DASCTF-Esunserialize(反序列化字符逃逸)

最新推荐文章于 2025-09-19 10:46:53 发布
原创 最新推荐文章于 2025-09-19 10:46:53 发布 · 4.6k 阅读 · 9
本文深入解析PHP中反序列化字符逃逸攻击的原理,通过实例展示如何利用序列化字符串格式和特殊字符实现对类属性的控制,最终达到执行任意代码的目的。

环境

<?php
show_source("index.php");
function write($data) {
   
   
    return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data);
}

function read($data) {
   
   
    return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data);
}

class A{
   
   
    public $username;
    public $password;
    function __construct($a,
最低0.47元/天 解锁文章
ctfshow-php特性
YkingH的博客
01-26 6475
Web专项练习—ctfshow-php特性 php绕过方法总结 小数绕过 进制绕过 ==、 = ==绕过 %20空格绕过 %0a换行绕过 回车\空格+八进制绕过 相对路径绕过 php伪协议读取文件 数组md5值为0 弱类型匹配 函数写???? 运算优先级漏洞 反射类绕过 call_user_func()绕过 sha1()函数绕过 变量覆盖 sha1弱比较 md5弱比较 ereg()截断漏洞 php内置类 FilesystemIterator 压缩过滤器绕过 空格代替url ‘_’ 绕过 gettex
细说php反序列化字符逃逸
蚁景网安学院
11-05 2898
亲爱的,关注我吧11/5文章共计4381个词预计阅读10分钟来和我一起阅读吧前言php反序列化字符逃逸算是比较难理解的一个知识点,在最近的好几场比赛中都出现了相关的题,于是下定决心彻底...
DASCTF部分复现
qq_63928796的博客
08-08 3379
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
php反序列化注入漏洞,PHP反序列化漏洞总结(二)
weixin_39740272的博客
03-19 550
写在前边之前介绍了什么是序列化和反序列化,顺便演示了一个简单的反序列化漏洞,现在结合实战,开始填坑前篇:https://www.cnblogs.com/Lee-404/p/12771032.html1.POP链POP,面向属性编程(Property-Oriented Programing),之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,...
安恒四月春季战 - web
A_dmin的博客
04-25 1176
安恒四月春季战 - web - Ezunserialize 打开获取到源码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return ...
PHP反序列化字符逃逸
blue_fantasy的博客
01-09 670
Text. 0x00 前提 掌握PHP反序列化的原理,序列化的对应内容及POP链构造。可参看: https://xz.aliyun.com/t/3674,https://xz.aliyun.com/t/6454 PHP反序列化特点: 01.PHP反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾(字符串除外),并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。例如下图超出的abcd部分并不会被反序列化成功。 02.当长度不对应的时
2020 DASCTF四月春季战-Web
weixin_43952190的博客
05-09 1001
0x01 Esunserialize 构造反序列化Pop链 字符逃逸 上源码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data); }
DACTF—Ezunserialize
ro4lsc的博客
05-07 7767
DACTF—Ezunserialize(PHP反序列化字符逃逸) 这个题是我在赛后再进行学习的,所以自己在本地复现了一下环境。 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
DASCTF-两道web题复现
臭nana的博客
05-02 3245
记录一下官方题解 Ezunserialize 打开题目看到源码 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { retu...
php其他反序列化知识学习
竹盐笙熙的博客
04-09 1576
简单总结最近学习的一些php反序列化知识
PHP序列化及反序列化绕过
qq_46041723的博客
11-18 4116
