php反序列化注入,浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

最新推荐文章于 2022-11-29 13:55:05 发布
最新推荐文章于 2022-11-29 13:55:05 发布
阅读量171 收藏
点赞数
文章标签: php反序列化注入

1.漏洞产生的原因

#### 正常的反序列化语句是这样的

$a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}';

但是如果写成这样

$b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}s:8:"password";s:6:"abcde";}';

也可以正常的编译, 而且下面一条语句的结果是 password=“123456” 而不是abcde

3559a5193d89ef24696cc85ef5b52717.png

结果

9d6a91e1778e0078b053c6e8bcb75862.png

这就说明一个问题,在反序列化的时候,只要求第一个序列化字符串合法就行,换我个理解,就是反序列话时,他会从前往后读取,当读取第一个合法的序列化的字符串时,就会反序列化。

### 当过滤用户输入参数的时候,如果先序列化再对序列化过后的字符串进行过滤,而且在过滤的过程中会导致原本的长度改变,就可能造成序列化对象注入漏洞。

此处参考别人的代码:

67ccdf9224f16ebf9753704ae980b2a7.png

49a693ef94f3d89f01bf8caa3fd3743e.png

可以看到,这里过滤函数将原来的x换成了zz,但是长度却超过了原来的长度 ,但是原来长度的数字时没变的,这就导致报错。但是试想一下,如果这里的密码是可控的,然后我们输入字符

的时候带入双引号和} 会怎么样呢? 看如下代码

b19c36a7aa5b4b26d71b92851ca11ec8.png

结果

c84d0572133de2f799c444aef3088a3c.png

第一排是我们构造的东西序列化过后的值,

第二排是序列化过后的值进行过滤过后的值,可以看到,此时由于x换成了z,而前面读40的时候正好会读到最后一个x,从而使我们输入的新对象得以注入,而且得到正常的反序列化。

第三排是反序列化过后的到的值,此时原本的aaaaaa的值已经被我们覆盖。

二:实例分析

根据上面的原因可知,产生漏洞最直接的原因是因为序列化过后的字符串被过滤的时长度发生变化, 根据这个这个原因,我们就可以把漏洞分为 长度变长,和长度变短两种情况,注意! 如果长度不变的话,不会引起漏洞产生。

(1) 长度变短。

题目: 安洵杯2019 easy_serialize_php // 在https://buuoj.cn/这个靶场里又复现

源码:

c4642451966fc395f386a4e5974d6443.png

根据提示在phpinfo拿到

3794dcf84ab4a725474f5de3aaf7305b.png

很显然答案在 d0g3_f1ag.php里面,关键是我们怎么去读取他的源码 ,可以看到最后一排的会获取 ['img'] 中的 的源码,我们仅需要覆盖img的值将他变成d0g3_f1ag.php就行。

在看这个过滤函数

73caab2994ea5917bcbbf7e167085e62.png

他会使得输入的相应字符变为空,也就是让序列化后的字符串变短,我们就可以利用此来吞掉原本的变量名,而注入我们想注入的代码。

第一种解法:值逃逸

d0g3_f1ag.php的base64 编码 ZDBnM19mMWFnLnBocA== 长度20

在本地测试的时候得到正常的 序列化字符是这样的

a:3:{s:4:"user";s:5:"guest";s:8:"function";s:3:"123";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

前者user,和function 的值都是我们可控的

我们想要构造的是 s:3:"img";s:20:"ZDBnM19mMWFnLnBocA=="; 设想一下 ,如果我们把它设置function的值,并且在前面user的值利用过滤函数将后面的 "s:8:"function";s:xx:" 吞掉,那么function的值,也就是我们想要注入的对象,不就正好上位了吗? 但是注意闭合前面的由于吞掉而缺少的分号和双引号,而且,这里两个双引号紧挨着会报错,所以我们加一个字符,再把这个字符一起吞掉就行,还有 这里前面是 a:3: 所以我在最后还要添加一个属性。

payload

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

读到源码

7ba4c5d1d92281964bcc882827d690d2.png

再去修改payload的文件中的值,然后再去访问,发现什么也没有返回,然后尝试 /../d0g3_fllllllag 然后base64编码 去访问就会返回flag

