PHP---反序列化字符逃逸

最新推荐文章于 2024-03-13 16:52:52 发布
最新推荐文章于 2024-03-13 16:52:52 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 信息安全 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45782091/article/details/123505787
版权

情况1,字符变多

在php代码中,开发人员有时候会使用filter函数来过滤用户的输入,使得系统更安全。但只要合理的运用,就可以利用这个过滤成为我们逃逸的漏洞
关键点在于 替换函数
建立一个类:

class swaggyp{
    public $name="swaggyp";
    public $subject="cs";
}
echo serialize(new swaggyp());
//O:7:"swaggyp":2:{s:4:"name";s:7:"swaggyp";s:7:"subject";s:2:"cs";}

可以看到输出的反序列化格式为
{s:4:“name”;s:7:“swaggyp”;s:7:“subject”;s:2:“cs”;}
类型 : 长度 :"变量名“ ; 在最终结束的时候 使用}作为标识来标志解释

而我们在进行替换函数时,

function filter1($str)
{
    return str_replace('bb','ccc',$str);
}

class swaggyp{
    public $name="bbbb";
    public $subject="cs";
}
echo serialize(new swaggyp())."\n";
$a='O:7:"swaggyp":2:{s:4:"name";s:4:"bbbb";s:7:"subject";s:2:"cs";}';
echo filter1($a)."\n";
echo unserialize(filter1($a));
/*
O:7:"swaggyp":2:{s:4:"name";s:4:"bbbb";s:7:"subject";s:2:"cs";}
O:7:"swaggyp":2:{s:4:"name";s:4:"cccccc";s:7:"subject";s:2:"cs";}
*/

此时反序列化是失败的 因为替换完后 格式不正确 后面两个cc属于逃逸字符
单单这样的逃逸是无法使用的
我们可以伪造一段反序列化的字符串,通过替换的逃逸之后,使得其不再被识别为该变量的字符串内容,而是成为反序列化的一部分,通过格式上的伪造,提前闭合,使我们想反序列化的数据进行反序列化,就实现了我们的目的。
在这里 两个bb会替换为3个c 也就是给出一个逃逸的字符 假如我们有现在这样的一个对象:

class  tss{
    public $name='swaggyp';
    public $face='handsome';
}
$t= new tss();
echo serialize($t);
//O:3:"tss":2:{s:4:"name";s:7:"swaggyp";s:4:"face";s:8:"handsome";}

若想让face的值在反序列化的时候成为"wwwwzzzz"
则后半段应该为: s:4:“face”;s:8:“handsome”;}
所以我们可以构造反序列化字符串为";s:4:"face";s:8:"wwwwzzzz";}
其长度为29 则需要29个bb

<?php
function filter1($str)
{
    return str_replace('bb','ccc',$str);
}

class  tsss{
    public $name='bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb";s:4:"face";s:8:"wwwwzzzz";}';
    public $face='handsome';
}
$a=new tsss();
echo serialize($a)."\n";
$c=serialize($a);
$b='";s:4:"face";s:8:"wwwwzzzz";}';
echo strlen($b)."\n";
$c=filter1($c);
echo $c;
$d=unserialize($c);
echo var_dump($d);

结果

O:4:"tsss":2:{s:4:"name";s:87:"bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb";s:4:"face";s:8:"wwwwzzzz";}";s:4:"face";s:8:"handsome";}
29
O:4:"tsss":2:{s:4:"name";s:87:"ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc";s:4:"face";s:8:"wwwwzzzz";}";s:4:"face";s:8:"handsome";}object(tsss)#3 (2) {
  ["name"]=>
  string(87) "ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc"
  ["face"]=>
  string(8) "wwwwzzzz"
}

可以看到 成功逃逸了
(写的不是很清楚,后续再补充)

情况2 代码变短

<?php
function str_rep($string){
    return preg_replace( '/wzk/','', $string);
}

$test['name'] = $_GET['name'];
$test['sign'] = $_GET['sign'];
$test['number'] = '2020';
$temp = str_rep(serialize($test));
printf($temp);
$fake = unserialize($temp);
echo '<br>';
print("name:".$fake['name'].'<br>');
print("sign:".$fake['sign'].'<br>');
print("number:".$fake['number'].'<br>');
?>

在这里插入图片描述
可以看到 如果name设置为被过滤的字符wzk 会无法反序列化
在这里插入图片描述
若想要修改已经在代码中定义的number 的值 2020 则要在反序列化的时候 给这段变成:

s:6:"number";s:4:"xxxx";}

如何实现呢? 需要通过name和sign两个变量了这个时候

通过过滤函数过滤掉name里的内容后 然后让name在反序列化的时候 吃掉后面相应位数的字符(包括sign的反序列化代码和一些内容…)所以sign的反序列化里不仅要考虑到给name的东西(根据长度来决定),还有sign自身反序列化的字符串以及伪造sign反序列化的东西,同时要注意 闭合的条件。

