序列化与反序列化
一、为什么要使用序列化?
为了统一数据传递中的问题
序列化
同一种语言 序列化使用通一种规范
二、序列化格式
class Stu{
public $name;
protected $age;
private $sex;
public function __construct($name,$age,$sex)
{
$this -> name = $name;
$this -> age = $age;
$this -> sex = $sex;
}
}
echo serialize(new Stu('wxz','20','m'));
echo '<br>';
echo urlencode(serialize(new Stu('wxz','20','m')));
O:3:"Stu":3:{s:4:"name";s:3:"wxz";s:6:"*age";s:2:"20";s:8:"Stusex";s:1:"m";}
受保护的属性 序列化之后的名字为 %00*%00属性名
私有属性 序列化后%00类名%00属性名
三、反序列化漏洞的原理
反序列化本质上是控制成员属性的值
四、魔术方法
1. __construct 当用new关键字实例化一个对象的时候,触发该魔术方法
2. __destruct 当该类所衍生的对象被销毁时候,触发该魔术方法
3. __call 当调用一个无法调用或者是不存在的非静态方法时候,触发该魔术方法
4. __callStatic 当调用一个无法调用或者是不存在的静态方法时候,触发该魔术方法
5. __invoke 当将类衍生的对象当作一个函数调用时候,触发该魔术方法
6. __get 当访问一个不存在或是无法访问的成员属性的时候,触发该魔术方法
7. __set 当设置一个不存在或是无权设置的成员属性的时候,触发该魔术方法
8. __sleep 当使用serialize函数序列化一个对象的时候,触发该魔术方法
必须返回一个数组,该数组中包含哪些元素需要进行序列化
通过使用__sleep函数控制哪些属性需要进行序列化处理
9. __wakeup 当使用unserialize函数生成对象时候,触发该魔术方法
10. __toString 当需要把类衍生的对象当作字符串使用时候,触发该魔术方法
五、phar反序列化
该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。
phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是上述攻击手法最核心的地方。
注意:需要将php.ini中的phar.readonly选项设置为off,否则无法生成phar文件
一个自动生成phar.phar文件的php文件:
<?php
class AnyClass
{
var $output = 'phpinfo();';
function __destruct()
{
eval($this->output);
}
}
//上面的类是可控的
@unlink("phar.phar");
$phar = new Phar("phar.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("bihuo<?php __HALT_COMPILER(); ?>"); //设置stub,bihuo是可控的,后面的是固定格式
$o = new AnyClass(); //$o可控
$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
六、phar.phar文件
自动生成的phar.phar文件内容:
1. 包含.phar目录(.metadata.bin文件,signature.bin文件,stub.php文件)
.metadata.bin文件里面存放着反序列化 变量$o 的值
signature.bin文件里面是一堆乱码
stub.php文件里面放的是设置的stub
bihuo<?php __HALT_COMPILER(); ?>
2. test.txt文件 test.txt文件里面的内容是test
七、触发phar的函数
八、phar文件伪装
phar文件必须以__HALT_COMPILER();?>来结尾,可以通过添加任意文件头+修改后缀来伪装phar文件
通常利用phar反序列化 配合文件上传 联合ssrf 读取任意文件
举例: phar结合文件上传
1. 根据类构造poc链,生成phar.phar文件
2. 上传phar.phar文件
3. 当上传文件时候,白名单限制只能上传图片
4. phar.phar文件改为图片类型文件
(1) 改文件后缀,phar.phar===>phar.gif
(2) 改文件类型,Content-Type字段===>Content-Type: image/gif
(3) 改stub值,图片开头都会有固定格式,才会被识别为图片,比如gif图片内容开头是GIF89a
GIF89a<?php __HALT_COMPILER(); ?>
5. 当文件被上传后,可以利用phar://伪协议,后面跟上传的phar.gif文件路径,然后触发phar反序列化