础知识进行总结.zip
最新发布
06-07
1. 字符串(String):最基础的类型,可以存储字符串、数字等。 2. 哈希(Hash):用于存储键值对,适合表示对象。 3. 列表(List):双向链表结构,支持LPOP、RPOP等操作。 4. 集合(Set):无序不重复元素集合,支持成员的...
golang面试题集合.zip
07-18
判断字符串中字符是否全都不同 翻转字符串 判断两个给定的字符串排序后是否一致 字符串替换问题 机器人坐标计算 语法题目一 语法题目二 goroutine和channel使用一 实现阻塞读的并发安全Map 高并发下的锁与map读写...
Golang 面试题汇编
05-21
判断字符串中字符是否全都不同 翻转字符串 判断两个给定的字符串排序后是否一致 字符串替换问题 机器人坐标计算 语法题目一 语法题目二 goroutine和channel使用一 实现阻塞读的并发安全Map 高并发下的锁与map读写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值