PHP反序列化具体解析之字符逃逸
发布时间:2022-07-09 12:56:54 所属栏目:PHP教程 来源:互联网
导读:本质:闭合 分类:字符变多、字符变少 共同点: php序列化后的字符串经过替换或修改,导致字符串长度变化 总是先序列化,在进行替换修改操作 分类 字符增多 思路: 根据序列化后字符串格式与特点,字符个数标识了后面要识别的长度 要修改某个属性就要将其替
本质:闭合 分类:字符变多、字符变少 共同点: php序列化后的字符串经过替换或修改,导致字符串长度变化 总是先序列化,在进行替换修改操作 分类 字符增多 思路: 根据序列化后字符串格式与特点,字符个数标识了后面要识别的长度 要修改某个属性就要将其替换,可通过传入的字符串控制 要将前面的双引号闭合,再传入后面要构造的字符 但是此时与前面字符串长度不匹配,构造无效 解决:根据替换字符长度变化,将构造的字符串挤出长度范围,成为下一部分 (要用替换时的长度变换填补注入字符串的空缺) tips: 判断每个字符过滤后会比原字符多出x个 确定要注入的目标子串的长度n 注入字符重复n/x遍,并带上注入字符 (构造代码的长度÷多出的字符数) 例: 目标:修改对象中一个数值,如age要改为20 <?php function filter($string){ $filter = '/p/i'; return preg_replace($filter,'WW',$string); } $username = 'purplet'; $age = "10"; $user = array($username,$age); var_dump(serialize($user)); echo "<pre>"; $r = filter(serialize($user)); var_dump($r); var_dump(unserialize($r)); ?> 下面部分可以记作模板,做题时先输出看一下 var_dump(serialize($user)); # 序列化 echo "<pre>"; $r = filter(serialize($user)); # 替换后序列化 var_dump($r); var_dump(unserialize($r)); # 打印反序列化 可以观察到,每次替换将p改为ww,即每次都多出一个字符 这就导致反序列化时长度分配读取错误而输出错误输出错误 所以考虑通过其长度读取的性质来构造字符逃逸 要将10改为20,先确定后面要构造的字符串: 原字符串:";i:1;s:2:"10";} 目标子串:";i:1;s:2:"20";} 确定长度:16(即传入的字符串需要多出16个字符来将这些字符放到下一个属性的位置上去) 每次多1个字符,故需要16个p 故传入: 构造 结果输出: 输出结果 字符减少 值逃逸 值过滤,前值包后键与值(左括号为止) 例 目标:age改为20 <?php function filter($string){ $filter = '/pp/i'; return preg_replace($filter,'W',$string); } $username = "ppurlet" $age = "10"; $user = array($username,$age); var_dump (serialize($user)); # 序列化 echo "<pre>"; $r = filter(serialize($user)); # 替换后序列化 var_dump ($r); var_dump (unserialize($r)); # 打印反序列 ?> 与上面代码相似,只是此时是将2个p替换为一个w,字符减少 同样数值不对应会反序列化失败 username:构造逃逸所需代码 age:构造逃逸代码 构造第一步 A后面是传入的age字符串,计算构造长度 占位字符 即要占位这13个字符 每2个p变1个w,相当于逃逸一位,故输入13*2=26个p,字符长度标识为26,变为13个w,后面13个字符占余下13位 在这里插入图片描述 payload: username='pppppppppppppppppppppppppp' age=A";i:1;s:2:"20";} 总结 字符增多 看第一个参数结尾后的引号到最后右括号的长度(目标字符串)n 看每次替换增量x 用n/x个替换字符和构造代码构造,传入序列化对象 字符减少 用第二个参数构造 开头设置闭合:A"(后面再考虑怎么构造) 看第一个参数后的右引号到A有多少个字符n 替换减少x个字符 创建对象: 第一个参数传入n*(x+1)个替换字符 第二个参数传入构造的字符串 (编辑:开发网_郴州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |