如果php代码对序列化后的内容进行过滤时,可能会导致用户可控的字符溢出
从这里可以看出来序列化的显示是根据最前面冒号后面的长度决定的,那么如果利用这一点,当php代码对序列化过后的字符串str进行过滤操作(转义)从而导致str的长度发生改变,导致str内容的实际长度和冒号后面的数字不一样时,就无法进行正常的反序列话操作得出原来的数据,下面举一个例子。
这里还是正常显示的。 当我们把test后面加一个单引号改为test'
可以看到显示已经不正常了,并没有正常输出username和sign,这是因为php代码bad_str()函数对序列化后的内容$seri进行了过滤,将单引号替换为了no,导致内容的长度加一,但是冒号后面的数字并未发生改变。
基于这点我们就可以对payload进行合理的拼接,以上面的代码为例
若我们传入的username的参数为
test";i:1;s:7:"no guys";}
test后面的双引号和payload最后的大括号都和前面进行了拼接相当于,这时候我们就可以利用整个溢出了,因为当在username的参数后面添加一个'就会被替换为no,意思是加一个分号就会多出来一个字符长度,那么我们如果想让上图后面的红框内容逃逸,就要让test的长度4加上(分号的个数)乘2=25(序列化后字符串冒号后的数字)加上分号的个数
列出方程就是
4+x=25+x =>可得x等于21,也就是要在payload后加上21个冒号
可以看到$user[2]也就是sign的内容成功被改为了no guys
这是因为testnonononononononononononononononononononono的正好为冒号后面的数字46,no guys的长度为7,前面a:2也就导致了"no guys";}后面的内容被反序列化函数unserialize()抛弃了
参考文献https://www.cnblogs.com/litlife/p/11690918.html