c2430e4232a1a10e3a68f8ce347b8efc.png

(2)长度变长

题目 [0CTF] piapiapia // 同样在buu里又复现

红色部分是我们想要注入的,这道题的过滤函数有三个 ,但是导致长度变化的过滤是这个

1923197d7da3079785165f4151ace693.png

where->hacker 多出了一个字符

但是另一个过滤使 nickname 有长度限制

d19cd2d2ce2cef41a41ca59feaaad0d5.png

这里strlen我们可以用数组绕过,但是如果使用数组就会引起序列化字符串产生变化

注意数组在序列化中的表示 是 先; 再 }

这里我进行了本地测试

fa6872dc2a2e2ec3851a04d54a571bc7.png

结果:

3b2177b978b67440b102047a1ce8c953.png

红色部分为我们想注入的,蓝色的是我们提交payload的地方,后面实际上根本不用管

现在我们想的是通过where ->hacker 多了一个字符,这样使我们输入的nickname的值逃逸出去变成对象,

加上闭合前面的单引号和反括号 就是这样 ";}s:5:"photo";s:10:"config.php";}

一共就是34个字符, 一个where 逃逸出一个字符,这里就需要34个where

payload:wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

三.总结

武汉加油!中国加油!我加油!

以上所述是小编给大家介绍的PHP反序列化中过滤函数使用不当导致的对象注入问题,希望对大家有所帮助!

