这题确实对的起他的位置 字符串逃逸加ssrf 关于字符串逃逸呢,建议看这篇文章,用例写的比较简单,适合新手 https://blog.csdn.net/qq_43431158/article/details/108210822 简单一句话来说,就是先序列化,再过滤的话,如果你的过滤规则让字符变多的话,可以通过payload带过去一个属性,覆盖掉你原来的属性 举个简单的例子,原先的属性1:x(17个)+带过去的属性s:1:“a”;s:1:“b”;}(17个字符)原先的属性2 s:1:“a”;s:1:“c”;(17个字符) 过滤规则是x变为xx,那么因为属性1在序列化的时候是34个字符,反序列化的时候那么就变为属性1:x(34个)属性2:s:1:“a”;s:1:“b”;原先的属性2已经被覆盖在了外面 ,没有被读取 可能个数上有些问题,我也没细算,反正原理就是个这么个原理 如果是字符串个数变少,原理也一样,只不过在提交参数的时候,是在属性2里面加入要提交的属性值,由于属性1个数变少了,那么原来的属性2就会被当成属性1的值给吞掉 那么我们带过去的属性值会顶替原来的属性2,成为新的属性2 而且php反序列化的时候对于原来不存在的对象一样反序列化,那么就可以对象注入,就是在user里面注入evil 上payload username=\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0&password=a";s:8:“password”;O:4:“evil”:2:{s:4:“hint”;s:8:“hint.php”;} 属于字符串变少系列 在post包里加上payload,成功得到提示,base64解码,提示index.cgi 访问,发现get?name,那么就给他一个payload,随便输点啥,发现一直在headers里面出不去,那么就要逃逸出headers 直接空格 发现出去了,file:///flag直接读取flag文件,得到flag
参考视频链接:https://www.bilibili.com/video/BV1JP4y147kR/
|