两道题浅析PHP反序列化逃逸
两道题浅析PHP反序列化逃逸一、介绍
[*]反序列化逃逸的出现是因为php反序列化函数在进行反序列化操作时,并不会审核字符串中的内容,所以我们可以操纵属性值,使得反序列化提前结束。
[*]反序列化逃逸题一般都是存在一个filter函数,这个函数看似过滤了敏感字符串,其实使得代码的安全性有所降低;并且分为filter后字符串加长以及字符串变短两种情况,这两种情况有着不同的处理方式。
[*]例如这段代码:
本来反序列化的结果为:a:2:{s:4:"user";s:12:"flagflagflag";i:1;s:1:"1";}
但是因为敏感字符串替换变成了:a:2:{s:4:"user";s:12:"";i:1;s:1:"1";}
这样在反序列化时,就导致了原先的键值flagflagflag被现在的12个字符";i:1;s:1:"1替换了。导致函数误以为键user的值为";i:1;s:1:"1。
但是同时这里确定了有两个类,所以要想反序列化成功,则需要让原来键1对应值再包含一个类,这样就能够填补前面被覆盖的1键值的空缺;i:1;s:1:"1"应该是i:1;s:13:"1";i:2;s:1:"2",即过滤后字符串为:a:2:{s:4:"user";s:13:"";i:1;s:13:"1";i:2;s:1:"2";}
[*]下面通过两道题实际应用一下该漏洞。
二、【安洵杯 2019】easy_serialize_php
2.1 收获
[*]php反序列化逃逸
[*]数组变量覆盖
[*]POST请求体传递数组
2.2 分析
[*]代码:
这样会直接输出字符串hint.php。实际为了躲避__wakeup函数,evil的类变量需要设置为2。
</ul>3.3 反序列化逃逸
payload:
_SESSION=phpphpphpphpphpphpflag&_SESSION=;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";i:1;s:1:"2";}3.4 SSRF
得到base64字符串解码:
页:
[1]