首先我们先来了解一下PHP的序列化和反序列化函数
可以简单用图来表示
PHP 序列化:
- 只序列化对象属性,不序列化对象的方法
- 对于不同访问控制修饰符的属性,输出也不同
公有属性:属性名
私有属性:%00类名%00属性名
保护属性:%00*%00属性名
下面是比较典型的PHP反序列化漏洞中可能会用到的魔术方法:
void __wakeup ( void )
unserialize( )会检查是否存在一个_wakeup( ) 方法。如果存在,则会先调用_wakeup 方法,预先准备对象需要的资源。void __construct ([ mixed $args [, $... ]])
具有构造函数的类会在每次创建新对象时先调用此方法。void __destruct ( void )
析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。public string __toString ( void )
__toString( ) 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj;应该显示些什么。此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误。
一、__wakeup( )绕过
(CVE-2016-7124)
反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。
影响版本:
- PHP before 5.6.25
- 7.x before 7.0.10
二、注入对象构造方法
当目标对象被private、protected修饰时的构造方法。利用同名的方法调用。
三、十六进制绕过
- 序列化字符串中过滤了一些字符串,可以使用十六进制绕过。
- 例子:
原:
O:4:"test":1:{s:1:"a";s:4:"flag";}
十六进制:
O:4:"test":1:{s:1:"a";S:4:”\66lag";
这里小s变为大S后可以自动解析其中的十六进制编码,\66是hex值
在利用反序列化漏洞的时候,只能将序列化后的字符串传入unserialize(),这种利用条件较为苛刻。
利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展了php反序列化漏洞的攻击面。
该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作。
Phar文件结构由 4 部分组成
- stub phar 文件标识,格式为 xxx<?php xxx; __HALT_COMPILER();?>;
- manifest 压缩文件的属性等信息,以序列化存储;
- contents 压缩文件的内容;
- signature 签名,放在文件末尾;
注意:要将php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。
利用条件
- 可以上传文件
- 一个参数可控的文件处理函数(file_exists(‘phar://xx’))
将phar伪造成其他格式的文件(绕过上传检测)
当环境限制了不能以phar开头,可以使用以下姿势绕过:
- compress.bzip2://phar://test.phar/test.txt
- compress.zlib://phar://test.phar/test.txt
- php://filter/resource=phar:///test.phar/test.txt