在这里插入图片描述
成功在过滤wzk后绕过

在这里我觉得计算一下太麻烦 (懒)
所以先给我要修改的填在后面

然后逐个增加x的次数 知道反序列化成功
可以写一个脚本 不断地检验反序列化是否成功 直到成功的话就终止:(有机会补上)

这样我们就成功修改了number的值 完成了字符逃逸

凌晨四点起床刷题的SwaggyP1
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
序列字符逃逸——初体验
D.MIND 的博客
02-27 1435
前言:从CTFshow上做的一道序列字符逃逸的题,第一次接触,想了半天(可能是我太菜了>__<)后来才发现其实不难理解,真的需要动手写脚本操作一下,光看不好理解 题目链接 message.php: <?php highlight_file(__FILE__); include('flag.php'); class message{ public $from; public $msg; public $to; public $token='user
php序列字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1206
php序列字符逃逸
PHP序列字符逃逸详解
qq_45521281的博客
07-05 7757
文章目录第一种情况:替换修改后导致序列字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列字符串的长度,导致序列漏洞 这种题目有个共同点: php序列后的字符串经过了替换或者修改,导致字符串长度发生变。 总是先进行序列,再进行替换修改操作。 第一种情况:替换修改后导致序列字符串变长 示例代码: <?php function filter($st
小白Java学习笔记:Java中变量的分类
wwwzzzzxxx的博客
09-10 493
Java 中变量的分类 类变量 实例变量 局部变量 类变量 从属于 Java 类 定义在方法外,可以从方法内访问 一般在定义时要在变量名称前加上 static 比如: public class Demo{ static double salary = 2500; // 定义类变量salary public static void main(String[] args){ System.out.println(salary) } } 实例变量
Java-Deserialization-Cheat-Sheet:关于Java序列漏洞的备忘单
05-02
Java序列备忘单 面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列库中的序列漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON...
CVE-2019-17564 Apache-Dubbo序列漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo序列漏洞
PHP序列漏洞详解.rar
02-07
在IT安全领域,PHP序列漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
人工智能-项目实践-检测-Apache Shiro 序列漏洞检测与利用工具.zip
12-23
人工智能-项目实践-检测-Apache Shiro 序列漏洞检测与利用工具 Shiro_exploit Shiro_exploit用于检测与利用Apache Shiro序列漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,...
CVE-2017-10271 Weblogic序列漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的序列漏洞。 CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的序列过程。这个组件是...
序列中的字符逃逸问题
XYH_233的博客
03-27 265
php序列中的字符逃逸问题
php序列学习——字符逃逸
最新发布
m0_73756016的博客
03-13 1005
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
web学习(php序列长度变尾部字符逃逸)
weixin_44897902的博客
11-02 1162
BUUCTF piapiapia(php序列长度变尾部字符逃逸) 引用: https://blog.csdn.net/zz_Caleb/article/details/96777110 前提知识: md5(Array()) = null sha1(Array()) = null ereg(pattern,Array()) = null preg_match(pattern,Ar...
0CTF-2016-piapiapia(php序列长度变尾部字符逃逸)
Sea_Sand息禅
07-21 6485
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
ctf 序列字符逃逸
giaogiao123的博客
12-17 918
第一种,关键词过滤,变多的 比如0ctf :piapiapia 我先说一次什么是序列字符逃逸。 <?php class user{ public $user = 'admin'; public $pass = 'passwd'; } $a = new user(); $b = serialize($a); echo $b."<br>";
php 序列逃逸
qq_45570082的博客
04-28 741
php序列逃逸 前提知识 PHP 在序列时,底层代码是以;作为字段的分隔,以}作为结尾(数组、对象等类型);序列时,结尾后的字符串会被忽略掉,例如: php > print_r(serialize([1])); a:1:{i:0;i:1;} php > print_r(unserialize('a:1:{i:0;i:1;}sdasda')); Array ( [0]...
[0CTF 2016]piapiapia(序列逃逸)
羽的博客
03-01 3138
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
asaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
qq_33416230的博客
10-13 2035
sssssssssssssssssssssssssssssssssssssssssssssssssssssssssssfd
pass-[间接修改密码]-[序列字符逃逸]-[关键词变长]-[本地复现]
qwsn
11-24 1476
0x01、Web 1.pass-[间接修改密码]-[序列字符逃逸]-[关键词变长]-[本地复现] <!--以如下代码为例,如何在不直接修改$pass值的情况下间接修改$pass的值--> <?php function filter($str){ return str_replace('bb', 'ccc', $str); } class A{ #public $name='aaaa'; public $name='bbbbbbbbbbbbbbbbbbbbbbbb
CVE-2020-14644:WebLogic IIOP序列漏洞深度解析
"CVE-2020-14644是一个针对Oracle WebLogic Server的IIOP(Internet Inter-ORB Protocol)序列漏洞,主要影响12.2.1.3.0, 12.2.1.4.0, 和14.1.1.0.0这几个版本。该漏洞允许攻击者通过精心构造的恶意输入来触发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值