PHP反序列化详细解析之字符逃逸

本篇文章给大家带来了关于PHP的相关知识，其中主要介绍了关于反序列化字符逃逸的相关问题，php序列化后的字符串经过替换或修改，导致字符串长度变化，总是先序列化，在进行替换修改操作，下面一起来看一下，希望对大家有帮助。

推荐学习：《PHP视频教程》

本质：闭合
分类：字符变多、字符变少
共同点：

1. php序列化后的字符串经过替换或修改，导致字符串长度变化
2. 总是先序列化，在进行替换修改操作

分类

字符增多

• 思路：
  根据序列化后字符串格式与特点，字符个数标识了后面要识别的长度
  要修改某个属性就要将其替换，可通过传入的字符串控制
  要将前面的双引号闭合，再传入后面要构造的字符
  但是此时与前面字符串长度不匹配，构造无效
  解决：根据替换字符长度变化，将构造的字符串挤出长度范围，成为下一部分
  （要用替换时的长度变换填补注入字符串的空缺）
• tips：

1. 判断每个字符过滤后会比原字符多出x个
2. 确定要注入的目标子串的长度n
3. 注入字符重复n/x遍，并带上注入字符 （构造代码的长度÷多出的字符数）

• 例：
  目标：修改对象中一个数值，如age要改为20

<?php
function filter($string){
    $filter = &#39;/p/i&#39;;
    return preg_replace($filter,&#39;WW&#39;,$string);
}
$username = &#39;purplet&#39;;
$age = "10";
$user = array($username,$age);

var_dump(serialize($user));
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

下面部分可以记作模板，做题时先输出看一下

var_dump(serialize($user));    # 序列化
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user)); # 替换后序列化
var_dump($r);
var_dump(unserialize($r));     # 打印反序列化

可以观察到，每次替换将p改为ww，即每次都多出一个字符
这就导致反序列化时长度分配读取错误而输出错误
所以考虑通过其长度读取的性质来构造字符逃逸

要将10改为20，先确定后面要构造的字符串：

原字符串：";i:1;s:2:"10";}
目标子串：";i:1;s:2:"20";}

确定长度：16（即传入的字符串需要多出16个字符来将这些字符放到下一个属性的位置上去）
每次多1个字符，故需要16个p
故传入：

结果输出：

字符减少

值逃逸

值过滤，前值包后键与值（左括号为止）

• 例
  目标：age改为20

<?php
function filter($string){
    $filter = '/pp/i';
    return preg_replace($filter,'W',$string);
}
$username = "ppurlet"
$age = "10";
$user = array($username,$age);

var_dump (serialize($user));    # 序列化
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user)); # 替换后序列化
var_dump ($r);
var_dump (unserialize($r));     # 打印反序列
?>

与上面代码相似，只是此时是将2个p替换为一个w，字符减少
同样数值不对应会反序列化失败

username：构造逃逸所需代码
age：构造逃逸代码

A后面是传入的age字符串，计算构造长度

即要占位这13个字符
每2个p变1个w，相当于逃逸一位，故输入13*2=26个p，字符长度标识为26，变为13个w，后面13个字符占余下13位

payload：

username='pppppppppppppppppppppppppp'
age=A";i:1;s:2:"20";}

总结

1. 字符增多
   1. 看第一个参数结尾后的引号到最后右括号的长度（目标字符串）n
   2. 看每次替换增量x
   3. 用n/x个替换字符和构造代码构造，传入序列化对象
2. 字符减少
   1. 用第二个参数构造
   2. 开头设置闭合：A"（后面再考虑怎么构造）
   3. 看第一个参数后的右引号到A有多少个字符n
   4. 替换减少x个字符
   5. 创建对象：
      第一个参数传入n*（x+1）个替换字符
      第二个参数传入构造的字符串

推荐学习：《PHP视频教程》

以上是PHP反序列化详细解析之字符逃逸的详细内容。更多信息请关注PHP中文网其他相关文章！