序列化和反序列化及绕过前言序列化和反序列化序列化反序列化反序列化绕过ctf题目实例 前言 本菜鸡本着菜死人不偿命的觉悟,接着迈向了ctf的世界。 废话不多说,今天来谈一下PHP的序列化和反序列化还有一些绕过姿势 序列化和反序列化 序列化 在PHP里面存在一个serialize方法来实现序列化功能。 Serializable { /* 方法 */ abstract public serialize ( ) : string abstract public unserialize ( string $seria
DASCTF 2020】Ezunserialize 超详细题解,从一个题学习php反序列化字符逃逸
最新发布
Python1111111的博客
09-19 963
本文分析了一个PHP反序列化漏洞利用过程。通过字符替换函数write和read的不等长处理,构造特定序列化字符串实现注入。关键点在于:1)利用字符替换逃逸出目标序列;2)使注入的序列紧跟在键后以被正确解析;3)通过计算字符长度精确控制逃逸过程。最终通过构造username和password参数,将恶意序列注入到类A的序列化字符串中,触发类B和类C的代码执行,成功读取flag.php文件内容。该漏洞利用展示了反序列化过程中字符替换与语法解析的微妙关系。
php showsource,showsource.php
weixin_42172972的博客
03-13 436
$cache_time=10;$OJ_CACHE_SHARE=false;require_once('./include/cache_start.php');require_once('./include/db_info.inc.php');require_once('./include/setlang.php');$view_title= "Source Code";require_once("...
php反序列化-字符逃逸看这一篇就够了
每天一小步,进步一大截
03-08 1990
php反序列化字符逃逸-缩短逃逸、增长逃逸
DASCTF2022 ——十月赛 Web 部分Writeup
渗透测试研究中心
10-28 1895
EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public起点是 sorry 类的__destruct(), 由echo $this->hint调用到 show 类的__toString()方法, 然后通过执行$this->ctf->show()跳转 secret_code 类的__call(), 进而到show()方法, ...
WEB攻防-PHP反序列化-字符逃逸
weixin_45534587的博客
03-19 1333
1.PHP反序列化时,语法是以;作为字段的分隔,以} 作为结尾,在结束符之后的任何内容不会影响反序列化的后的结果classpeoplepublic$namelili;s:2:"20";2.根据长度判断内容s:4:"lils:3:"age";s:2:"20";其中lil是name的值3.其中字符串必须以双引号包裹,不能不写或以单引号包裹;注意。
[DASCTF][Java反序列化]easyjava简单分析
Y4tacker的博客
08-02 3119
文章目录写在前面easyjava推荐文章 写在前面 昨天题目环境似乎出了点小问题,咋也不好问,咋也不敢说,题目有意思,当然还有其他链子猜测jdbc应该也可以打,没试过太懒了 easyjava 首先下载源码发现Java版本是1.7的,先放这里 看看在evil路由下面,很明显是去触发反序列化,但是有过滤 ban了这么多,cc链基本上不用想了,一方面是低版本不起作用,另一方面Transformer被ban了,看来只能用TemplatesImpl去执行字节码试一试,想到了Java7U21反序列化(可以看我博客分
dasctf暑期挑战赛easyjob复现
Err0r233的博客
07-31 913
这次java意外地能查到资料.jpg,然后以为得用jndi打,就不是很想做。哎,没想到不出网,淦。还有个很几把神经的原因就是十个靶机我全都打不开,摆了
PHP反序列化字符逃逸详解
aihua002的博客
07-04 415
查看过滤前后的代码能发现,应该是 6 位长度的 name 变量在过滤后变成了 7 位,根据反序列化读取变量的原则来讲,此时的 name 能读取到的是 aaaacc ,末尾处的那个 c 是读取不到的,这就形成了一个字符串的逃逸。当我们添加多个 bb ,每添加一个 bb 我们就能逃逸一个字符,那我们将逃逸字符串的长度填充成我们要反序列化的代码的话那就可以控制反序列化的结果以及类里面的变量值了。在反序列化的时候 php 会根据 s 所指定的字符长度去读取后边的字符。如果指定的长度错误则反序列化就会失败。
php反序列化字符逃逸
m0_75178803的博客
03-04 1311
序列化是将变量或对象转换成字符串的过程,用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。“序列化”是一种类似于这样的结构:s:3:"ctf";对象类型:名称长度:对象名称:对象个数:{属性类型:属性长度:属性名称;内容类型:内容长度:内容;;是用来分隔属性的反序列化是将字符串转换成变量或对象的过程,“反序列”是把序列化成的用来在内存中重新创建一个实际的对象。这个机制被用来“持久化”对象(这里参考大佬的文章在这里说明一下,引用的文章在末尾会提到)
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bog0n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值