PHP反序列化详细解析之字符逃逸

本篇文章给大家带来了关于php的相关知识，其中主要介绍了关于反序列化字符逃逸的相关问题，php序列化后的字符串经过替换或修改，导致字符串长度变化，总是先序列化，在进行替换修改操作，下面一起来看一下，希望对大家有帮助。

推荐学习：《PHP视频教程》

本质：闭合
分类：字符变多、字符变少
共同点：

1. php序列化后的字符串经过替换或修改，导致字符串长度变化
2. 总是先序列化，在进行替换修改操作

字符增多

• 思路：
  根据序列化后字符串格式与特点，字符个数标识了后面要识别的长度
  要修改某个属性就要将其替换，可通过传入的字符串控制
  要将前面的双引号闭合，再传入后面要构造的字符
  但是此时与前面字符串长度不匹配，构造无效
  解决：根据替换字符长度变化，将构造的字符串挤出长度范围，成为下一部分
  （要用替换时的长度变换填补注入字符串的空缺）
• tips：

1. 判断每个字符过滤后会比原字符多出x个
2. 确定要注入的目标子串的长度n
3. 注入字符重复n/x遍，并带上注入字符 （构造代码的长度÷多出的字符数）

• 例：
  目标：修改对象中一个数值，如age要改为20

";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

下面部分可以记作模板，做题时先输出看一下

var_dump(serialize($user));    # 序列化
echo "
";
$r = filter(serialize($user)); # 替换后序列化
var_dump($r);
var_dump(unserialize($r));     # 打印反序列化
可以观察到，每次替换将p改为ww，即每次都多出一个字符
 这就导致反序列化时长度分配读取错误而输出错误
 所以考虑通过其长度读取的性质来构造字符逃逸
要将10改为20，先确定后面要构造的字符串：
原字符串：";i:1;s:2:"10";}
目标子串：";i:1;s:2:"20";}
确定长度：16（即传入的字符串需要多出16个字符来将这些字符放到下一个属性的位置上去）
 每次多1个字符，故需要16个p
 故传入：

 结果输出：
字符减少
值逃逸
值过滤，前值包后键与值（左括号为止）
例
 目标：age改为20
";
$r = filter(serialize($user)); # 替换后序列化
var_dump ($r);
var_dump (unserialize($r));     # 打印反序列
?>
与上面代码相似，只是此时是将2个p替换为一个w，字符减少
 同样数值不对应会反序列化失败

 A后面是传入的age字符串，计算构造长度
即要占位这13个字符
 每2个p变1个w，相当于逃逸一位，故输入13*2=26个p，字符长度标识为26，变为13个w，后面13个字符占余下13位
payload：
username='pppppppppppppppppppppppppp'
age=A";i:1;s:2:"20";}
总结
字符增多
看第一个参数结尾后的引号到最后右括号的长度（目标字符串）n
看每次替换增量x
用n/x个替换字符和构造代码构造，传入序列化对象
字符减少
用第二个参数构造
开头设置闭合：A"（后面再考虑怎么构造）
看第一个参数后的右引号到A有多少个字符n
替换减少x个字符
创建对象：
 第一个参数传入n*（x+1）个替换字符
 第二个参数传入构造的字符串
            

                分享标题：PHP反序列化详细解析之字符逃逸
                

                URL网址：http://www.mswzjz.cn/qtweb/news24/381274.html
            
            

                攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等
                                
            

                广告
                
            
            

                声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：
                贝锐智能