标签：PHP no 后面 逃逸 test 长度 序列化 冒号

基本思想

如果php代码对序列化后的内容进行过滤时，可能会导致用户可控的字符溢出

序列化

从这里可以看出来序列化的显示是根据最前面冒号后面的长度决定的，那么如果利用这一点，当php代码对序列化过后的字符串str进行过滤操作(转义)从而导致str的长度发生改变，导致str内容的实际长度和冒号后面的数字不一样时，就无法进行正常的反序列话操作得出原来的数据，下面举一个例子。

这里还是正常显示的。 当我们把test后面加一个单引号改为test'

可以看到显示已经不正常了，并没有正常输出username和sign，这是因为php代码bad_str()函数对序列化后的内容$seri进行了过滤，将单引号替换为了no,导致内容的长度加一，但是冒号后面的数字并未发生改变。

基于这点我们就可以对payload进行合理的拼接，以上面的代码为例

若我们传入的username的参数为

test";i:1;s:7:"no guys";}

test后面的双引号和payload最后的大括号都和前面进行了拼接相当于，这时候我们就可以利用整个溢出了，因为当在username的参数后面添加一个'就会被替换为no,意思是加一个分号就会多出来一个字符长度，那么我们如果想让上图后面的红框内容逃逸，就要让test的长度4加上(分号的个数)乘2=25(序列化后字符串冒号后的数字)加上分号的个数

列出方程就是

4+x=25+x  =>可得x等于21,也就是要在payload后加上21个冒号

可以看到$user[2]也就是sign的内容成功被改为了no guys

这是因为testnonononononononononononononononononononono的正好为冒号后面的数字46，no guys的长度为7，前面a:2也就导致了"no guys";}后面的内容被反序列化函数unserialize()抛弃了

参考文献https://www.cnblogs.com/litlife/p/11690918.html

标签：PHP,no,后面,逃逸,test,长度,序列化,冒号
来源： https://blog.csdn.net/qq_38850916/article/details/120726940

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。