PHP反序列化7(字符串逃逸)

考点7:字符串逃逸

<aside> 💡

字符串减少

</aside>

<?php
highlight_file(__FILE__);
error_reporting(0);
class A{
    public $v1 = "abcsystem()system()system()";
    public $v2 = '123';
    public function __construct($arga,$argc){
            $this->v1 = $arga;
            $this->v2 = $argc;
    }
}
$a = $_GET['v1'];
$b = $_GET['v2'];
$data = serialize(new A($a,$b));
$data = str_replace("system()","",$data);
var_dump(unserialize($data));
?>

逃逸减少的代码通过 str_replace()函数将输入字符串中的 'system()' 替换成了 "" 空字符。

通过这个特性构造payload:

注意!!! 一定有两个可控制参数,前者进行字符减少,后者进行payload参数的注入。

a=\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0&b=1";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}

<aside> 💡

字符串增多

</aside>

<?php
highlight_file(__FILE__);
error_reporting(0);
class A{
    public $v1 = 'ls';
    public $v2 = '123';
    public function __construct($arga,$argc){
        $this->v1 = $arga;
        $this->v2 = $argc;
    }
}
$a = $_GET['v1'];
$b = $_GET['v2'];
$data =  serialize(new A($a,$b));
$data = str_replace("ls","pwd",$data);
var_dump(unserialize($data));

注意!!! 只有一个可控制参数进行payload参数的注入,使得语句提前结束。

通过分析代码,后台将我们输入的字符串中的 'ls' 全部都替换为了 'pwd'。

我们可以利用这个漏洞构造以下payload:

<aside> 💡

总结

</aside>

字符串增多跟减少最大的差异在于:1.可控制参数的不同 。2.无效代码走向。

1.可变参数的不同 。

减少:两个可控制参数。

增多:一个可控制参数。

2.无效代码走向。

减少:两个可控制参数之前,序列化产生的功能代码被吃掉,成为第一个参数的值,逃逸成功。

增多:一个可控制参数后,带入构造功能性代码,使得序列化代码提前结束,后面自己产生的序 列化代码无效。

相关推荐
用余生去守护26 分钟前
python报错系列(16)--pyinstaller ????????
开发语言·python
数据小爬虫@30 分钟前
利用Python爬虫快速获取商品历史价格信息
开发语言·爬虫·python
向宇it33 分钟前
【从零开始入门unity游戏开发之——C#篇25】C#面向对象动态多态——virtual、override 和 base 关键字、抽象类和抽象方法
java·开发语言·unity·c#·游戏引擎
莫名其妙小饼干1 小时前
网上球鞋竞拍系统|Java|SSM|VUE| 前后端分离
java·开发语言·maven·mssql
xcLeigh1 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全
十年一梦实验室1 小时前
【C++】sophus : sim_details.hpp 实现了矩阵函数 W、其导数,以及其逆 (十七)
开发语言·c++·线性代数·矩阵
最爱番茄味1 小时前
Python实例之函数基础打卡篇
开发语言·python
Oneforlove_twoforjob2 小时前
【Java基础面试题033】Java泛型的作用是什么?
java·开发语言
engchina2 小时前
如何在 Python 中忽略烦人的警告?
开发语言·人工智能·python
向宇it2 小时前
【从零开始入门unity游戏开发之——C#篇24】C#面向对象继承——万物之父(object)、装箱和拆箱、sealed 密封类
java·开发语言·unity·c#·游戏引擎