简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
首頁
文章
問答
課程
專題
下載
遊戲
詞典
最近更新

首頁  >  文章  >  後端開發  >  PHP反序列化詳細解析之字元逃逸

PHP反序列化詳細解析之字元逃逸

WBOY
WBOY轉載
2022-04-14 12:06:495539瀏覽

本篇文章為大家帶來了關於PHP的相關知識,其中主要介紹了關於反序列化字元逃逸的相關問題,php序列化後的字串經過替換或修改,導致字串長度變化,總是先序列化,在進行替換修改操作,下面一起來看一下,希望對大家有幫助。

PHP反序列化詳細解析之字元逃逸

推薦學習:《PHP影片教學

本質:閉合
分類:字元變多、字元變少
共同點:

  1. php序列化後的字串經過替換或修改,導致字串長度變化
  2. 總是先序列化,在進行替換修改操作

分類

字元增加

  • 想法:
    根據序列化後字串格式與特點,字元數標識了後面要識別的長度
    要修改某個屬性就要將其替換,可透過傳入的字串控制
    要將前面的雙引號閉合,再傳入後面要建構的字元
    但是此時與前面字串長度不匹配,構造無效
    解決:根據替換字元長度變化,將構造的字串擠出長度範圍,成為下一部分
    (要用替換時的長度轉換填補注入字串的空缺)
  • tips:
  1. #判斷每個字元過濾後會比原字元多出x個
  2. 確定要注入的目標子字串的長度n
  3. 注入字元重複n/x遍,並帶上註入字元(建構程式碼的長度÷多出的字元數)
  • #範例:
    目標:修改物件中一個數值,如age要改為20
<?php function filter($string){
    $filter = &#39;/p/i&#39;;
    return preg_replace($filter,&#39;WW&#39;,$string);
}
$username = &#39;purplet&#39;;
$age = "10";
$user = array($username,$age);

var_dump(serialize($user));
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

下面部分可以記作模板,做題時先輸出看一下

var_dump(serialize($user));    # 序列化
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user)); # 替换后序列化
var_dump($r);
var_dump(unserialize($r));     # 打印反序列化

可以觀察到,每次替換將p改為ww,即每次都多出一個字元
這就導致反序列化時長度分配讀取錯誤而輸出錯誤PHP反序列化詳細解析之字元逃逸
#所以考慮透過其長度讀取的性質來建構字元逃逸

要將10改為20,先確定後面要建構的字串:

原字符串:";i:1;s:2:"10";}
目标子串:";i:1;s:2:"20";}

確定長度:16(即傳入的字串需要多出16個字符來將這些字符放到下一個屬性的位置上去)
每次多1個字符,故需要16個p
故傳入:
PHP反序列化詳細解析之字元逃逸
結果輸出:
PHP反序列化詳細解析之字元逃逸

字元減少

值逃逸

值過濾,前值包後鍵與值(左括號為止)

  • 範例
    目標:age改為20
<?php function filter($string){
    $filter = &#39;/pp/i&#39;;
    return preg_replace($filter,&#39;W&#39;,$string);
}
$username = "ppurlet"
$age = "10";
$user = array($username,$age);

var_dump (serialize($user));    # 序列化
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user)); # 替换后序列化
var_dump ($r);
var_dump (unserialize($r));     # 打印反序列
?>

與上面程式碼相似,但此時是將2個p替換為一個w,字元減少
同樣數值不對應會反序列化失敗

username:建構逃逸所需程式碼
age:建構逃逸程式碼

PHP反序列化詳細解析之字元逃逸第一步## A後面是傳入的age字串,計算建構長度

PHP反序列化詳細解析之字元逃逸

即要佔位這13個字元

每2個p變1個w,相當於逃逸一位,故輸入13*2=26個p,字元長度標識為26,變為13個w,後面13個字元佔餘下13位元

PHP反序列化詳細解析之字元逃逸##payload:

username='pppppppppppppppppppppppppp'
age=A";i:1;s:2:"20";}

總結

字元增多
  1. 看第一個參數結尾後的引號到最後右括號的長度(目標字串)n
    1. 看每次替換增量x
    2. 用n/x個替換字元和建構程式碼構造,傳入序列化物件
    字元減少
  2. 用第二個參數建構
    1. 開頭設定閉合:A"(後面再考慮怎麼建構)
    2. 看第一個參數後的右引號到A有多少個字符n
    3. 取代減少x個字元
    4. 建立物件:
      5. 第一個參數傳入n*(x 1)個替換字元
    5. 第二個參數傳入建構的字串

    3. 推薦學習:《
PHP影片教學

以上是PHP反序列化詳細解析之字元逃逸的詳細內容。更多資訊請關注PHP中文網其他相關文章!

php 字符串 对象
陳述:
本文轉載於:csdn.net。如有侵權,請聯絡admin@php.cn刪除
上一篇:php依賴注入總結分享下一篇:php依賴注入總結分享

相關文章

看更多