干货 | 能看懂的PHP反序列化字符逃逸漏洞

1

免责声明

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

2

内容速览

1、引子

• 在php中，反序列化的过程中必须严格按照序列化规则才能成功实现反序列化，例如

<?php
  	$str = "a:2:{i:0;s:4:"flag";i:1;s:6:'mikasa';}"
  	var_dump(unserialize($str));
?>;
#输出结果
/*
array(2){
	[0]=>; string(4) "flag"
  [1]=>; string(6) "mikasa"
}
*/

• 一般情况下，按照我们的正常理解，上面例子中变量str是一个标准的序列化后的字符串，按理来说改变其中任何一个字符都会导致反序列化失败。但事实并非如此。如果在str结尾的花括号后加一些字符

<?php
  	$str = "a:2:{i:0;s:4:"flag";i:1;s:6:'mikasa';}abc"
  	var_dump(unserialize($str));
?>;
#输出结果依然和上面的相同

• 这说明了反序列化的过程是有一定识别范围的，在这个范围之外的字符（如花括号外的abc）都会被忽略，不影响反序列化的正常进行、

2、php反序列化的几大特性

PHP 在反序列化时，底层代码是以 ; 作为字段的分隔，以 } 作为结尾（字符串除外）并且是根据长度判断内容的

• 注意点，很容易以为序列化后的字符串是;}结尾，实际上字符串序列化是以;}结尾的，但对象序列化是直接}结尾
• php反序列化字符逃逸，就是通过这个结尾符实现的 当长度不对应的时候会出现报错

3、反序列化字符逃逸

反序列化之所以存在字符串逃逸，最主要的原因是代码中存在针对序列化（serialize()）后的字符串进行了过滤操作（变多或者变少）。

反序列化字符逃逸问题根据过滤函数一般分为两种，字符数增多和字符数减少

（1）字符数增多的利用示例

<?php
  	function filter($str){<!-
- -->
  			return str_replace('x','yy',$str);
		}
		
		$username = "mikasa";
		$password = "biubiu";
		$user = array($username,$password);
		
		$str1 = filter(serialize($user));
		//$str2 = filter($_GET['user']);

		var_dump(unserialize($str1));
		//var_dump(unserialize($str2));
?>;

问：如果我能控制进行反序列化的字符串，该如何使var_dump打印出来的password对应的值是123456，而不是biubiu？

• 正常情况下反序列化字符串$str1的值为a:2:{i:0;s:6:"mikasa";i:1;s:6:"biubiu";}
• 那么把username的值变为mikasaxxx，当完成序列化，filter函数处理后的结果为a:2:{i:0;s:9:"mikasayyyyyy";i:1;s:6:"biubiu";}
• 因为比之前多了三个字符，反序列化时肯定是会失败的！
• 所以，可以利用多出来的字符串做一些坏事？想要password是123456，反序列化化前的字符串要是 a:2:{i:0;s:6:"mikasa";i:1;s:6:"123456";}

如果说我们输入的是

• a:2:{i:0;s:26:"mikasa";i:1;s:6:"123456";}";i:1;s:6:"biubiu";}
• 多出的字段是 ";i:1;s:6:"123456";} 数一下是20个字符，
• 一个x会导致多出一个字符，所以加上20个x，";i:1;s:6:"biubiu";}部分的内容会被当作无效部分被忽略？？？所以最终输入是
• a:2:{i:0;s:46:"mikasaxxxxxxxxxxxxxxxxxxx";i:1;s:6:"123456";}";i:1;s:5:"aaaaa";}
• filter之后，会变为
• a:2:{i:0;s:46:"mikasayyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy";i:1;s:6:"123456";}";i:1;s:5:"aaaaa";}

（2）字符串减少时

<?php
  	function filter($str){<!-
- -->
  			return str_replace("xx","y",$str);
		}
		
		$username = "mikasa";
		$password = "biubiu";
		$user = array($username,$password);
		
		$str1 = filter(serialize($user));
		//$str2 = filter(serialize($_GET['user']));
		
		var_dump(unserialize($str1));
		//var_dump(unserialize($str2));
?>;

问：如果我能控制进行反序列化的字符串，该如何使var_dump打印出来的password对应的值是123456，而不是biubiu？

• 正常情况下反序列化字符串$str1的值为 a:2:{i:0;s:6:"mikasa";i:1;s:6:"biubiu";}

那么把username的值变为mikasaxxxxxx，当完成序列化，filter函数处理后的结果为a:2:{i:0;s:12:"mikasayyy";i:1;s:6:"biubiu";}

• 因为比之前少了三个字符，反序列化时肯定是会失败的,mikasayyy的长度为9，还会继续往后吞3个字符！但这样会造成语法错误！
• 所以，是否可以利用变化的字符长度做一些坏事？（吞掉原有的password值，再添加新值！） 构建的注入表达式是（吞）
• a:2:{i:0;s:?:"mikasa";i:1;s:5:"biubiu";}";i:1;s:6:"123456";}
• 所以要吞掉的内容是";i:1;s:5:"biubiu";} 一共是20个字符！所以需要添加40个x 所以最终的输入时
• a:2:{i:0;s:46:"mikasaxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";i:1;s:5:"biubiu";}";i:1;s:6:"123456";}
• filter之后，会变为
• a:2:{i:0;s:46:"mikasayyyyyyyyyyyyyyyyyyyy";i:1;s:5:"biubiu";}";i:1;s:6:"123456";}

4、总结

• 当字符增多：在输入的时候再加上精心构造的字符。经过过滤函数，字符变多之后，就把我们构造的给挤出来。从而实现字符逃逸
• 当字符减少：在输入的时候再加上精心构造的字符。经过过滤函数，字符减少后，会把原有的吞掉，使构造的字符实现代替