【php反序列化】详细解释字符串逃逸的原理

原创 已于 2024-06-16 19:48:22 修改
· 1.2k 阅读 · 32 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web安全 #安全

于 2024-06-13 12:57:29 首次发布

作者 Yuppie001
作者主页 传送
本文专栏 Web漏洞篇
🌟🌟🌟🌟🌟🌟🌟🌟

字符串逃逸

    在学习反序列化漏洞的各种操作时,我们可能会被搞得“头晕转向”。主要原因在于反序列化漏洞涉及构造的各种pop链、各种漏洞利用技术涉及的知识点相对较多。然而,本质上这些知识点并不难。通过系统的学习和掌握这些前提知识,你会发现反序列化漏洞的分析和利用其实并没有那么难。

    今天,我们来讲解一下字符串逃逸的基本操作。

一.介绍

    PHP反序列化漏洞是一种通过修改类中的成员属性来触发各种魔术方法,从而达到攻击目的的漏洞。
    构造POP链的目的是利用这些漏洞,攻击者通过操作PHP对象的属性以及对象中定义的魔术方法,形成一条操作链,最终实现任意代码执行或其他恶意行为。
    在反序列化的防御过程中常常会有通过正则的方式进行替换目标构造的序列化字符串。
具体操作如下:

//实例化对象
$ob = new A($f);
//序列化对象
$obb = serialize($ob);
//对序列化的数据进行字符替换(过滤)
$umsg = str_replace('fuck', 'loveU', $obb);
//反序列化
$unmsg = unserialize($umsg);

我们说的字符串逃逸就是绕过这种防御方式的一种手段
在知道字符串逃逸之前,我们需要知道几个重要特性以及前提:

1.

    O:1:“A”:2:{s:1:“f”;s:1:“l”;s:1:“t”;s:5:“admin”;}";s:1:“t”;s:12:“原来的值”;} 这串序列化数据进行反序列化时,“;s:1:“t”;s:12:” 这串数据将会被忽略,相当于反序列化只会解析O:1:“A”:2:{s:1:“f”;s:1:“l”;s:1:“t”;s:5:“admin”;}
    这是unserialize的一个重要特性,因为unserialize进行反序列化数据有严格的格式要求,包含数据类型、长度和实际数据内容等信息,通过这些信息,unserialize 函数能够准确地解析每一个数据段,直到完成一个合法的序列化数据结构为止,而剩余的部分将会被忽略。

证明代码如下:

<?php
class A {
    public $f;
    public $t;
}

$serializedString = 'O:1:"A":2:{s:1:"f";s:1:"l";s:1:"t";s:5:"admin";}";s:1:"t";s:12:"原来的值";}';
$obj = unserialize($serializedString);

print_r($obj);
?>

输出:

A Object
(
    [f] => l
    [t] => admin
)

2.

构造的反序列化数据需要符合规定的数据格式

O:1:"A":1:{s:1:"f";s:1:"l";}

只有当数据符合规定格式后才会被正常反序列化解析,字符串逃逸的目的就是构造符合规定的数据格式

二.字符串逃逸具体操作

    字符串逃逸有两种 一种是通过str_replace将abc替换为abcd(增多型);一种是将abc替换为ab(减少型)
两者的原理差不多
我们这里以增多型进行举例:

例题:

<?php
class A{
    public $f;
    public $t='原来的值';
    public function __construct($f){
        $this->f = $f;
    }
}
$f = $_GET['f'];
$ob = new A($f);
$obb = serialize($ob);
echo "替换前:".$obb."<br>";
$umsg = str_replace('fuck', 'loveU', $obb);
echo "替换后:".$umsg."<br>";
$unmsg = unserialize($umsg);
print_r($unmsg);
echo "<br>";
if ($unmsg->t=='admin'){
    echo 'flag is 牛逼';
}
else{
    echo 'nonono';
}
?>

