php反序列化漏洞

最新推荐文章于 2023-10-13 22:24:47 发布
最新推荐文章于 2023-10-13 22:24:47 发布
阅读量577 收藏 2
点赞数
分类专栏: CTF Web安全 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joker_York/article/details/109160174
版权

php的序列化

序列化函数:serialize,反序列化函数:unserialize,例:

<?php

class Test{
    public $a = 'ThisA';
    protected $b = 'ThisB';
    private $c = 'ThisC';

    public function test1(){
        return "this is test1" ;
    }
}

$test = new Test();
var_dump(serialize($test));

输出如下:

string(84) "O:4:"Test":3:{s:1:"a";s:5:"ThisA";s:4:" * b";s:5:"ThisB";s:7:" Test c";s:5:"ThisC";}"

其中:
O:代表数据类型是对象Object,4:代表该对象名有4个字符,Test:表示对象名称,3:表示对象里有3个成员。后面花括号里分三组看,第一组s:1:"a";s:5:"ThisA";,分别是对变量名和变量值的序列化表示。

可以看到,虽然Test类中有个test1方法,但是序列化后的字符串并没有包含这部分,因此得知序列化不保存方法。

这里几个变量序列化后的变量名都各不相同,因为分别是public, protected, private, php为了区分这些属性添加了一些修饰。

php反序列化魔术方法

void __wakeup ( void ):
unserialize( )会检查是否存在一个_wakeup( ) 方法。如果存在,则会先调用_wakeup 方法,预先准备对象需要的资源。

void __construct ([ mixed $args [, $… ]]):
具有构造函数的类会在每次创建新对象时先调用此方法。

void __destruct ( void ):
析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。

public string __toString ( void ):
__toString( ) 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj;应该显示些什么。
此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误。

这里举个例子来说明各个魔术方法自动执行的场景
(参考:https://www.freebuf.com/articles/web/209975.html

<?php
class Demo{
    public function __construct(){
        echo "construct run\n";
    }

    public function __destruct(){
        echo "destruct run\n";
    }

    public function __toString(){
        echo "toString run\n";
        return "toString run\n";
    }

    public function __sleep(){
        echo "sleep run\n";
        return array();
    }

    public function __wakeup(){
        echo "wakeup run\n";
    }
}
/**/
echo "-------new了一个对象,对象被创建,执行__construct-------\n";
$test = new Demo();
/**/
echo "-------serialize了一个对象,对象被序列化,先执行__sleep,再序列化-------\n";
$sTest = serialize($test);
/**/
echo "-------unserialize了一个序列化字符串,对象被反序列化,先反序列化,再执行__wakeup-------\n";
$usTest = unserialize($sTest);
/**/
echo "-------把Test这个对象当做字符串使用了,执行__toString-------\n";
$string = 'hello class ' . $test;
/**/
echo "-------程序运行完毕,对象自动销毁,执行__destruct-------\n";

输出:

-------new了一个对象,对象被创建,执行__construct-------
construct run
-------serialize了一个对象,对象被序列化,先执行__sleep,再序列化-------
sleep run
-------unserialize了一个序列化字符串,对象被反序列化,先反序列化,再执行__wakeup-------
wakeup run
-------把Test这个对象当做字符串使用了,执行__toString-------
toString run
-------程序运行完毕,对象自动销毁,执行__destruct-------
destruct run
destruct run

绕过__wakeup()函数

CVE-2016-7124
反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。

影响版本:

  • PHP before 5.6.25
  • 7.x before 7.0.10

绕过一些正则

以攻防世界的Web_php_unserialize这道题为例,源码如下:

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

这里可以看出有两个需要绕过的点:

  • function __wakeup()
  • preg_match('/[oc]:\d+:/i', $var)

绕过__wakeup()的方式上面已经讲了,这里重点说一下绕过preg_match这一块,这里参考一个大佬的文章:https://www.guildhab.top/?p=990

先说结论吧:

这里可以将序列化字符串O:4:"Demo":1:{s:10:" Demo file";s:8:"fl4g.php";}改为O:+4:"Demo":1:{s:10:" Demo file";s:8:"fl4g.php";}来绕过正则检测。因为在php5中,对序列化字符串的解析过程中,若O:+4 :后面出现+,会跳过它直接检查下一位是否是数字,若是数字则继续解析下去。

接下来看大佬的分析过程,这里下载了一份php5的源码来解析:

  1. 先看 var_unserializer.c 文件 441 行
    在这里插入图片描述
    序列化字符串的第一位为O,因此这里跳转到yy13
    注意这里区分大小写 !

