php在反序列化时,底层代码是以;作为字段的分隔,以}作为结尾,并且是根据长度判断内容 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。
来看一段简单的代码

<?php
$name=$_GET[name];
$id='hello';
$p=array($name,$id);
echo test(serialize($p));
?>

运行结果
请输入图片描述

加入一点过滤

<?php
function test($str)
{
    return preg_replace('/goodman/','xiaolong',$str);
}
$name=$_GET[name];
$id='hello';
$p=array($name,$id);
echo test(serialize($p));
?>

运行结果
请输入图片描述

可以看到goodman被替换成了xiaolong,但是字符串长度却没有改变,这时反序列化是无法成功的,而我们可以利用这个漏洞来改变id的值。比如我想将id的值改为tskknmsl
输入payload

name=goodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodmangoodman";i:1;s:8:"tskknmsl";}

运行结果

a:2:{i:0;s:176:"xiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolongxiaolong";i:1;s:8:"tskknmsl";}";i:1;s:5:"hello";}

此时可以反序列化一下输出id的值,可以发现已经成功修改成了tskknmsl
请输入图片描述

解释一下
代码将goodman替换成xiaolong后多了一个字符,但序列化后长度却没变,也就是说多出来的那个字符可以被我们利用
将id的值改为tskknmsl的序列化结果为i:1;s:8:"tskknmsl";
因为反序列化是以; 作为字段的分隔,以 } 作为结尾,所以要改为 ";i:1;s:8:"tskknmsl";} (这里有22个字符)
而每一个goodman都可以多一个字符,所以我们构造22个goodman就可以多22个字符
序列化后原本的 ";i:1;s:5:"hello";}则不会参与反序列化(前面的 } 已经是结尾了),所以id的值就被修改为了tskknmsl

还有一种情况,就是替换后的字符比原本的短

<?php
function test($str)
{
    return preg_replace('/php/','no',$str);
}
$name=$_GET[name];
$sex=$_GET[sex];
$id='hello';
$p=array($name,$sex,$id);
$p1=test(serialize($p));
echo $p1;
?>

请输入图片描述

同样想将id的值改为tskknmsl
payload

name=phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp&sex=xxxxxxxxxx";i:1;s:3:"man";i:2;s:8:"tskknmsl";}

运行结果
请输入图片描述

修改成功
解释:
php被替换为no后少了一个字符,但长度没变,也就是说空出了一个字符
当我们传入22个php后被替换为22个no,此时空出了22个字符
再传入xxxxxxxxxx";i:1;s:3:"man";i:2;s:8:"tskknmsl";}当做sex的值
sex的值序列化后的结果为i:1;s:46:"xxxxxxxxxx";i:1;s:3:"man";i:2;s:8:"tskknmsl";
此时被替换成的no和后面的i:1;s:46:"xxxxxxxxxx组合起来刚好是66个字符,成为了name的值
后面i:1;s:3:"man";i:2;s:8:"tskknmsl";就是sexid的序列化结果,从而修改了id的值