首页 > 编程语言 >PHP反序列化字符逃逸学习

PHP反序列化字符逃逸学习

时间:2022-10-31 10:05:27浏览次数:49  
标签:字符 arr PHP name age echo 逃逸 序列化


文章目录

  • ​​过滤后字符变多​​
  • ​​过滤后字符变少​​

过滤后字符变多

首先给出本地的php代码,很简单不做过多的解释,就是把反序列化后的一个x替换成为两个

<?php

function change($str){
return str_replace("xx","3",$str);
}

$name = $_GET['name'];
$age = "I am 11";
$arr = array($name,$age);
echo "反序列化字符串:";
var_dump(serialize($arr));
echo "<br/>";
echo "过滤后:";
$old = change(serialize($arr));
$new = unserialize($old);
var_dump($new);
echo "<br/>此时,age=$new[1]";

正常情况下

PHP反序列化字符逃逸学习_反序列化

如果此时多传入一个x的话会怎样,毫无疑问反序列化失败,由于溢出(s本来是4结果多了一个字符出来),我们可以利用这一点实现字符串逃逸

PHP反序列化字符逃逸学习_php_02

首先看看效果

PHP反序列化字符逃逸学习_php_03

我们传入​​name=hggxxxxxxxxxxxxxxxxxxxx";i:1;s:6:"woaini";}​​​​";i:1;s:6:"woaini";}​​这一部分一共二十个字符
由于一个x会被替换为两个,我们输入了一共20个x,现在是40个,多出来的20个x其实取代了我们的这二十个字符​​";i:1;s:6:"woaini";}​​,从而造成​​";i:1;s:6:"woaini";}​​的溢出,而​​"​​闭合了前串,使得我们的字符串成功逃逸,可以被反序列化,输出​​woaini​​ Add:
最后的​​;}​​闭合反序列化全过程导致原来的​​";i:1;s:7:"I am 11";}"​​被舍弃,不影响反序列化过程`

过滤后字符变少

<?php

function change($str){
return str_replace("xx","3",$str);
}

$arr['name'] = $_GET['name'];
$arr['age'] = $_GET['age'];
echo "反序列化字符串:";
var_dump(serialize($arr));
echo "<br/>";
echo "过滤后:";
$old = change(serialize($arr));
var_dump($old);
echo "<br/>";
$new = unserialize($old);
var_dump($new);
echo "<br/>此时,age=";
echo $new['age'];

这是正常的情况,

PHP反序列化字符逃逸学习_字符串_04

加了两个x后

PHP反序列化字符逃逸学习_php_05

老规矩看看最后的效果

PHP反序列化字符逃逸学习_反序列化_06


简单来说,就是前面少了一半,导致后面的字符被吃掉,从而执行了我们后面的代码;

我们来看,这部分是age序列化后的结果

PHP反序列化字符逃逸学习_字符串_07


由于前面是40个x所以导致少了20个字符,所以需要后面来补上,这一部分刚好20个,后面由于有​​"​​闭合了前面因此后面的参数就可以由我们自定义执行了

PHP反序列化字符逃逸学习_反序列化_08


标签:字符,arr,PHP,name,age,echo,逃逸,序列化
From: https://blog.51cto.com/u_15847702/5808277

相关文章

  • PHP session 阻塞问题
    由于PHP实现session的机制默认是利用把信息储存在文件里的,这就是涉及到读取文件需要保证一定安全性所以需要在读写的时候锁文件,如果不及时解锁,如程序的业务过程较长就......
  • nginx容器与php-fpm容器连接方式
    文档说明:只记录关键地方;获得nginx和php基础镜像的内默认配置文件从容器镜像中拷贝文件到容器外#!/bin/bashset-eux__DIR__=$(cd"$(dirname"$0")"pwd)c......
  • 构建PHP容器
    文档说明:只记录关键地方;构建脚本php-cli-alpine#!/bin/shset-uxTIME=`date-u'+%Y%m%dT%H%M%SZ'`VERSION="7.4-cli-alpine-"${TIME}IMAGE="wenba100xie/php:${......
  • 反序列化漏洞
    反序列化漏洞简介PHP反序列化漏洞也叫PHP对象注入,形成的原因是程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行、文件操作、执......
  • php yield详解
     一.介绍  二.简单例子//包含yield的函数可以生成一个generator对象,可以被foreach遍历functionGenerator(){for($i=0;$i<3;$i++){echo"输出存在......
  • pikachu php反序列化漏洞
    原理php中serialize(),unserialize()这两个函数。序列化serialize()序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:classS{publ......
  • 15.几种序列化方式
    什么是序列化关于序列化相信大家都很了解,在Java中我们经常就可以看到很多实体类或者 POJO 都会实现 Serializable 接口,有了解过 Serializable 接口的小伙伴应该都......
  • php 读取 csv 转数组列表
    我们有个文档需要修改,但是文档列太多,以及数量太大,以至于眼睛看起来很吃力,于是我决定做个简单的转化用脚本读取我想要验证的列的内容是否正确.于是就产生了一个这样将csv......
  • FastJson序列化和反序列化问题记录
    序列化与反序列化问题调用外部接口,http://100.111.55.67:9999/cmdb/v0.2.0/departments?page_size=1000,返回数据格式如下:{"code":0,"content":[{......
  • nginx容器与php容器连接
    文档说明:只记录关键地方;试验环境:linuxdebian11目标:nginx容器与php容器连接构建PHP容器curl-fsSL'https://curl.haxx.se/ca/cacert.pem'-o/usr/local/etc/p......