【php反序列化】详细解释字符串逃逸的原理

已于 2024-06-16 19:48:22 修改
阅读量1k 收藏 32
点赞数 14
分类专栏: web漏洞 文章标签: php web安全 安全
于 2024-06-13 12:57:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuppie001/article/details/139649614
版权

作者 Yuppie001
作者主页 传送
本文专栏 Web漏洞篇
🌟🌟🌟🌟🌟🌟🌟🌟

字符串逃逸

    在学习反序列化漏洞的各种操作时,我们可能会被搞得“头晕转向”。主要原因在于反序列化漏洞涉及构造的各种pop链、各种漏洞利用技术涉及的知识点相对较多。然而,本质上这些知识点并不难。通过系统的学习和掌握这些前提知识,你会发现反序列化漏洞的分析和利用其实并没有那么难。

    今天,我们来讲解一下字符串逃逸的基本操作。

一.介绍

    PHP反序列化漏洞是一种通过修改类中的成员属性来触发各种魔术方法,从而达到攻击目的的漏洞。
    构造POP链的目的是利用这些漏洞,攻击者通过操作PHP对象的属性以及对象中定义的魔术方法,形成一条操作链,最终实现任意代码执行或其他恶意行为。
    在反序列化的防御过程中常常会有通过正则的方式进行替换目标构造的序列化字符串。
具体操作如下:

//实例化对象
$ob = new A($f);
//序列化对象
$obb = serialize($ob);
//对序列化的数据进行字符替换(过滤)
$umsg = str_replace('fuck', 'loveU', $obb);
//反序列化
$unmsg = unserialize($umsg);

我们说的字符串逃逸就是绕过这种防御方式的一种手段
在知道字符串逃逸之前,我们需要知道几个重要特性以及前提:

1.

    O:1:“A”:2:{s:1:“f”;s:1:“l”;s:1:“t”;s:5:“admin”;}";s:1:“t”;s:12:“原来的值”;} 这串序列化数据进行反序列化时,“;s:1:“t”;s:12:” 这串数据将会被忽略,相当于反序列化只会解析O:1:“A”:2:{s:1:“f”;s:1:“l”;s:1:“t”;s:5:“admin”;}
    这是unserialize的一个重要特性,因为unserialize进行反序列化数据有严格的格式要求,包含数据类型、长度和实际数据内容等信息,通过这些信息,unserialize 函数能够准确地解析每一个数据段,直到完成一个合法的序列化数据结构为止,而剩余的部分将会被忽略。

证明代码如下:

<?php
class A {
    public $f;
    public $t;
}

$serializedString = 'O:1:"A":2:{s:1:"f";s:1:"l";s:1:"t";s:5:"admin";}";s:1:"t";s:12:"原来的值";}';
$obj = unserialize($serializedString);

print_r($obj);
?>

输出:

A Object
(
    [f] => l
    [t] => admin
)

2.

构造的反序列化数据需要符合规定的数据格式

O:1:"A":1:{s:1:"f";s:1:"l";}

只有当数据符合规定格式后才会被正常反序列化解析,字符串逃逸的目的就是构造符合规定的数据格式

二.字符串逃逸具体操作

    字符串逃逸有两种 一种是通过str_replace将abc替换为abcd(增多型);一种是将abc替换为ab(减少型)
两者的原理差不多
我们这里以增多型进行举例:

例题:

<?php
class A{
    public $f;
    public $t='原来的值';
    public function __construct($f){
        $this->f = $f;
    }
}
$f = $_GET['f'];
$ob = new A($f);
$obb = serialize($ob);
echo "替换前:".$obb."<br>";
$umsg = str_replace('fuck', 'loveU', $obb);
echo "替换后:".$umsg."<br>";
$unmsg = unserialize($umsg);
print_r($unmsg);
echo "<br>";
if ($unmsg->t=='admin'){
    echo 'flag is 牛逼';
}
else{
    echo 'nonono';
}
?>

下面的分析很重要(第一次听可能有点绕):
    我们的目的是输出 flag is 牛逼。可利用的输入点只有f,而只有当t属性为admin时我们才能输出flag,所以我们需要通过f输入点来修改t属性的值,这里有替换,我们需要使用字符串逃逸
具体步骤如下:
正常解析:O:1:“A”:2:{s:1:“f”;s:1:“1”;s:1:“t”;s:12:“原来的值”;}
1. fuck 替换 loveU 字符增加一位。
2. 修改t的值并查看f值后字符数量 即 ";s:1:“t”;s:5:“admin”;} 的数量,为23字符。
3. 我们将f输入点输入 23个funck+“;s:1:“t”;s:5:“admin”;}
即:
fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck”;s:1:“t”;s:5:“admin”;} 共115个字符
4. 开始替换 fuck替换为loveU 因为有 23个fuck 所以替换了 23个loveU,和原来传入f的长度做比较,替换后的loveU成功符合了s:115:“xxxxxxx"而后面的”;s:1:“t”;s:5:“admin”;}就成功逃逸了!
5. 最终的数据结果为:
在这里插入图片描述
    总结字符串逃逸的减少和增加原理类似,增加是利用后面的有效数据进行占位 而 减少则是通过增加数据来补位。