下面的分析很重要(第一次听可能有点绕):
    我们的目的是输出 flag is 牛逼。可利用的输入点只有f,而只有当t属性为admin时我们才能输出flag,所以我们需要通过f输入点来修改t属性的值,这里有替换,我们需要使用字符串逃逸
具体步骤如下:
正常解析:O:1:“A”:2:{s:1:“f”;s:1:“1”;s:1:“t”;s:12:“原来的值”;}
1. fuck 替换 loveU 字符增加一位。
2. 修改t的值并查看f值后字符数量 即 ";s:1:“t”;s:5:“admin”;} 的数量,为23字符。
3. 我们将f输入点输入 23个funck+“;s:1:“t”;s:5:“admin”;}
即:
fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck”;s:1:“t”;s:5:“admin”;} 共115个字符
4. 开始替换 fuck替换为loveU 因为有 23个fuck 所以替换了 23个loveU,和原来传入f的长度做比较,替换后的loveU成功符合了s:115:“xxxxxxx"而后面的”;s:1:“t”;s:5:“admin”;}就成功逃逸了!
5. 最终的数据结果为:
在这里插入图片描述
    总结字符串逃逸的减少和增加原理类似,增加是利用后面的有效数据进行占位 而 减少则是通过增加数据来补位。

21-4 PHP反序列化漏洞-字符串逃逸
weixin_43263566的博客
01-19 486
是在序列化字符串之后追加任意字符串,这样不会影响反序列化的进行。通过修改序列化字符串中的敏感字符,可以绕过一些安全检查和限制,从而实现字符串逃逸字符串逃逸(闭合)是一种在反序列化函数可控的情况下,通过修改序列化字符串中的敏感字符来达到字符串逃逸的方法。函数不会修改原始字符串,而是返回一个新的字符串,因此需要将返回值赋值给一个变量来保存替换后的结果。具体而言,可以通过修改变量名等个数,使得序列化字符串中的字符个数与实际变量值个数不一致。也必须是一个数组,且数组元素的个数必须相同。字符串,并将其替换为。
[UUCTF 2022 新生赛]ezpop - 反序列化(字符串逃逸)【***】
oZuoShen123的博客
10-08 712
起点:UUCTF(__construct) 终点:youwant(rce) 链条:UUCTF(key='UUCTF';basedata=反序列化数据)-> nothing(a=&$n->b;t=$o)-> output(a=$y)-> youwant(cmd=命令) 注意点:1、UUCTF的basedata用来存放反序列化数据     2、参数是data,通过post传参     3、post的参数,需要通过字符串逃逸 针对此类题目,由于特点是把我们的序列化数据再次序列化……
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6626
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
WEB攻防-PHP反序列化-字符串逃逸
最新发布
weixin_45534587的博客
03-19 1093
1.PHP反序列化时,语法是以;作为字段的分隔,以} 作为结尾,在结束符之后的任何内容不会影响反序列化的后的结果classpeoplepublic$namelili;s:2:"20";2.根据长度判断内容s:4:"lils:3:"age";s:2:"20";其中lil是name的值3.其中字符串必须以双引号包裹,不能不写或以单引号包裹;注意。
php反序列化学习之字符串逃逸
竹盐笙熙的博客
02-13 1390
学习一下php反序列化字符串逃逸的知识点
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1836
php反序列化字符串逃逸
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1533
php反序列化字符逃逸
php反序列化字符串逃逸
2301_80913334的博客
03-30 1972
字符增多逃逸:第一个字符串增多吐出多余代码,把多余位代码构造成逃逸的成员属性,构造出一个逃逸成员属性字符减少逃逸:第一个字符串减少吃掉有效代码,在第二个字符串构造代码,多逃逸出一个成员属性做题顺序:1、找目标;2、构造所需的有效代码;3、将构造出的有效代码作为值赋值给属性。
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
如果攻击者能够修改这个序列化字符串的长度,例如通过注入额外的数据,可能会影响反序列化过程。在某些情况下,这可能导致原本不应该执行的代码片段被执行,或者导致对其他数据的访问。 为了利用这种漏洞,攻击者...
PHP反序列化---字符串逃逸(增加/减少)
2302_79800344的博客
03-18 537
【代码】PHP反序列化---字符串逃逸(增加/减少)
php反序列化学习——字符串逃逸
m0_73756016的博客
03-13 1498
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
反序列化字符逃逸
