PHP反序列化字符串逃逸

已于 2022-11-11 08:18:47 修改
阅读量1.8k 收藏 8
点赞数 9
CC 4.0 BY-SA版权
分类专栏: web知识 文章标签: php
于 2022-04-15 17:44:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52585514/article/details/124200376
本文介绍了PHP中的字符串逃逸技术,包括减少和增多字符串的方法。通过preg_replace函数,改变序列化字符串内容,实现反序列化时对对象属性的操控。示例中展示了如何利用字符串增多来修改类实例的属性值,以及如何通过字符串减少来实现同样的效果。文章详细阐述了构造序列化字符串的原理和步骤,对于理解PHP字符串操作和安全有重要参考价值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

例题可看:https://www.cnblogs.com/v2ish1yan/articles/16118319.html

今天才学的,做个记录。

字符串逃逸分为两种,减少和增多。

主要是通过一个preg_replace()函数来进行字符串的减少和增多。

首先要知道逃逸的原理,就是反序列化时,是以}来进行结尾的,同时在字符串内,是以关键字后面的数字来规定所读取的内容的长度。

1.字符串增多

demo:

<?php
class A{
    public $a='q';
    public $b='21';

}
$a=new A;
var_dump($a);

得到结果为:

string(45) "O:1:"A":2:{s:1:"a";s:1:"q";s:1:"b";s:2:"21";}"

要将反序列后$b的值变为我们想要的值。

我们还要有一个关键的函数。

function filter($a){
    $filter='/q/i';
    return preg_replace($filter,'ww',$a);
}

这个就是将序列化后的值,将所有的'q'变为'ww'。

例子:

<?php
class A{
    public $a='qqqqqqq';
    public $b='21';

}function filter($a){
    $filter='/q/i';
    return preg_replace($filter,'ww',$a);
}
$a=new A;
var_dump(serialize($a));
echo'<pre>';
$r=filter(serialize($a));
var_dump($r);

得到:

假设我们想要$b=104,构造的$b的值的序列化后为:

";s:1:"b";s:3:"104";}
这里的";是用来闭合前面的,往下看就知道了

如何进行逃逸

我们先看看把上面的字符串加到$a后是什么样的。

 然后仔细看,如果我们把s:28后面的内容以字符串按要求填满了28个,那么s:1:"b";s:3:"104";}就会被包含在序列化字符串内。而}”后面的内容,即;s:1:"b";s:2:"21";}"就不会被认为是序列化字符串的内容,从而执行了我们构造的";s:1:"b";s:3:"104";},即让一个成员b的值为104。

然后进行构造:

在上面,只要让'w'字符的数量按要求达到s:后面所要求的的数量(28)即可。

但是我们要根据实际情况来选择构造多少个w。

因为在filter函数中,一个q被换成了两个w,所以让q的数量等于";s:1:"b";s:3:"104";}的字符串长度就行了。因为";s:1:"b";s:3:"104";} 的字符串长度为21,让q的数量为21,反序列化后a的值的长度为就是q的数量加上";s:1:"b";s:3:"104";}  的长度(42),在filter()之后,w的数量就是刚好42,而我们添加上去的字符串就会被逃逸出来,会在反序列化的时候成功执行。【文笔不好】

<?php
class A{
    public $a='qqqqqqqqqqqqqqqqqqqqq";s:1:"b";s:3:"104";}';
    public $b='21';

}function filter($a){
    $filter='/q/i';
    return preg_replace($filter,'ww',$a);
}
$a=new A;
var_dump(serialize($a));
echo'<pre>';
$r=filter(serialize($a));
var_dump($r);

得到

string(87) "O:1:"A":2:{s:1:"a";s:42:"qqqqqqqqqqqqqqqqqqqqq";s:1:"b";s:3:"104";}";s:1:"b";s:2:"21";}"

string(108) "O:1:"A":2:{s:1:"a";s:42:"wwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww";s:1:"b";s:3:"104";}";s:1:"b";s:2:"21";}"

然后再进行反序列化就可以发现,$b的值变成了104。

接上面代码:

print_r(unserialize($r));

 总的就是说,让字符'w'占用了原本属于";s:1:"b";s:3:"104"}的位置,从而让";s:1:"b";s:3:"104"}逃逸出去而成功执行。

2.字符串减少

demo:

<?php
class A{
    public $a='qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq';
    public $b='20';

}
function filter($a){
    $filter='/qq/i';
    return preg_replace($filter,'w',$a);
}
$a=new A;
var_dump(serialize($a));
echo '<pre>';
$r=filter(serialize($a));
var_dump($r);

 由名字可知,这个就是让字符串变少。

那么要如何让字符串逃逸呢?

