【渗透入门】反序列化

---

反序列化漏洞

反序列化漏洞（Deserialization Vulnerability）是一种安全漏洞，它发生在应用程序将序列化的数据（通常是从不可信的源接收的数据）反序列化成对象时。序列化是将对象状态转换为可以存储或传输的格式的过程，而反序列化则是相反的过程，即将这些格式转换回对象。

这种漏洞通常发生在以下情况：

1. 不安全的反序列化：应用程序接受序列化的数据，但没有进行适当的验证或限制，允许恶意数据被反序列化。
2. 不信任的数据源：如果应用程序从不可信任的源接收数据，并将其反序列化，那么攻击者可以利用这一点来执行恶意代码。
3. 类型混淆：攻击者可以构造特定的序列化数据，使得反序列化过程中的对象类型与预期不符，导致应用程序行为异常。

反序列化漏洞可能导致多种安全问题，包括但不限于：

• 远程代码执行（RCE）：攻击者可以利用漏洞执行远程代码。
• 拒绝服务（DoS）：攻击者可以发送恶意数据，导致应用程序崩溃或资源耗尽。
• 数据泄露：攻击者可以利用漏洞访问或修改应用程序中的数据。
• 权限提升：攻击者可以利用漏洞获得比预期更高的权限。

反序列化漏洞举例

反序列化漏洞通常发生在PHP应用中，当不可信的数据被用于对象的反序列化时，可能会导致安全问题。下面是一个简单的例子，展示了一个存在反序列化漏洞的PHP代码片段，以及如何利用这个漏洞。

• 示例代码

  <?php
  class User {
      public $username;
      public $role;
  
      public function __construct($username, $role) {
          $this->username = $username;
          $this->role = $role;
      }
  
      public function __toString() {
          return "User: {$this->username} ({$this->role})";
      }
  }
  
  function deserializeUser($data) {
      $user = unserialize($data);
      echo $user . "\n";
  }
  
  $data = $_GET['data']; // 这里从GET参数获取数据，非常危险
  deserializeUser($data);
  ?>
  

• 漏洞分析

  1. 不安全的反序列化: unserialize() 函数被用来将序列化的字符串转换回PHP值或对象。如果输入的字符串来自不受信任的源（如HTTP请求），这可能引发安全问题。

  2. 构造函数和属性直接访问: User 类的构造函数和属性可以被任意设置，这意味着攻击者可以通过精心构造的序列化字符串来控制这些值。

  3. 魔术方法的滥用: __toString() 方法在对象被转化为字符串时自动调用。虽然在这个例子中它只用于输出，但在某些情况下，魔术方法可以被恶意利用来执行任意代码。

• 利用方法

  假设我们想让用户的角色变为admin，我们可以构造一个序列化字符串如下：

  O:4:"User":2:{s:8:"username";s:5:"hacker";s:4:"role";s:5:"admin";}
  

  将这个字符串作为data参数发送到上面的PHP脚本中，例如通过URL:

  http://example.com/vulnerable.php?data=O%3A4%3A%22User%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%22hacker%22%3Bs%3A4%3A%22role%22%3Bs%3A5%3A%22admin%22%3B%7D
  

  这将创建一个User对象，其用户名为hacker，角色为admin，然后输出这个信息。

存在命令执行的反序列化漏洞

在PHP中，反序列化漏洞可以被利用来执行任意命令，尤其是在对象的魔术方法（如__wakeup, __toString, __destruct等）中包含系统调用的情况下。下面是一个具体的示例，展示了这种漏洞如何发生，以及攻击者如何利用它。

• 示例代码

  假设我们有一个ShellCommand类，它的__wakeup方法中包含了执行系统命令的逻辑：

  class ShellCommand {
      public $cmd;
  
      public function __construct($command) {
          $this->cmd = $command;
      }
  
      public function __wakeup() {
          system($this->cmd);
      }
  }
  
  function deserializeCommand($data) {
      $commandObj = unserialize($data);
      // 注意这里没有对$commandObj做任何操作，但__wakeup已经被调用了
  }
  
