PHP反序列化——字符逃逸漏洞(肯定能看懂的!)

最新推荐文章于 2025-03-19 18:00:34 发布
最新推荐文章于 2025-03-19 18:00:34 发布
阅读量3.2k 收藏 17
点赞数 10
分类专栏: PHP代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43632414/article/details/120499159
版权

php 安全漏洞

1、引子

  • 在php中,反序列化的过程中必须严格按照序列化规则才能成功实现反序列化,例如
<?php
  	$str = "a:2:{i:0;s:4:"flag";i:1;s:6:'mikasa';}"
  	var_dump(unserialize($str));
?>
#输出结果
/*
array(2){
	[0]=> string(4) "flag"
  [1]=> string(6) "mikasa"
}
*/
  • 一般情况下,按照我们的正常理解,上面例子中变量$str是一个标准的序列化后的字符串,按理来说改变其中任何一个字符都会导致反序列化失败。但事实并非如此。如果在$str结尾的花括号后加一些字符
<?php
  	$str = "a:2:{i:0;s:4:"flag";i:1;s:6:'mikasa';}abc"
  	var_dump(unserialize($str));
?>
#输出结果依然和上面的相同
  • 这说明了反序列化的过程是有一定识别范围的,在这个范围之外的字符(如花括号外的abc)都会被忽略,不影响反序列化的正常进行、

2、php反序列化的几大特性

  • PHP 在反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾(字符串除外)并且是根据长度判断内容的

    • 注意点,很容易以为序列化后的字符串是;}结尾,实际上字符串序列化是以;}结尾的,但对象序列化是直接}结尾
    • php反序列化字符逃逸,就是通过这个结尾符实现的

  • 当长度不对应的时候会出现报错

3、反序列化字符逃逸

反序列化之所以存在字符串逃逸,最主要的原因是代码中存在针对序列化(serialize())后的字符串进行了过滤操作(变多或者变少)。

反序列化字符逃逸问题根据过滤函数一般分为两种,字符数增多和字符数减少

(1)字符数增多的利用示例
<?php
  	function filter($str){
  			return str_replace('x','yy',$str);
		}
		
		$username = "mikasa";
		$password = "biubiu";
		$user = array($username,$password);
		
		$str1 = filter(serialize($user));
		//$str2 = filter($_GET['user']);

		var_dump(unserialize($str1));
		//var_dump(unserialize($str2));
?>

问:如果我能控制进行反序列化的字符串,该如何使var_dump打印出来的password对应的值是123456,而不是biubiu

  • 正常情况下反序列化字符串**$str1**的值为a:2:{i:0;s:6:"mikasa";i:1;s:6:"biubiu";}

  • 那么把username的值变为mikasaxxx,当完成序列化,filter函数处理后的结果为a:2:{i:0;s:9:"mikasayyyyyy";i:1;s:6:"biubiu";}

    • 因为比之前多了三个字符,反序列化时肯定是会失败的!
    • 所以,可以利用多出来的字符串做一些坏事?

  • 想要password是123456,反序列化化前的字符串要是 a:2:{i:0;s:6:"mikasa";i:1;s:6:"123456";}

  • 如果说我们输入的是

    • a:2:{i:0;s:26:"mikasa";i:1;s:6:"123456";}";i:1;s:6:"biubiu";}

    • 多出的字段是 ";i:1;s:6:"123456";} 数一下是20个字符,

    • 一个x会导致多出一个字符,所以加上20个x,";i:1;s:6:"biubiu";}部分的内容会被当作无效部分被忽略???

  • 所以最终输入是

    • a:2:{i:0;s:46:"mikasaxxxxxxxxxxxxxxxxxxx";i:1;s:6:"123456";}";i:1;s:5:"aaaaa";}
    • filter之后,会变为
    • a:2:{i:0;s:46:"mikasayyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy";i:1;s:6:"123456";}";i:1;s:5:"aaaaa";}
(2)字符串减少时
<?php
  	function filter($str){
  			return str_replace("xx","y",$str);
		}
		
		$username = "mikasa";
		$password = "biubiu";
		$user = array($username,$password);
		
		$str1 = filter(serialize($user));
		//$str2 = filter(serialize($_GET['user']));
		
		var_dump(unserialize($str1));
		//var_dump(unserialize($str2));
?>

问:如果我能控制进行反序列化的字符串,该如何使var_dump打印出来的password对应的值是123456,而不是biubiu

  • 正常情况下反序列化字符串**$str1**的值为 a:2:{i:0;s:6:"mikasa";i:1;s:6:"biubiu";}

  • 那么把username的值变为mikasaxxxxxx,当完成序列化,filter函数处理后的结果为a:2:{i:0;s:12:"mikasayyy";i:1;s:6:"biubiu";}

    • 因为比之前少了三个字符,反序列化时肯定是会失败的,mikasayyy的长度为9,还会继续往后吞3个字符!但这样会造成语法错误!
    • 所以,是否可以利用变化的字符长度做一些坏事?(吞掉原有的password值,再添加新值!)