同上面字符串增加:如果要让$b=104,那么他的序列化后就是:";s:1:"b";s:3:"104";}

但是前面要加个东西,如:A";s:1:"b";s:3:"104";},那个A是用来闭合的。

我们先把$b=A";s:1:"b";s:3:"104";}

得到:

 这里可以看到,在序列化字符串里,有两个 s:1:"b",第一个是序列化得到的,第二个是我们自己构造的。

那么要如果让我们构造的104生效呢?

就要让s:1:"a":s:32:"读取到s:22:"A",这样s:22:"A就会变成$a的值了,后面的内容就可以执行,所以这个时候就要想如何使这些字符串在一个合理的数量了。

有filter可以知道,两个q会变成一个w,所以只要让w的个数等于黄色字符串的长度

"O:1:"A":2:{s:1:"a";s:44:"wwwwwwwwwwwwwwwwwwwwww";s:1:"b";s:22:"A";s:1:"b";s:3:"104";}";}"

这个黄色字符串长度为17,所以qq的数量就为17,就有34个q。

所以这样:

<?php
class A{
    public $a='qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq';
    public $b='A";s:1:"b";s:3:"104";}';

}
function filter($a){
    $filter='/qq/i';
    return preg_replace($filter,'w',$a);
}
$a=new A;
var_dump(serialize($a));
echo '<pre>';
$r=filter(serialize($a));
var_dump($r);
print_r(unserialize($r));

就可以得到

 看$b变成了104。

与字符串增加的区别:

1.字符串增加:构造的序列化加在qqqq(就是值有很多qqqq的)那个变量里。字符串减少:构造的序列化加在另一个变量里。

2.字符串增加:字符串'qqqqxxx'的数量依照构造的那个序列化字符串的长度。字符串减少:字符串'qqqqxxx'的数量依照"O:1:"A":2:{s:1:"a";s:44:"wwwwwwwwwwwwwwwwwwwwww";s:1:"b";s:22:"A";s:1:"b";s:3:"104";}";}"中黄色字符串的长度。(只能意会)(doge)

