加入收藏 | 设为首页 | 会员中心 | 我要投稿 开发网_郴州站长网 (http://www.0735zz.com/)- 云通信、区块链、物联设备、云计算、站长网!
当前位置: 首页 > 站长学院 > PHP教程 > 正文

PHP反序列化具体解析之字符逃逸

发布时间:2022-07-09 12:56:54 所属栏目:PHP教程 来源:互联网
导读:本质:闭合 分类:字符变多、字符变少 共同点: php序列化后的字符串经过替换或修改,导致字符串长度变化 总是先序列化,在进行替换修改操作 分类 字符增多 思路: 根据序列化后字符串格式与特点,字符个数标识了后面要识别的长度 要修改某个属性就要将其替
    本质:闭合
    分类:字符变多、字符变少
    共同点:
 
    php序列化后的字符串经过替换或修改,导致字符串长度变化
    总是先序列化,在进行替换修改操作
    分类
    字符增多
    思路:
    根据序列化后字符串格式与特点,字符个数标识了后面要识别的长度
    要修改某个属性就要将其替换,可通过传入的字符串控制
    要将前面的双引号闭合,再传入后面要构造的字符
    但是此时与前面字符串长度不匹配,构造无效
    解决:根据替换字符长度变化,将构造的字符串挤出长度范围,成为下一部分
    (要用替换时的长度变换填补注入字符串的空缺)
    tips:
    判断每个字符过滤后会比原字符多出x个
    确定要注入的目标子串的长度n
    注入字符重复n/x遍,并带上注入字符 (构造代码的长度÷多出的字符数)
    例:
    目标:修改对象中一个数值,如age要改为20
 
  
 
 
 
    <?php
 
    function filter($string){
 
        $filter = '/p/i';
 
        return preg_replace($filter,'WW',$string);
 
    }
 
    $username = 'purplet';
 
    $age = "10";
 
    $user = array($username,$age);
 
     
 
    var_dump(serialize($user));
 
    echo "<pre>";
 
    $r = filter(serialize($user));
 
    var_dump($r);
 
    var_dump(unserialize($r));
 
    ?>
 
    下面部分可以记作模板,做题时先输出看一下
  
    var_dump(serialize($user));    # 序列化
 
    echo "<pre>";
 
    $r = filter(serialize($user)); # 替换后序列化
 
    var_dump($r);
 
    var_dump(unserialize($r));     # 打印反序列化
 
    可以观察到,每次替换将p改为ww,即每次都多出一个字符
    这就导致反序列化时长度分配读取错误而输出错误输出错误
    所以考虑通过其长度读取的性质来构造字符逃逸
 
    要将10改为20,先确定后面要构造的字符串:
 
 
 
    原字符串:";i:1;s:2:"10";}
 
    目标子串:";i:1;s:2:"20";}
 
    确定长度:16(即传入的字符串需要多出16个字符来将这些字符放到下一个属性的位置上去)
    每次多1个字符,故需要16个p
    故传入:
    构造
    结果输出:
    输出结果
 
    字符减少
    值逃逸
    值过滤,前值包后键与值(左括号为止)
 
    例
    目标:age改为20
 
  
    <?php
 
    function filter($string){
 
        $filter = '/pp/i';
 
        return preg_replace($filter,'W',$string);
 
    }
 
    $username = "ppurlet"
 
    $age = "10";
 
    $user = array($username,$age);
 
     
 
    var_dump (serialize($user));    # 序列化
 
    echo "<pre>";
 
    $r = filter(serialize($user)); # 替换后序列化
 
    var_dump ($r);
 
    var_dump (unserialize($r));     # 打印反序列
 
    ?>
 
    与上面代码相似,只是此时是将2个p替换为一个w,字符减少
    同样数值不对应会反序列化失败
 
    username:构造逃逸所需代码
    age:构造逃逸代码
 
    构造第一步
    A后面是传入的age字符串,计算构造长度
    占位字符
 
    即要占位这13个字符
    每2个p变1个w,相当于逃逸一位,故输入13*2=26个p,字符长度标识为26,变为13个w,后面13个字符占余下13位
 
    在这里插入图片描述
 
    payload:
 
 
 
    username='pppppppppppppppppppppppppp'
 
    age=A";i:1;s:2:"20";}
 
    总结
    字符增多
    看第一个参数结尾后的引号到最后右括号的长度(目标字符串)n
    看每次替换增量x
    用n/x个替换字符和构造代码构造,传入序列化对象
    字符减少
    用第二个参数构造
    开头设置闭合:A"(后面再考虑怎么构造)
    看第一个参数后的右引号到A有多少个字符n
    替换减少x个字符
    创建对象:
    第一个参数传入n*(x+1)个替换字符
    第二个参数传入构造的字符串

(编辑:开发网_郴州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0735zz.com/ All Rights Reserved. 开发网_郴州站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330466号