PHP反序列化字符逃逸详解

这段时间遇到几个关于反序列化的字符逃逸的程序,今天来分享一下经验。

<?php
function filter($str){
return str_replace('bb', 'ccc', $str);
}
class A{
public $name='aaaa';
public $pass='123456';
}
$AA=new A();
$res=filter(serialize($AA));
$c=unserialize($res);
echo $c->pass;
?>

以上面代码为例,如何在不直接修改 $pass 值的情况下间接修改 $pass 的值。

代码的流程为:

先序列化代码,然后将里面不希望出现的字符替换成自定义的字符串。然后进行反序列化,最后输出 pass 变量。

要解决上面这个问题,先来看一下 php 序列化代码的特征。

6b4655a5d5c4b6b3a6457c564470d08e.png

在反序列化的时候 php 会根据 s 所指定的字符长度去读取后边的字符。

如果指定的长度错误则反序列化就会失败。

8a9d86539028252c28be02194173e907.png

此时的 name 所读取的数据为 aaaa ” 而正常的语法是需要用 ” ; 去闭合当前的变量,而因为长度错误所以此时 php 把闭合的双引号当做了字符串,所以下一个字符就成了分号,没能闭合导致抛出了错误。

把精力回到开头所说的代码,根据刚才讲的,如果我们将 name 变量中添加 bb 则程序会报错。

646888a64e39bd73ab916d71ab019c3a.png

查看过滤前后的代码能发现,应该是 6 位长度的 name 变量在过滤后变成了 7 位,根据反序列化读取变量的原则来讲,此时的 name 能读取到的是 aaaacc ,末尾处的那个 c 是读取不到的,这就形成了一个字符串的逃逸。当我们添加多个 bb ,每添加一个 bb 我们就能逃逸一个字符,那我们将逃逸的字符串的长度填充成我们要反序列化的代码的话那就可以控制反序列化的结果以及类里面的变量值了。

88c1afdac6f9838804796ebc07958486.png

填充如上图数量的 bb 即可修改 pass 的值。

具体分析如下:

2b43c25adc9431ed671532e0c89e033e.png

逃逸或者说被 “顶”出来的 payload 就会被当做当前类的属性被执行。

91fd1c646647e6d5864ee9c3c21fa014.png

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值