Yuppie001
关注
专栏目录
[UUCTF 2022 新生赛]ezpop - 反序列化(字符串逃逸)【***】
oZuoShen123的博客
10-08 510
起点:UUCTF(__construct) 终点:youwant(rce) 链条:UUCTF(key='UUCTF';basedata=反序列化数据)-> nothing(a=&$n->b;t=$o)-> output(a=$y)-> youwant(cmd=命令) 注意点:1、UUCTF的basedata用来存放反序列化数据     2、参数是data,通过post传参     3、post的参数,需要通过字符串逃逸 针对此类题目,由于特点是把我们的序列化数据再次序列化……
21-4 PHP反序列化漏洞-字符串逃逸
weixin_43263566的博客
01-19 383
是在序列化字符串之后追加任意字符串,这样不会影响反序列化的进行。通过修改序列化字符串中的敏感字符,可以绕过一些安全检查和限制,从而实现字符串逃逸字符串逃逸(闭合)是一种在反序列化函数可控的情况下,通过修改序列化字符串中的敏感字符来达到字符串逃逸的方法。函数不会修改原始字符串,而是返回一个新的字符串,因此需要将返回值赋值给一个变量来保存替换后的结果。具体而言,可以通过修改变量名等个数,使得序列化字符串中的字符个数与实际变量值个数不一致。也必须是一个数组,且数组元素的个数必须相同。字符串,并将其替换为。
php反序列化学习之字符串逃逸
oyf3085227433的博客
02-13 1211
学习一下php反序列化字符串逃逸的知识点
php反序列化-字符逃逸看这一篇就够了
cike_y
03-08 1032
php反序列化字符逃逸-缩短逃逸、增长逃逸
浅析php反序列化字符串逃逸
Lemon's blog
08-26 3133
前言: php反序列化字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
反序列化字符逃逸
qq_63928796的博客
07-04 413
序列化:函数 : serialize()把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。反序列化:函数: unserialize()恢复原先被序列化的变量 三个属性 public:表示全局,类内部外部子类都可以访问private:表示私有,只有本类内部可以访问protected:表示受保护的,只有本类或者子类中可以访问 特点 php反序列化时,底层代码是以;作为字段的分隔,以}作为结尾(字符串
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1730
php反序列化字符串逃逸
php反序列化字符串逃逸
最新发布
2301_80913334的博客
03-30 1372
字符增多逃逸:第一个字符串增多吐出多余代码,把多余位代码构造成逃逸的成员属性,构造出一个逃逸成员属性字符减少逃逸:第一个字符串减少吃掉有效代码,在第二个字符串构造代码,多逃逸出一个成员属性做题顺序:1、找目标;2、构造所需的有效代码;3、将构造出的有效代码作为值赋值给属性。
PHP---反序列化字符逃逸
weixin_45782091的博客
03-15 1185
情况1,字符变多 在php代码中,开发人员有时候会使用filter函数来过滤用户的输入,使得系统更安全。但只要合理的运用,就可以利用这个过滤成为我们逃逸的漏洞 关键点在于 替换函数 建立一个类: class swaggyp{ public $name="swaggyp"; public $subject="cs"; } echo serialize(new swaggyp()); //O:7:"swaggyp":2:{s:4:"name";s:7:"swaggyp";s:7:"subject
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
如果攻击者能够修改这个序列化字符串的长度,例如通过注入额外的数据,可能会影响反序列化过程。在某些情况下,这可能导致原本不应该执行的代码片段被执行,或者导致对其他数据的访问。 为了利用这种漏洞,攻击者...
php反序列化字符串逃逸是什么
02-07
这种情况就称为“反序列化字符串逃逸”。 举个例子,假设你有一个函数可以将用户提交的数据存储在一个 cookie 中,然后从 cookie 中读取并反序列化这些数据。如果攻击者能够提交恶意序列化数据,那么在反序列化过程...
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1347
php反序列化字符逃逸
[PHP反序列化]字符逃逸
山可行,海可平
03-14 5122
本质:闭合 分类:字符变多、字符变少 共同点: php序列化后的字符串经过替换或修改,导致字符串长度变化 总是先序列化,在进行替换修改操作 分类 字符增多 思路: 根据序列化后字符串格式与特点,字符个数标识了后面要识别的长度 要修改某个属性就要将其替换,可通过传入的字符串控制 要将前面的双引号闭合,再传入后面要构造的字符 但是此时与前面字符串长度不匹配,构造无效 解决:根据替换字符长度变化,将构造的字符串挤出长度范围,成为下一部分 (要用替换时的长度变换填补注入字符串的空缺) tips: 判断每个
反序列化中的字符逃逸问题
XYH_233的博客
03-27 294
php反序列化中的字符逃逸问题
php反序列化--字符串逃逸
YkingH的博客
03-14 5101
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
php反序列化字符串逃逸
weixin_47813861的博客
10-08 274
最近回顾了几道php反序列化的基础题,就随便写一类个人比较中意的题型——字符串逃逸。 这里以ctfshow262为例。 有两部分源码 index.php <?php error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct($f,$m,$t){ $this-&
php反序列化学习——字符串逃逸
m0_73756016的博客
03-13 1072
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值