两道题浅析PHP反序列化逃逸
一、介绍
- 反序列化逃逸的出现是因为php反序列化函数在进行反序列化操作时,并不会审核字符串中的内容,所以我们可以操纵属性值,使得反序列化提前结束。
- 反序列化逃逸题一般都是存在一个filter函数,这个函数看似过滤了敏感字符串,其实使得代码的安全性有所降低;并且分为filter后字符串加长以及字符串变短两种情况,这两种情况有着不同的处理方式。
- 例如这段代码:
- [/code]本来反序列化的结果为:a:2:{s:4:"user";s:12:"flagflagflag";i:1;s:1:"1";}
- 但是因为敏感字符串替换变成了:a:2:{s:4:"user";s:12:"";i:1;s:1:"1";}
- 这样在反序列化时,就导致了原先的键值flagflagflag被现在的12个字符";i:1;s:1:"1替换了。导致函数误以为键user的值为";i:1;s:1:"1。
- 但是同时这里确定了有两个类,所以要想反序列化成功,则需要让原来键1对应值再包含一个类,这样就能够填补前面被覆盖的1键值的空缺;i:1;s:1:"1"应该是i:1;s:13:"1";i:2;s:1:"2",即过滤后字符串为:a:2:{s:4:"user";s:13:"";i:1;s:13:"1";i:2;s:1:"2";}
- [*]下面通过两道题实际应用一下该漏洞。
- [/list]
- [/list][size=5]二、【安洵杯 2019】easy_serialize_php[/size]
- [size=4]2.1 收获[/size]
- [list]
- [*]php反序列化逃逸
- [*]数组变量覆盖
- [*]POST请求体传递数组
- [/list][size=4]2.2 分析[/size]
- [list]
- [*][b]代码:[/b]
- [code]
</ul>3.3 反序列化逃逸
payload:- _SESSION[test]=phpphpphpphpphpphpflag&_SESSION[function]=;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";i:1;s:1:"2";}
得到base64字符串解码:
[code]
|
