题目
放到本地环境
发现是这种情况:a:2:{i:0;s:1:"x";i:1;s:5:"aaaaa";}
分成两部分: a:2:{i:0;s:1:"x ";i:1;s:5:"aaaaa";}
现在需要做的就是自己构造第二部分: ";i:1;s:6:"123456";} 一共20个字符
经过preg_replace函数 x->yy 增加1个字符
所以需要填入20个x,对应上面构造的20个字符 ( ";i:1;s:6:"123456";})
payload:xxxxxxxxxxxxxxxxxxxx";i:1;s:6:"123456";}
本地看看效果
可以发现aaaaa已经变成了123456了
提交
总结:
1、先本地环境打印出用到的变量,看看什么形式
2、从这个形式中分开,也就是找到要构造的那个变量(";i:1;s:5:"aaaaa";}),加上 "; 进行闭合前面的变量
3、最后加上 ";} 闭合构造的变量,使得后面的内容失效。
失效的原因是:反序列化是以这个;}来作为结束标志的,但也不完全是,前提是前面的成员属性数量一致,成员属性名称长度一致,内容长度一致,只有在这个前提之下,;}才会被当作结束的标志
而我们前面已经满足了成员属性数量一致,成员属性名称长度一致,内容长度一致。
标签:123456,20,逃逸,个字符,一致,aaaaa,序列化,php From: https://www.cnblogs.com/xjrycd/p/18108955