  • 构建的注入表达式是**(吞)**

    • a:2:{i:0;s:**?**:"mikasa";i:1;s:5:"biubiu";}**";i:1;s:6:"123456";}**
    • 所以要吞掉的内容是";i:1;s:5:"biubiu";} 一共是20个字符!所以需要添加40个x

  • 所以最终的输入时

    • a:2:{i:0;s:46:"mikasaxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";i:1;s:5:"biubiu";}**";i:1;s:6:"123456";}**

    • filter之后,会变为

    • a:2:{i:0;s:**46**:"mikasayyyyyyyyyyyyyyyyyyyy";i:1;s:5:"biubiu";}**";i:1;s:6:"123456";}**

4、总结

  • 当字符增多:在输入的时候再加上精心构造的字符。经过过滤函数,字符变多之后,就把我们构造的给挤出来。从而实现字符逃逸
  • 当字符减少:在输入的时候再加上精心构造的字符。经过过滤函数,字符减少后,会把原有的吞掉,使构造的字符实现代替

参考大佬的链接

https://blog.youkuaiyun.com/Zero_Adam/article/details/113534102

https://www.cnblogs.com/NPFS/p/13338789.html

https://www.cnblogs.com/Silkage/p/13232305.html

PHP-SER-libs靶场通关(1-9)
qq_73792226的博客
09-07 1148
就会直接终止,所以我们就要绕过这个匹配,在序列化后也就是在0:6中6的前面加上一个符号使其不被匹配上所以就有了payload。先让body成为my类里的,在让body去调用project,因为my类里没有project所以会调用__call方法。在you类中,有一个destruct方法,内将pro赋值给变量project再调用本类中的body中的project。本关对输入的param进行了一个%的过滤,而且类中的属性的变量是私有属性。当array内包裹的第一个值是对象,第二个是对象内的方法时。
PHP-Audit-Labs第一阶段学习总结
weixin_44599080的博客
02-01 2097
这里写自定义目录标题DAY 1DAY 2DAY 3DAY 4DAY 5插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 由于篇幅原因,源码详见GITHUB源码链接。同时在这感谢红日...
php反序列化字符逃逸
2301_80913334的博客
03-30 1948
字符增多逃逸:第一个字符串增多吐出多余代码,把多余位代码构造成逃逸的成员属性,构造出一个逃逸成员属性字符减少逃逸:第一个字符串减少吃掉有效代码,在第二个字符串构造代码,多逃逸出一个成员属性做题顺序:1、找目标;2、构造所需的有效代码;3、将构造出的有效代码作为值赋值给属性。
浅析php反序列化字符逃逸
Lemon's blog
08-26 3271
前言: php反序列化字符逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
WEB攻防-PHP反序列化-字符逃逸
最新发布
weixin_45534587的博客
03-19 1062
1.PHP反序列化时,语法是以;作为字段的分隔,以} 作为结尾,在结束符之后的任何内容不会影响反序列化的后的结果classpeoplepublic$namelili;s:2:"20";2.根据长度判断内容s:4:"lils:3:"age";s:2:"20";其中lil是name的值3.其中字符串必须以双引号包裹,不能不写或以单引号包裹;注意。
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 2143
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
php反序列化学习之字符逃逸
竹盐笙熙的博客
02-13 1383
学习一下php反序列化字符逃逸的知识点
php反序列化--字符逃逸
YkingH的博客
03-14 5193
php反序列化字符逃逸 PHP反序列化字符逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
反序列化字符逃逸漏洞
qq_58970968的博客
08-03 130
那么如果当序列化后的字符串经过一些函数过滤掉一些字符会发生什么呢;因为序列化后的字符是按照要求严格执行的,什么意思,就是s:1:"a";再经过反序列化之后最后的";s:3:"img";什么意思呢,就是说当进行反序列化数组的时候,只认前面一个括号里面的内容;变量覆盖是直接将之前的值取代,这里就可以作为 键逃逸;没有变量覆盖就值逃逸;所以通过这两个规则利用起来就可以构造我们想要的东西;这里构造出来的session字典值就只有一个,就是。直接改变img不就可以了嘛!这就是反序列化字符逃逸;...
ctfshow web264
qq_74409805的博客
03-30 931
php反序列化 web 字符逃逸
攻防世界-web高手进阶区
zji
04-25 6904
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
php str_replace的替换漏洞
12-18
定义和用法 str_replace() 函数使用一个字符串替换字符串中的另一些字符。 语法 str_replace(find,replace,string,count)参数 描述 find 必需。规定要查找的值。 replace 必需。规定替换 find 中的值的值。 string 必需。规定被搜索的字符串。 count 可选。一个变量,对替换数进行计数。 提示和注释 注释:该函数对大小写敏感。请使用 str_ireplace() 执行对大小写不敏感的搜索。 注释:该函数是二进制安全的。 例子 1 复制代码 代码如下: <?php echo str_replace(“world”,”John”
20年时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 8110
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-优快云博客 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名年龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
PHP反序列化中的字符逃逸
有时候,想要一块二向箔
12-09 474
首先,对于序列化和反序列化还不太理解的话看看以下链接: PHP中序列化与反序列化 JAVA中的序列化与反序列化 简单来说: 在PHP中 序列化 将变量或对象转换成字符串的过程。 反序列化字符串转换成变量或对象的过程。 就是对数据处理的两种互逆过程 下面以一道题目来进行讲解反序列化中的字符逃逸 题目链接:bugku-newphp 打开后页面展示源码 <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); hig
php反序列化字符逃逸
weixin_47813861的博客
10-08 322
最近回顾了几道php反序列化的基础题,就随便写一类个人比较中意的题型——字符逃逸。 这里以ctfshow262为例。 有两部分源码 index.php <?php error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct($f,$m,$t){ $this-&
PHP反序列化字符逃逸
v2ish1yan的博客
04-15 1827
php反序列化字符逃逸
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值