  2. yy13
    在这里插入图片描述
    yy13会判断下一位的字符是否为:, 若是就跳转到yy17,若不是就跳转到yy3,这里会跳转到yy17

  3. yy17
    在这里插入图片描述
    yy17会判断下一位是否为数字, 若为数字就跳转到yy20,若为+就跳转到yy19

  4. yy19
    在这里插入图片描述
    yy19会判断下一位是否为数字,若为数字就跳转到yy20,否则跳转到yy18

问题来了!当反序列化操作读取到 : 号时 , 下面不管是数字还是+数字,都会跳转到yy20,而正则匹配的规则能过滤O:4,却不会过滤O:+4

因此,我们可以利用O:+4这样的写法来绕过正则过滤。

这里大佬的分析让看到了另一条研究底层的思路,直接下载php本身的源码进行解析。

总结

参考链接:https://www.cnblogs.com/ichunqiu/p/10484832.html

Joker_York
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发。这个话题在CTF(Capture The Flag)网络安全竞赛也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化漏洞1
08-04
PHP反序列化漏洞是一种安全问题,它出现在PHP代码对序列化对象进行反序列化时,如果对象的某些属性或方法可以被恶意控制,就可能导致意外的行为,甚至执行任意系统命令。这种漏洞通常源于对反序列化过程的不正确...
命令执行漏洞的利用以及绕过方式
cosmoslin的博客
09-14 1938
命令执行漏洞的利用以及绕过方式 1 preg_match()函数 preg_match 函数用于执行一个正则表达式匹配。 int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] ) 参数 说明 $pattern 要搜索的模式,字符串形式 $subject 要搜索检测的目标字符串 $matches 如果提供了参数
php反序列化姿势学习
彼岸花苏陌的博客
01-16 2300
php反序列化姿势学习1.__wakeup()函数绕过2./[oc]:\d+:/i研究欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.__wakeup()函数绕过 wakeup函数作为ph
关于正则匹配preg_match(‘/^O:\d+/‘)的绕过的几种方法
m0_63138919的博客
10-13 2063
本文为preg_match('/^O:d+/')正则 匹配绕过的方法
攻防世界Web_php_unserialize
qq_51283187的博客
08-01 170
攻防世界Web_php_unserialize 这个是序列化的一个很经典的题目 这是网站源代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this
攻防世界 WEB WEB_PHP_UNSERIALIZE
qq_41696858的博客
08-16 136
首先需要讲明的一件事是,PHP序列化的时候对public protected private变量的处理方式是不同的 具体看这篇文章,https://blog.csdn.net/Xxy605/article/details/117336343,注意,这里的\00表示是不可见字符,并不是单纯的\00,相当于url里面的%00所以需要自己写代码 让编译器帮我们做序列化 这题源码没什么难度 <?php class Demo { private $file = 'index.php'; pu
PHP反序列化漏洞研究
06-17
PHP反序列化漏洞研究 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP,serialize()函数...
PHP反序列化漏洞.pdf
08-10
**PHP反序列化漏洞详解** PHP反序列化漏洞是一种常见的安全漏洞,主要出现在PHP应用程序,当程序在处理用户可控的序列化数据时,没有进行有效的验证和过滤,导致攻击者能够操纵序列化的数据,从而执行任意代码...
学会检查SQL注入式攻击漏洞.php
12-15
学会检查SQL注入式攻击漏洞 .php
PHP反序列化漏洞初窥1
08-03
1、反序列化变量可控 2、程序上下文已定义类存在__wakeup()等魔术方法 3、该魔术方法调用了系统命令执行、文件操作等高危函数且引入了可控反序列化
针对未知PHP反序列化漏洞利用的检测拦截系统研究.pdf
最新发布
01-06
该系统可以成功拦截当前所有PHP反序列化漏洞攻击,并能够提取或回溯漏洞攻击所构造的POP攻击链,实现零误报。 第一,PHP反序列化漏洞的机理分析 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来攻击PHP...
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
反序列化漏洞原理和靶场实践
09-26
反序列化漏洞原理和靶场实践 序列化和反序列化PHP 两个基本概念。序列化是将对象的状态信息转换为可以存储或传输的形式的过程,而反序列化是将存储的状态信息重新转换为对象的过程。 序列化的过程可以将对象...
CTF笔记 攻防世界Web_php_unserialize
qq_51248658的博客
10-08 318
做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
记云演PHP代码审计第一关
weixin_45869407的博客
09-25 211
学习最好的方法就是记录,所以本次记录为了以后自己复习使用。 第一关代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file,
PHP - 函数绕过 - preg_match()
热门推荐
3569
11-29 1万+
http://f1sh.site/2018/11/25/code-breaking-puzzles%e5%81%9a%e9%a2%98%e8%ae%b0%e5%bd%95/   待绕过目标如下 &lt;?php echo preg_match('/&lt;\?.*[(`;?&gt;].*/is', $_GET['a']); 最常见的绕过 数组 http://localhost/?a...
令人气恼的 preg_match bug
记录点滴
05-20 1308
一个 157k 大小的txt文件,用 preg_match 匹配其的一些内容,结果死活匹配不出内容来,检查来检查去,没有发现什么问题,为了检验是否跟平台有关系,在 windows 下php 5.2.11 和linux 空间的 5.2.17 都试了,还是不行。 还是怀疑匹配规则问题,最后建化成  preg_match_all("{(.*?)}is", $txt, $res)。 能提取到一
深入解析PHP反序列化漏洞
"理解PHP反序列化漏洞-berTrAM在漏洞银行大咖面对面的讲解" 在信息安全领域,PHP反序列化漏洞是一种常见的安全问题,它源于PHP的序列化和反序列化机制。首先,我们需要理解PHP的类和对象的概念。类是编程的一个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值