func.php:

假设我们能修改name的值,info的值无法修改,如何利用name去修改info的值呢?

首先,要了解一下序列化的一些基础知识,如图: 假设有一个A类的实例化对象,用两个属性,分别是属性name,值为ben 属性info,值为ctfer

上方是一个类的实例化对象,有两个属性,下方是序列化后的字符串,{}内包含了这个对象的所有属性和对应的值,可以分为4个部分,

每个部分的组成为

s(字符串):数字(长度) :“字符串内容”; (字符串内容部分以:“开始,”;结束,这两个符号成对出现)

结尾有" ;} " 这两个符号,在反序列化过程中,遇到这两个符号就会停止反序列化,后面的字符会被丢弃

php在反序列化时,会严格按照字符串长度来读取后面的字符串,如果长度不对,就会反序列化失败,返回一个布尔变量false,我看其他大佬的文章这里都会报错,可能是php版本不同,如:

我们把原来的4改为3,php在读取时就会往后面读取3个字符:nam,然后结束这个字符串的读取**,正常来说接下来该读取结束符 “; 来构成闭合,但是没有,而是读取到了e,于是反序列化失败**,返回false,如果改为5,就会读取 name” 然后结束,也是无法闭合而失败

当然一般来说长度肯定是正确的,但是在我这个实验环境中,如果某个属性的值中含有’b’字符,经过上面的filter_repmore函数过滤后变为cc,长度就会发生改变,在反序列化时就会发生实际字符串长度大于预期长度的情况,导致无法闭合而失败,例如:

t

e

s

t

1

=

n

e

w

A

(

)

;

p

r

i

n

t

_

r

(

test1=new A(); print\_r(

test1=newA();print_r(test1).“\n”;

r

e

s

=

s

e

r

i

a

l

i

z

e

(

res=serialize(

res=serialize(test1); print(KaTeX parse error: Undefined control sequence: \n at position 6: res."\̲n̲"); print(filte…test1))).“\n”; var_dump(unserialize(filter_repmore(serialize($test1))));

这里就是读取了一个c之后,然后停止读取内容,后面就应该读取结束符来构成闭合,但这里是c不是",因此失败,如果我们自己在name属性的值中,添加 "; 让它完成闭合,再跟上符合格式的序列化字符串,结尾跟上结束符,让php继续执行反序列化流程,似乎就可以成功了,后面的序列化字符串也是我们可以控制的,就像上面的绿框,我们把ctfer改为hacker,长度改为6,如果能让它成功反序列化,就达到了修改info的目的

开始尝试:

但是并没有像我们的预期一样构成闭合**,“; 和结束符 ;}被当成字符串的内容来读取**,因为name本身就要有值,所以就把我们的序列化字符串当做name的值,然后再去读取下一个属性来反序列化

那我们需要一点东西去填充name的值,好让php能把我们的序列化字符串去反序列化而不是当作字符串读取,这时就可以借助前面提到的过滤函数了

function filter_repmore(KaTeX parse error: Expected '}', got 'EOF' at end of input: …place('b','cc',str); //把b换成cc,过滤后序列化整体字符串变长 }

前面我们也分析了,每有一个b,就会多出一个c无法被当做正常字符串去读取,而是按照正常流程去反序列化下一个属性和对应的值, ";s:4:“info”;s:6:“hacker”;} 这个我们输入的序列化字符串长度为27

如果我们把name的值换成27个b+序列化字符串,27个b就会被过滤替换为54个c,而在反序列化时,由于name的长度在序列化时就确定为54(27个b+序列化字符串),php就会把前面54个c当作name的值来读取,后面的序列化字符串就会逃逸出去,正常反序列化,从而修改info,如: name=$payload; print\_r($test1)."\n"; print\_r(serialize($test1))."\n"; $res=filter\_repmore(serialize($test1)); echo "\n".$res."\n"; $c=unserialize($res); print\_r($c); ?>

可以看到,info的值被修改了

接下来以一道简单的题目来讲构造流程

题目实战

newstarctf 2024 week4 逃

可以看到,这里有个waf过滤函数,把对象序列化并过滤后再反序列化,是过滤后变长的题型

总体思路—>利用我们能控制的key去修改cmd,在__destruct中system执行cmd

具体实现:

1拿下来源码放在本地,稍作修改: key = $key; } public function \_\_destruct() { system($this->cmd); } } echo serialize(new GetFlag()); # 这段代码就是查看正常的序列化后的字符串(其中含有我们想要的cmd值),当然如果对序列化熟悉的话可以直接构造payload ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b3324cfb9ffb46769702a74855a5093e.png#pic_center) 把红框部分拿下来即可 2.配合前面写的get\_payload函数构造payload,并在本地尝试是否成功 bad被替换为good,一个bad可以逃逸一个字符,所以需要直接传入序列化字符串长度即可 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/5efbed53f25c48bc9623bca18373bc43.png#pic_center) 可以看到,在本地实验成功,接下来只要修改cmd的值为其他系统命令,**再修改序列化字符串中cmd的长度**,然后把$payload传过去即可 最后的exp: key = $key; } public function \_\_destruct() { system($this->cmd); } } $key='";s:3:"cmd";s:9:"cat /flag";}'; $payload=get\_payload('bad',strlen($key),$key); echo "\n".$payload; ?>

把payload赋值为key即可,

结果:

过滤后变短

实验学习

相关链接

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: