本篇文章為大家帶來了關於PHP的相關知識,其中主要介紹了關於反序列化字元逃逸的相關問題,php序列化後的字串經過替換或修改,導致字串長度變化,總是先序列化,在進行替換修改操作,下面一起來看一下,希望對大家有幫助。
推薦學習:《PHP影片教學》
本質:閉合
分類:字元變多、字元變少
共同點:
<?php function filter($string){
$filter = '/p/i';
return preg_replace($filter,'WW',$string);
}
$username = 'purplet';
$age = "10";
$user = array($username,$age);
var_dump(serialize($user));
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>下面部分可以記作模板,做題時先輸出看一下
var_dump(serialize($user)); # 序列化 echo "<pre class="brush:php;toolbar:false">"; $r = filter(serialize($user)); # 替换后序列化 var_dump($r); var_dump(unserialize($r)); # 打印反序列化
可以觀察到,每次替換將p改為ww,即每次都多出一個字元
這就導致反序列化時長度分配讀取錯誤而輸出錯誤
#所以考慮透過其長度讀取的性質來建構字元逃逸
要將10改為20,先確定後面要建構的字串:
原字符串:";i:1;s:2:"10";} 目标子串:";i:1;s:2:"20";}
確定長度:16(即傳入的字串需要多出16個字符來將這些字符放到下一個屬性的位置上去)
每次多1個字符,故需要16個p
故傳入:
結果輸出:
值過濾,前值包後鍵與值(左括號為止)
<?php function filter($string){
$filter = '/pp/i';
return preg_replace($filter,'W',$string);
}
$username = "ppurlet"
$age = "10";
$user = array($username,$age);
var_dump (serialize($user)); # 序列化
echo "<pre class="brush:php;toolbar:false">";
$r = filter(serialize($user)); # 替换后序列化
var_dump ($r);
var_dump (unserialize($r)); # 打印反序列
?>與上面程式碼相似,但此時是將2個p替換為一個w,字元減少
同樣數值不對應會反序列化失敗
username:建構逃逸所需程式碼
age:建構逃逸程式碼
## A後面是傳入的age字串,計算建構長度
每2個p變1個w,相當於逃逸一位,故輸入13*2=26個p,字元長度標識為26,變為13個w,後面13個字元佔餘下13位元
##payload:
username='pppppppppppppppppppppppppp' age=A";i:1;s:2:"20";}
以上是PHP反序列化詳細解析之字元逃逸的詳細內容。更多資訊請關注PHP中文網其他相關文章!
