反序列化字符逃逸漏洞之

最新推荐文章于 2024-07-17 20:43:03 发布
最新推荐文章于 2024-07-17 20:43:03 发布
阅读量84 收藏
点赞数
分类专栏: CTF知识点 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/126005136
版权

参考:[安洵杯 2019]easy_serialize_php_甜筒化了 -的博客-CSDN博客_easy_serialize_php

知识点:

extract()变量覆盖

反序列化字符逃逸;

什么意思呢,就是说当进行反序列化数组的时候,只认前面一个括号里面的内容;例如;

<?php

  $b='a:1:{s:2:"ei";s:5:"fjksj";}';
  var_dump(unserialize($b)) ;
  $c='a:1:{s:2:"ei";s:5:"fjksj";}dfjhgksaasdhgerakdj';  //在后面添加了一些干扰字符
  var_dump(unserialize($c)) ;

结果:

结果是不变的;

那么如果当序列化后的字符串经过一些函数过滤掉一些字符会发生什么呢;因为序列化后的字符是按照要求严格执行的,什么意思,就是s:1:"a" ; 这个1指得是字符串长度,它会自动往后面截取;

所以通过这两个规则利用起来就可以构造我们想要的东西;

这就是反序列化字符逃逸;

和变量覆盖怎么用?

变量覆盖是直接将之前的值取代,这里就可以作为 键逃逸;没有变量覆盖就值逃逸;

至于构造过程参考上述 :

键逃逸:

_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

 这里构造出来的session字典值就只有一个,就是

flagphp->;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

然而当经过

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

之后增加了img->base64_encode('guest_img.png');

此时serialize($_SESSION)的值就是:

a:2:{s:7:"flagphp";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

但是经过

filter(serialize($_SESSION));

就会把第一个flagphp吃掉;

所以变为:
a:2:{s:7:"";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

 再经过反序列化之后最后的";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}就会被忽略掉;

这就改变了session的键值:
";s:48:  ——>a

img——>ZDBnM19mMWFnLnBocA==

直接改变img不就可以了嘛!!!

一只Traveler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
序列化和反序列化刷题记录
一只菜鸡
01-28 1626
BUU CODE REVIEW\ *反序列化 md5 <?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); class BUU { public $correct = ""; public $input = ""; public function __destruct() { try {
------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 624
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
安洵杯2019 easy_serialize_php (反序列化中的对象逃逸)
a3320315的博客
01-30 7511
0x01 题目源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla...
[安洵杯 2019]easy_serialize_php
qq_52907838的博客
07-22 232
打开环境,点击source_code,得到源码: <?php $function = @$_GET['f'];//GET方式传值 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g');//创建数组 $filter = '/'.implode('|',$filter_arr).'/i';//implode函数将数组中的值以‘|’分隔。 return preg_replac
DASCTF-Esunserialize(反序列化字符逃逸)
Vicl1fe的博客
04-25 4126
环境 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . ...
反序列化字符逃逸问题
Whaocai的博客
08-10 228
字符逃逸的本质是替换后字符长度发生了改变。 两种情况:①替换后字符长度增加②替换后字符长度减少
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
ns3-gym入门(二):linear-mesh例子详解
zoe2222226666的博客
07-15 888
学习ns3-gym中关于IEEE 802.11网状网络中控制随机接入的例子linear-mesh
喰星云·数字化餐饮服务系统 多处 SQL注入漏洞复现
0xSec
07-14 460
喰星云·数字化餐饮服务系统 not_out_depot.php、shelflife.php、not_finish.php、stock.php等多处接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
【框架】PHP框架详解-symfony框架
Xiaoxin的博客
07-16 811
1. 起源与开发者Symfony由SensioLabs(现为Symfony公司)开发,最初由Fabien Potencier于2005年创建。Symfony框架自发布以来,经历了多个版本的迭代,每个版本都引入了新的特性和改进,以满足不断变化的Web开发需求。2. 设计理念Symfony框架遵循MVC(Model-View-Controller)设计模式,将应用程序分为模型、视图和控制器三个核心部分,有助于实现代码的分离和重用。
PHP框架详解:Symfony框架
最新发布
qq_72290695的博客
07-17 328
Symfony是一个基于MVC(模型-视图-控制器)架构的PHP框架,致力于加速Web应用的开发与维护。它提供了一整套可重用的PHP组件和工具,使开发者能够构建高效、可扩展和可维护的应用程序。
深入探索Laravel框架中的Blade模板引擎
2402_85762143的博客
07-14 782
Blade是Laravel框架自带的模板引擎,它允许你使用纯PHP代码来编写HTML模板。Blade的语法非常简洁,它使用双大括号{{ }}来输出数据,使用三组大括号!!!来输出未转义的HTML内容,以及使用符号来定义控制结构,比如@foreach@if等。
昇思25天学习打卡营第15天|ResNet50迁移学习
ptyp222的博客
07-15 492
本章依然使用了ResNet50网络模型,完成了狼狗图片分类任务。
阿里云短信PHP集成api类
༺墨༒眉༻
07-17 162
无需安装sdk扩展包,直接引入类即可使用。
NSSCTF中24网安培训day1中web的题目
2302_78903258的博客
07-14 1060
我又试了大小写,双写,特殊后缀名绕过的方法,发现均不能绕过,我们用.htaccess文件进行绕过,先上传一个.htaccess文件,文件内容<FilesMatch ¡°.jpg¡±>SetHandler application/x-httpd-php</FilesMatch> //这是把php文件都当作jpg的图片格式。,也就是说它执行了下面这句,那么我们还需要传flag参数。giveme=flag&flag=giveme,输入后,发现如下直接返回了flag,也就是说,代码退出了并输出了flag。
fastjson反序列化字符串数组
03-03
下面是一个示例代码,演示了如何使用Fastjson反序列化字符串数组: ```java import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String jsonString = "[\"string...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值