PHP反序列化詳細解析之字元逃逸

推薦學習：《》

本質：閉合
分類：字元變多、字元變少
共同點：

1. php序列化後的字串經過替換或修改，導致字串長度變化
2. 總是先序列化，在進行替換修改操作

分類

字元增多

• 思路：
  根據序列化後字串格式與特點，字元個數標識了後面要識別的長度
  要修改某個屬性就要將其替換，可通過傳入的字串控制
  要將前面的雙引號閉合，再傳入後面要構造的字元
  但是此時與前面字串長度不匹配，構造無效
  解決：根據替換字元長度變化，將構造的字串擠出長度範圍，成為下一部分
  （要用替換時的長度變換填補註入字串的空缺）
• tips：

1. 判斷每個字元過濾後會比原字元多出x個
2. 確定要注入的目標子串的長度n
3. 注入字元重複n/x遍，並帶上注入字元 （構造程式碼的長度÷多出的字元數）

• 例：
  目標：修改物件中一個數值，如age要改為20

<?php
function filter($string){
    $filter = '/p/i';
    return preg_replace($filter,'WW',$string);
}
$username = 'purplet';
$age = "10";
$user = array($username,$age);

var_dump(serialize($user));
echo "<pre>";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

下面部分可以記作模板，做題時先輸出看一下

var_dump(serialize($user));    # 序列化
echo "<pre>";
$r = filter(serialize($user)); # 替換後序列化
var_dump($r);
var_dump(unserialize($r));     # 列印反序列化

可以觀察到，每次替換將p改為ww，即每次都多出一個字元
這就導致反序列化時長度分配讀取錯誤而輸出錯誤
所以考慮通過其長度讀取的性質來構造字元逃逸

要將10改為20，先確定後面要構造的字串：

原字串：";i:1;s:2:"10";}
目標子串：";i:1;s:2:"20";}

確定長度：16（即傳入的字串需要多出16個字元來將這些字元放到下一個屬性的位置上去）
每次多1個字元，故需要16個p
故傳入：

結果輸出：

字元減少

值逃逸

值過濾，前值包後鍵與值（左括號為止）

• 例
  目標：age改為20

<?php
function filter($string){
    $filter = '/pp/i';
    return preg_replace($filter,'W',$string);
}
$username = "ppurlet"
$age = "10";
$user = array($username,$age);

var_dump (serialize($user));    # 序列化
echo "<pre>";
$r = filter(serialize($user)); # 替換後序列化
var_dump ($r);
var_dump (unserialize($r));     # 列印反序列
?>

與上面程式碼相似，只是此時是將2個p替換為一個w，字元減少
同樣數值不對應會反序列化失敗

username：構造逃逸所需程式碼
age：構造逃逸程式碼

A後面是傳入的age字串，計算構造長度

即要佔位這13個字元
每2個p變1個w，相當於逃逸一位，故輸入13*2=26個p，字元長度標識為26，變為13個w，後面13個字元佔餘下13位

payload：

username='pppppppppppppppppppppppppp'
age=A";i:1;s:2:"20";}

總結

1. 字元增多
   1. 看第一個引數結尾後的引號到最後右括號的長度（目標字串）n
   2. 看每次替換增量x
   3. 用n/x個替換字元和構造程式碼構造，傳入序列化物件
2. 字元減少
   1. 用第二個引數構造
   2. 開頭設定閉合：A"（後面再考慮怎麼構造）
   3. 看第一個引數後的右引號到A有多少個字元n
   4. 替換減少x個字元
   5. 建立物件：
      第一個引數傳入n*（x+1）個替換字元
      第二個引數傳入構造的字串

推薦學習：《》

以上就是PHP反序列化詳細解析之字元逃逸的詳細內容，更多請關注TW511.COM其它相關文章！