qq_63928796的博客
07-04 511
序列化:函数 : serialize()把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。反序列化:函数: unserialize()恢复原先被序列化的变量 三个属性 public:表示全局,类内部外部子类都可以访问private:表示私有,只有本类内部可以访问protected:表示受保护的,只有本类或者子类中可以访问 特点 php反序列化时,底层代码是以;作为字段的分隔,以}作为结尾(字符串
php反序列化--字符串逃逸
YkingH的博客
03-14 5195
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
PHP---反序列化字符逃逸
weixin_45782091的博客
03-15 1241
情况1,字符变多 在php代码中,开发人员有时候会使用filter函数来过滤用户的输入,使得系统更安全。但只要合理的运用,就可以利用这个过滤成为我们逃逸的漏洞 关键点在于 替换函数 建立一个类: class swaggyp{ public $name="swaggyp"; public $subject="cs"; } echo serialize(new swaggyp()); //O:7:"swaggyp":2:{s:4:"name";s:7:"swaggyp";s:7:"subject
[PHP反序列化]字符逃逸
山可行,海可平
03-14 5231
本质:闭合 分类:字符变多、字符变少 共同点: php序列化后的字符串经过替换或修改,导致字符串长度变化 总是先序列化,在进行替换修改操作 分类 字符增多 思路: 根据序列化后字符串格式与特点,字符个数标识了后面要识别的长度 要修改某个属性就要将其替换,可通过传入的字符串控制 要将前面的双引号闭合,再传入后面要构造的字符 但是此时与前面字符串长度不匹配,构造无效 解决:根据替换字符长度变化,将构造的字符串挤出长度范围,成为下一部分 (要用替换时的长度变换填补注入字符串的空缺) tips: 判断每个
php反序列化-字符逃逸看这一篇就够了
永远都没有了
03-08 1363
php反序列化字符逃逸-缩短逃逸、增长逃逸
反序列化 字符串逃逸
03-08
### PHP 反序列化过程中的字符串逃逸问题 在 PHP 中,反序列化操作会严格依据对象定义的结构来进行解析。当遇到一个属性声明其长度为特定数值时,PHP 将按照这个指定的数量去读取后续字节作为该属性的实际内容[^1]。 #### 字符串逃逸现象描述 如果程序逻辑允许用户输入影响到最终要被反序列化字符串,则攻击者可能通过精心设计输入来改变预期的对象状态或触发异常行为。特别是,在某些情况下,即使原始数据经过了某种形式的安全处理(比如转义特殊字符),但如果这些措施未能考虑到所有潜在风险点,仍然可能发生安全绕过的情况[^2]。 对于字符串长度不匹配的情形,即实际提供的字符数少于或超过了声明的大小,这通常会导致反序列化进程终止并抛出错误,而不是简单地截断多余部分或是填充不足之处。不过需要注意的是,这种表现可能会因不同的 PHP 版本而有所差异[^3]。 ```php // 示例代码展示了一个简单的类及其序列化/反序列化流程 class Example { public $data; } $originalObject = new Example(); $originalObject->data = 'safe string'; // 序列化后的字符串看起来像这样:"O:7:"Example":1:{s:4:"data";s:11:"safe string";}" $serializedString = serialize($originalObject); // 假设这里的 $maliciousInput 是由外部传入且未充分验证过的恶意构造的数据 $maliciousInput = str_replace('s:11:', 's:999:', $serializedString); // 修改 s 后面表示长度的部分 try { @unserialize($maliciousInput); } catch (Exception $e) { echo "Unserialization failed due to invalid input."; } ``` 上述例子展示了如何利用不当的字符串长度声明造成反序列化失败。尝试解码带有虚假长度说明的字符串将会引发致命错误或者返回 `false` ,取决于具体的环境配置和使用的 PHP 版本。 #### 解决方案建议 为了防止此类漏洞的发生: - **避免直接反序列化不受信任的数据源**:始终确保只对来自可靠渠道的信息执行此操作。 - **实施严格的输入验证机制**:不仅限于基本类型的检查,还应考虑更复杂的模式匹配以及上下文敏感分析。 - **采用白名单策略而非黑名单**:尽可能限定可接受的数据格式范围,拒绝任何不符合预定义标准的内容。 - **定期更新依赖库和技术栈**:保持应用程序所基于的技术组件处于最新稳定版可以有效降低已知缺陷带来的威胁水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值