PHP反序列化之字符逃逸怎么實現

本文小編為大家詳細介紹“PHP反序列化之字符逃逸怎么實現”，內容詳細，步驟清晰，細節處理妥當，希望這篇“PHP反序列化之字符逃逸怎么實現”文章能幫助大家解決疑惑，下面跟著小編的思路慢慢深入，一起來學習新知識吧。

本質：閉合
分類：字符變多、字符變少
共同點：

1. php序列化后的字符串經過替換或修改，導致字符串長度變化

2. 總是先序列化，在進行替換修改操作

分類

字符增多

• 思路：
  根據序列化后字符串格式與特點，字符個數標識了后面要識別的長度
  要修改某個屬性就要將其替換，可通過傳入的字符串控制
  要將前面的雙引號閉合，再傳入后面要構造的字符
  但是此時與前面字符串長度不匹配，構造無效
  解決：根據替換字符長度變化，將構造的字符串擠出長度范圍，成為下一部分
  （要用替換時的長度變換填補注入字符串的空缺）

• tips：

1. 判斷每個字符過濾后會比原字符多出x個

2. 確定要注入的目標子串的長度n

3. 注入字符重復n/x遍，并帶上注入字符 （構造代碼的長度÷多出的字符數）

• 例：
  目標：修改對象中一個數值，如age要改為20

<?php
function filter($string){
    $filter = '/p/i';
    return preg_replace($filter,'WW',$string);
}
$username = 'purplet';
$age = "10";
$user = array($username,$age);

var_dump(serialize($user));
echo "<pre>";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

下面部分可以記作模板，做題時先輸出看一下

var_dump(serialize($user));    # 序列化
echo "<pre>";
$r = filter(serialize($user)); # 替換后序列化
var_dump($r);
var_dump(unserialize($r));     # 打印反序列化

可以觀察到，每次替換將p改為ww，即每次都多出一個字符
這就導致反序列化時長度分配讀取錯誤而輸出錯誤
所以考慮通過其長度讀取的性質來構造字符逃逸

要將10改為20，先確定后面要構造的字符串：

原字符串：";i:1;s:2:"10";}
目標子串：";i:1;s:2:"20";}

確定長度：16（即傳入的字符串需要多出16個字符來將這些字符放到下一個屬性的位置上去）
每次多1個字符，故需要16個p
故傳入：

結果輸出：

字符減少

值逃逸

值過濾，前值包后鍵與值（左括號為止）

• 例
  目標：age改為20

<?php
function filter($string){
    $filter = '/pp/i';
    return preg_replace($filter,'W',$string);
}
$username = "ppurlet"
$age = "10";
$user = array($username,$age);

var_dump (serialize($user));    # 序列化
echo "<pre>";
$r = filter(serialize($user)); # 替換后序列化
var_dump ($r);
var_dump (unserialize($r));     # 打印反序列
?>

與上面代碼相似，只是此時是將2個p替換為一個w，字符減少
同樣數值不對應會反序列化失敗

username：構造逃逸所需代碼
age：構造逃逸代碼

A后面是傳入的age字符串，計算構造長度

即要占位這13個字符
每2個p變1個w，相當于逃逸一位，故輸入13*2=26個p，字符長度標識為26，變為13個w，后面13個字符占余下13位

payload：

username='pppppppppppppppppppppppppp'
age=A";i:1;s:2:"20";}

讀到這里，這篇“PHP反序列化之字符逃逸怎么實現”文章已經介紹完畢，想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會，如果想了解更多相關內容的文章，歡迎關注億速云行業資訊頻道。