0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6732
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
php反序列化字符串逃逸
weixin_74020633的博客
04-26 539
目标是img,其中是一个需要读取的php页面的base64编码,需要绕过php的过滤,因为flag会被替换为空,那么就可以利用替换为空时的引号进行闭合来包含需要绕过的地方,相当于把原本不会被过滤的一个位置置空,将需要绕过的地方放到不会被不会被过滤的地方。我们需要访问读取的页面是后缀为php,如果直接放在img中就会存在过滤,所以要利用替换函数进行字符串逃逸,使得目标页面能够成功读取。在学习之前,要先了解序列化字符串的结构,在了解结构的基础上才能更好理解要输入多少被过滤的字符串。但是这样的赋值是报错的。
php反序列化学习之字符串逃逸
竹盐笙熙的博客
02-13 1405
学习一下php反序列化字符串逃逸的知识点
字符串逃逸基础
最新发布
2401_88293525的博客
06-05 847
一般在数据先经过一次serislize在经过unserialize,在这个中间发怒序列化的字符串变多或者变少的时候有可能存在反序列化属性逃逸。s:3:"123";反序列化字符串增多逃逸:构造出一个逃逸成员属性,第一个字符串增多,吐出多余代码,把多余位代码构造成逃逸的成员属性。反序列化字符串逃逸:多逃逸出一个成员属性第一个字符串减少,吃掉有效代码,在第二个字符串构造代码。
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1546
php反序列化字符逃逸
php反序列化学习——字符串逃逸
m0_73756016的博客
03-13 1577
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
浅析php反序列化字符串逃逸
Lemon's blog
08-26 3303
前言: php反序列化字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
CTFshow新春欢乐赛--web6--反序列化字符串逃逸
unexpectedthing的博客
02-09 1998
web6 考点:反序列化数组+字符串逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
【DASCTF中北大学】EasyUnser PHP反序列化字符串逃逸
_Kisaragi_的博客
06-07 438
题目 <?php include_once 'flag.php'; highlight_file(__FILE__); // Security filtering function function filter($str){ return str_replace('secure', 'secured', $str); } class Hacker{ public $username = 'margin';
php反序列化--字符串逃逸
YkingH的博客
03-14 5203
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
PHP反序列化字符逃逸
xiao_he0123的博客
03-16 901
PHP序列化和反序列化前言一、PHP序列化(serialize)二、PHP反序列化(unserialize)三、魔幻函数四、PHP反序列化字符逃逸1.替换修改后导致序列化字符串变长2.替换之后导致序列化字符变短 前言 一、PHP序列化(serialize) 序列化就是将变量或者对象转换为字符串的过程 #序列化结果: o:1:"A":2:{s:4:"name";s:4:"aaaa";s:4:"pass";s:6:"123456";} //o 即object简写的对象 //1 对象的字符数(这里对象是后面
php反序列化-字符逃逸看这一篇就够了
永远都没有了
03-08 1448
php反序列化字符逃逸-缩短逃逸、增长逃逸
WEB攻防-PHP反序列化-字符串逃逸
weixin_45534587的博客
03-19 1152
1.PHP反序列化时,语法是以;作为字段的分隔,以} 作为结尾,在结束符之后的任何内容不会影响反序列化的后的结果classpeoplepublic$namelili;s:2:"20";2.根据长度判断内容s:4:"lils:3:"age";s:2:"20";其中lil是name的值3.其中字符串必须以双引号包裹,不能不写或以单引号包裹;注意。
PHP反序列化中的字符串逃逸
有时候,想要一块二向箔
12-09 488
首先,对于序列化和反序列化还不太理解的话看看以下链接: PHP中序列化与反序列化 JAVA中的序列化与反序列化 简单来说: 在PHP中 序列化 将变量或对象转换成字符串的过程。 反序列化字符串转换成变量或对象的过程。 就是对数据处理的两种互逆过程 下面以一道题目来进行讲解反序列化中的字符串逃逸 题目链接:bugku-newphp 打开后页面展示源码 <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); hig
php反序列化字符逃逸xss
01-29
### PHP 反序列化中的字符逃逸与 XSS 攻击 #### 防御措施 为了防止通过反序列化操作引发的安全风险,尤其是针对XSS攻击,应当采取严格的输入验证机制。任何来自用户的输入都应被视作潜在威胁并加以过滤和消毒处理[^1]。 对于PHP应用程序而言,在接收外部传入的数据之前,应该先对其进行严格校验,确保其合法性后再考虑是否允许进入后续逻辑流程中;同时也要注意对敏感函数调用处做额外防护,比如禁用危险方法或属性设置只读权限等手段来减少可能存在的漏洞面[^2]。 另外一种有效的预防方式就是避免直接存储可执行代码片段于对象内部成员变量之中——这不仅能够有效阻止因意外情况而导致程序行为失常的现象发生,而且还可以大大降低由于设计缺陷所造成的安全隐患级别[^3]。 最后但同样重要的是保持框架版本更新至最新状态,并积极关注官方发布的安全公告以便及时修补已知问题[^4]。 ```php // 输入验证示例 function validateInput($input){ // 实现具体的验证逻辑... } $inputData = $_GET['data']; if (!validateInput($inputData)) { die('Invalid input'); } ``` #### 利用实例分析 尽管不推荐主动制造此类漏洞用于测试目的之外的情况,但在特定环境下理解这些技术细节有助于加深开发者对于安全性概念的认识程度以及提高修复能力水平。 考虑到实际场景应用时可能会遇到各种复杂状况,这里给出一个基于给定条件下的简单案例说明: 假设存在如下所示的一个异常类定义,其中包含了未经转义便直接嵌套HTML标签的内容作为消息参数传递给了构造器,则当该对象经过序列化之后再次被还原成原始形态之时就会触发浏览器端脚本执行环境内的弹窗警告事件。 ```php <?php class ExceptionWithHtmlMessage extends \Exception{ protected $message; public function __construct(string $msg){ parent::__construct(); $this->message=$msg; } } $a=new ExceptionWithHtmlMessage("<script>alert('xss')</script>"); $b=serialize($a); echo urlencode($b); // 输出编码后的字符串供进一步利用 ?> ``` 上述代码展示了如何创建含有恶意脚本的对象并通过`serialize()`将其转换为字符串形式输出。一旦此数据流重新加载回服务器端解析空间内完成重建动作后即刻激活预埋设好的JavaScript指令集从而实现跨站脚本注入效果。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

v2ish1yan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值