php序列化漏洞是ctf中常见题型,这里简单介绍一下php反序列化代码层面的原因。
php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过
程中对对象进行转储而产生的。
序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法
php序列化函数为serialize,可以将对象中的成员变量转化为字符串。
反序列化函数为unserialize,可以将serialize生成的字符串重新还原为对象中的成员变量。
反序列化漏洞的原因是用户输入恶意构造的数据,被代码反序列化之后执行
构造一个user类,定义两个成员变量
/*
Auther:LiangCheng
Data:2022.6.14
Cntent:php反序列化
PHP反序列化(百度):php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过
程中对对象进行转储而产生的。
序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法
*/
<?php
//构造一个user类
class user{
public $name;
public $passwd;
function __construct($name,$passwd)
//__construct()函数,当使用 new 关键字实例化一个对象时,构造函数将会自动调用。
{
$this->name = $name;
$this->passwd= $passwd;
}
}
//实例化一个对象
$obj = new user("admin","passwd");
//输出变量相关信息
var_dump($obj);
?>
运行结果
object(user)#1 (2) {
["name"]=>
string(5) "admin"
["passwd"]=>
string(6) "passwd"
}
序列化$ojb
var_dump(serialize($obj));
查看输出结果
string(64) "O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}"
对输出结果的解释
o:objtct,4:4个字符串,s:字符串, 4:字符串长度
接着对序列化的数据进行反序列化
$obj_serialize=string(64) "O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}";
var_dump(unserialize($obj_serialize));
输出结果
object(user)#2 (2) {
["name"]=>
string(5) "admin"
["passwd"]=>
string(6) "passwd"
}
这样就是对返回出了原数据
总体代码
<?php
//构造一个user类
class user{
public $name;
public $passwd;
function __construct($name,$passwd)
//__construct()函数,当使用 new 关键字实例化一个对象时,构造函数将会自动调用。
{
$this->name = $name;
$this->passwd= $passwd;
}
}
//实例化一个对象
$obj = new user("admin","passwd");
//输出变量相关信息
var_dump($obj);
//序列化对象
var_dump(serialize($obj));
//对序列化的数据进行反序列化
$obj_serialize='O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}';
var_dump(unserialize($obj_serialize));
?>
输出结果
object(user)#1 (2) {
["name"]=>
string(5) "admin"
["passwd"]=>
string(6) "passwd"
}
string(64) "O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}"
object(user)#2 (2) {
["name"]=>
string(5) "admin"
["passwd"]=>
string(6) "passwd"
}
反序列化本身没有问题,是因为客户端恶意构造数据,被反序列化之后造成漏洞
因为php以;作为结束,我们在数据中写一些命令就造成服务器命令执行
如果制造的数据
$obj_serialize='O:4:"user":2:{s:4:"name";s:8:"admin;ls";s:6:"passwd";s:6:"passwd";}';
在name变量中的数据中构造admin;ls,服务器接受到数据,就会把文件显示出来,造成序列化漏洞