  // 正常使用
  $command = new ShellCommand('ls');
  $serializedCommand = serialize($command);
  deserializeCommand($serializedCommand);
  
  // 不安全的使用，直接从用户输入反序列化
  if (isset($_GET['data'])) {
      deserializeCommand($_GET['data']);
  }
  

• 漏洞分析

  在这个示例中，ShellCommand类的__wakeup方法在反序列化后会被自动调用，其中执行了system($this->cmd)，这会尝试执行存储在$this->cmd变量中的命令。如果攻击者能够控制序列化数据，他们就可以设置$cmd属性，从而执行任意命令。

• 漏洞利用

  攻击者可以通过向deserializeCommand函数传递一个特制的序列化字符串来利用此漏洞。例如，他们可以尝试执行whoami命令：

  http://example.com/index.php?data=O:11:"ShellCommand":1:{s:3:"cmd";s:6:"whoami";}
  

  当服务器接收到这个请求并尝试反序列化这个字符串时，ShellCommand对象将被创建，其cmd属性设置为whoami，并且__wakeup方法将被调用，执行这个命令。

防御反序列化

修复PHP中的反序列化漏洞主要涉及到几个关键步骤：输入验证、白名单策略、最小权限原则以及使用安全的反序列化方法。以下是如何针对上述示例代码修复反序列化漏洞的具体步骤：

1. 输入验证

   首先，确保所有来自外部的输入都经过严格的验证。对于序列化数据，这意味着检查其结构和内容是否符合预期。

   function validateSerializedData($data) {
       if (!preg_match('/^O:[0-9]+:"User":2:{s:[0-9]+:"username";s:[0-9]+:"[^"]+";s:[0-9]+:"role";s:[0-9]+:"user|admin";}$/i', $data)) {
           throw new Exception("Invalid data format");
       }
   }
   

2. 白名单策略

   仅允许特定的类进行反序列化，避免用户能够控制反序列化过程。这通常涉及到在反序列化之前检查数据的类名。

   function deserializeUser($data) {
       $data = validateSerializedData($data); // 确保数据格式正确
       $user = @unserialize($data);
       if (!($user instanceof User)) { // 确保反序列化的是User类的实例
           throw new Exception("Invalid class type");
       }
       echo $user . "\n";
   }
   

3. 最小权限原则

   在可能的情况下，限制反序列化对象的能力，尤其是魔术方法的使用。例如，你可以通过__sleep()方法指定哪些属性可以序列化。

   class User {
       public $username;
       private $role;
   
       public function __construct($username, $role) {
           $this->username = $username;
           $this->setRole($role);
       }
   
       public function __sleep() {
           return ['username'];
       }
   
       public function __wakeup() {
           // 可以在这里添加额外的安全检查
       }
   
       public function setRole($role) {
           if ($role !== 'user' && $role !== 'admin') {
               throw new Exception("Invalid role");
           }
           $this->role = $role;
       }
   
       public function getRole() {
           return $this->role;
       }
   
       public function __toString() {
           return "User: {$this->username} ({$this->getRole()})";
       }
   }
   

4. 使用安全的反序列化方法

   考虑使用更安全的反序列化技术，如JSON。虽然JSON不支持完整的PHP对象模型，但对于大多数情况来说，它是足够安全的。

   function deserializeJson($data) {
       $userArray = json_decode($data, true);
       if (isset($userArray['username']) && isset($userArray['role'])) {
           $user = new User($userArray['username'], $userArray['role']);
           echo $user . "\n";
       } else {
           throw new Exception("Invalid JSON format");
       }
   }
   

通过以上步骤，显著降低应用程序受到反序列化攻击的风险。

---

万事到头都是梦，休休。明日黄花蝶也愁。