方祯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅析PHP序列过滤函数使用不当导致对象注入问题
12-20
总之,PHP序列过程对象注入问题主要源于过滤函数处理不当导致的字符串长度变。开发者在编写代码时应谨慎处理用户输入,并确保过滤序列操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列...
【Java】序列序列
zhuyuanfu的专栏
11-10 197
偶尔会遇到使用JVM之外的保存手段的场景,例如redis。redis是一个只能保存字符串的东西,它跨平台,它的C api是hireredis,它的Java api是Jedis。想要在redis里保存java对象,只能先把java对象序列成字符串。 Java对象序列成String并且从String序列为Java对象的一个例子如下: import java.util.Base64; ....
CTF-web_php_serialize序列
Be Smart
02-24 843
一.根据题目猜测和序列漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会序列输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其序列出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件的内容。 2.步骤: 通过代码的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列 编写一段代码先实例我们要序列的类,这里吧fl4g.php传进去,
fastjson字节数组序列序列注意事项base64
russle的专栏
03-27 4617
场景:在某通讯场景发送和接收的消息都是JSON字符串格式(这里不讨论那种格式对于通信更高效)。 其payload是[]byte格式,在发送时将数据部分进行打包放入map,然后JSON.toJSONString(map);后发送, 收到数据后进行 (Map) JSON.parseObject(json); 此时里面的payload都是字符串,需要主动base64.decode再转换为byte, public class JsonDemo { private static final String
Base64序列序列
weixin_30561425的博客
06-20 1149
序列: Dictionary<string, string> sPara = GetRequestPost(ref parameterStr); string serializeString = JSONUtility.Serialize(sPara); serializeString = Convert....
php绕过
最新发布
qq_74071644的博客
11-29 906
PHP==是判断值是否相等,若两个变量的类型不相等,则会转为相同类型后再进行比较。当MD5加密后以0E开头的字符他们==判断相等。
浅析JavaScriptSerializer类的序列序列
10-21
在本文,我们将深入探讨JavaScriptSerializer类的序列序列功能,以及如何在实际应用使用。 首先,让我们了解JavaScriptSerializer类的一些基本属性: 1. **MaxJsonLength**:这个属性用于设定...
深入浅析PHP的session序列漏洞问题
01-21
php.ini存在三项配置项: ...session.serialize_handler string --定义用来序列/序列的处理器名字。默认使用php 以上的选项就是与PHP的Session存储和序列话存储有关的选项。 在使用xampp组件安装
浅析Python序列存储的方法
09-22
最后,pickle的安全性也有待考虑,因为它能序列任何Python对象,包括函数和类,这可能导致安全风险,如执行恶意代码。 总的来说,Python的序列存储(如pickle)是连接内存和硬盘,以及不同程序之间数据交换的...
浅析pythonnumpy包的argsort函数使用
09-20
本篇文章将深入解析argsort函数使用方法及其应用场景。 argsort()函数位于numpy.core.fromnumeric模块,它的主要功能是返回一个一维数组,该数组包含了原数组按升序排列后的索引值。这意味着,当你对一个数组...
php序列失败,php 序列报错及解决
weixin_39873325的博客
03-26 3022
业务逻辑:把从通过程序编辑的一个多维数组,通过序列为一个字符串,储存到Mysql数据库问题:在编辑完数组后,序列完毕并保存到数组,这些都很顺利,问题出在序列的时候,问题提示是:unserialize-error-at-offset-5-of-9-bytes尝试1,试了试以前导入进去的数据,序列并没有问题。尝试2,数据库编码与php文件编码不一致,重新设置了php文件编码为utf8...
php序列失败,php序列失败怎么办
weixin_34947914的博客
03-26 702
【摘要】PHP即“超文本预处理器”,是一种通用开源脚本语言。PHP是在服务器端执行的脚本语言,与C语言类似,是常用的网站编程语言。PHP独特的语法混合了C、Java、Perl以及 PHP 自创的语法。下面是php序列失败怎么办,让我们一起来看看php序列失败怎么办的具体内容吧!php序列失败怎么办php序列失败是因为序列数据时的编码与序列时的编码不一致导致的,其解决办法就是使...
php unserialize序列报错问题
huihuangjiuai的专栏
10-30 2584
一开始在本地测试的时候,取序列值得时候,直接是unserialize(数组)["名称"],这样使用,没问题,也不报错。后来传到服务器上以后(tp框架),莫名其妙报错,也没有具体错误原因。挨个方法调试以后,终于找到就是unserialize的原因。 后来用变量接受一下序列的数组,然后用变量["名称"]的方式调用,一点问题没有。不知道这是不是一个unserialize的漏洞。希望能给大家一个提
PHP 使用unserialize()序列报错问题
Lindong_Jen的博客
08-07 1035
1、问题描述:序列的数组值包含有英文下的双引号(“)、单引号(‘)、斜杆(\)等特殊字符,序列时会报如下错误: Notice: unserialize(): Error at offset 130 of 131 bytes in 2、问题分析:使用unserialize函数将数据序列时报错,后来发现是将gb2312转换成utf-8格式之后,每个文的字节数从2个增加到3个之后导致序列的时候判断字符长度出现了问题,所以需要使用正则表达式将序列的数组的表示字符长度的值重新计算一..
[SWPUCTF 2018]SimplePHP phar漏洞及其文件上传
qq_54929891的博客
03-27 3235
在查看文件这个页面发现一个可疑参数file,试试能不能读取源代码 根据include包含来将各个文件源代码都提取出来,最重要的是class.php <?php class C1e4r { public $test; public $str; public function __destruct() { $this->test = $this->str; echo $this->test; } } ..
php 序列报错及解决
json_li的博客
08-10 2490
业务逻辑:把从通过程序编辑的一个多维数组,通过序列为一个字符串,储存到Mysql数据库问题:在编辑完数组后,序列完毕并保存到数组,这些都很顺利,问题出在序列的时候, 问题提示是: unserialize-error-at-offset-5-of-9-bytes 尝试1,试了试以前导入进去的数据,序列并没有问题。 尝试2,数据库编码与php文件编码不一致,重新设
PHP序列漏洞入门学习笔记
07-15 438
序列就是将对象、string、数组array、变量转换成具有一定格式的字符串。 具体可以看CTF PHP序列,下图摘自此篇文章 其实每个字符对应的含义都很好理解: Copy s ---- string 字符串 i ---- integer 整数 d --- 双精度型 b ---- boolean 布尔数 N ---- NULL 空值 O ---- Object 对象 a ---- array 数组 ············· 其较为重要的是 对象序列序列对象序列...
php序列&序列
weixin_34409703的博客
08-08 363
一: 在php如果我们统一编码是没有什么问题了,但是很多朋友会发现一个问题就是utf8和gbk编码返回的值会有所区别: php 在utf8和gbk编码下使用serialize和unserialize互相序列序列会出现无法成功序列问题问题出现的原因主要是在不同编码下strlen函数计算文字符串长度不同的原因。 &lt;?php $array=array('tit...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值