反序列化漏洞
wakeup绕过
版本限制
PHP5<5.6.25
PHP7<7.0.10
漏洞产生原因:
如果存在_wakeup方法,调用unserilize()方法前则先调用_wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时,会跳过_wakeup()的执行
例题:
引用的利用方式
例题:
session反序列化
当session_start()被调用或者php.ini中session.auto_start为1时,
PHP内部调用会话管理器,访问用户session被序列化以后,存储到指定目录(默认为/tmp
)。
存取数据的格式有多种,常用的有三种
漏洞产生:写入格式和读取格式不一致
session
一、
默认情况下用php格式储存
php : 键名+竖线+经过serialize()函数序列化处理的值
二、
声明session存储格式为php_serialize
#### 三、
php反序列化漏洞
phar 反序列化原理
jar是开发java程序的应用,包括所有可执行,可访问的文件打包,方便部署
phar是php里类似jar的一种打包文件
对于php5.3或更高版本,phar后缀文件是默认开启支持的,可以直接使用它
文件包含:phar伪协议,可读取.phar
文件
phar结构
1、 stub phar
文件标识,格式为xxx<?php xxx;_HALT_COMPiLER();?>;
2、manifest
压缩文件的属性等信息,以序列化存储
3、contents被压缩文件的内容。
4、signature签名,放在文件末尾。
phar协议解析文件时,会自动触发对manifest字段的序列化字符串进行反序列化
phar漏洞原理
manifest压缩文件的属性等信息,以序列化存储;存在一段序列化的字符串;
调用phar伪协议,可读取.phar文件;
Phar协议解析文件时,会自动触发对manifest字段的序列化字符串进行反序列化。
Phar需要PHP >=5.2在php.ini中将phar.readonly设为off (注意去掉前面的分号)
漏洞利用条件
phar可以上传到服务器端(存在文件上传)
要有可用的魔术方法作为“跳板”。
文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