php7反序列化问题,PHP7：反序列化漏洞案例及分析

在典型的PHP-5反序列化利用中，我们会使用分配器来覆盖一个指向字符串内容的指针，从而阅读下一个堆slot的内容。然而在PHP-7中,内部字符串的表示是截然不同的。

在PHP-7中, 基本结构struct

zval在内部指向结构zend_string，从而引用字符串。zend_string转而使用member数组，将字符串嵌入到结构的末尾。因此,直接指向字符串内容的指针不可以被覆盖。

然而,

PHP-5的技术可能会让指针发生泄漏。如果一个结构的个字段指向了一些我们可以阅读的内容，我们可以对该结构进行分配和释放,随后分配器会让它指向先前已经释放的slot，这会允许我们读取一些内存。

幸运的是, 在内部表示为php_interval_obj结构的DateInterval对象非常有用。这是定义:

t01ccf8f924d9112fce.jpg

timelib_rel_time就是一种简单的结构，没有指针或其他复杂的数据类型,只有integer类型。这是定义:

t01320abb2705e7478c.png

让有效载荷发生内存泄漏:

t011eb2e88660685ee8.png

结果是:

t01e86248ae7bc364af.png

如果我们做一些格式化的工作,就能看到我们已经读取到了一些内存。在取得了struct

timelib_rel_time字段的偏移量后,我们读到了以下的值:

t014143fc0161fd8dfb.png

所以,我们可以推断出内存是这样的(注意,在序列化过程中，timelib_slll字段被int取整了):

t01a04bc759c5c7b172.png

7.泄漏指针( 64位)

在64位版本中,我们泄漏初始信息的方法和在32位版本中是一样的。但在64位中，这种方法更有用,因为我们将整个内存都转换成了int型，并且没有截断。

因此,我们需要创建两个DateInterval对象，然后用个对象读取第二个对象的内存(而不是读取无用的字符串)。

8.读取内存( 64位)

在前面的内容中,我们泄露了堆和代码的地址。我们现在需要做的是读取内存地址，从而获取足够的数据来构建一

现在，读取任意内存变得有点棘手了,因为我们既不能伪造一个数组，也没法控制它的字段(我们不能控制arData)。幸运的是,我们可以使用另一个对象:DatePeriod。

DatePeriod在内部表示为php_period_obj结构。下面是定义:

t01f9d80204ff243eac.jpg

注意个字段,这是一个指向timelib_time结构的指针。当这个对象被释放时,

结构的个字段会被分配器覆盖，从而变成相同大小的指向已释放的结构的指针。

因此,在分配之后,引擎会读取timelib_time。下面是timelib_time的定义:

t01e8ad5bd809ec8e65.png

我们看到，tz_abbr字段一个是指向char(一个字符串)的指针。在对DatePeriod对象进行序列化时,如果zone_type

是TIMELIB_ZONETYPE_ABBR(2),那么tz_abbr指向的字符串会被strdup复制，然后进行序列化。这对读取primitive施加了一些限制,我们每次只能读取一个NULL字节。

现在，我们需要找到哪一个对象是在DatePeriod之前被释放的。

假如我们想读取0 x7f711384a000,就需要发送这个:

t014b35068f7dbf8396.png

我们可以看到,timelib_rel_time 内days字段的偏移量和timelib_time内的tz_abbr是一样的。

DatePeriod填充是最后一步，同时这也是最复杂的。当DatePeriod对象被序列化时,date_object_get_properties_period函数会被调用，并返回properties

HashTable进行序列化。

这个HashTable 就是zend_object

properties字段(嵌入在php_period_obj结构内),它会在DatePeriod对象创建时被分配。在将这个HashTable返回给调用者之前,函数会用php_period_obj内每个字段的值来更新这个哈希表。

这听上去很简单,但试想一下, 在释放DatePeriod对象时，这个HashTable已经被释放了，这意味着它的个字节是指向free

list的指针。为了了解这个损坏造成的影响,我们需要明白PHP是如何应用哈希表的。

当一个新的哈希表分配进来,一个zend_array类型的结构会被初始化。这个数组使用arData字段指向实际的数据,其他字段则作用于table

capacity和负载。

数据分为两部分:

1.哈希散列数组，它将哈希(被nTableMask掩盖)映射到各个索引号。

2.数据数组, 它是Buckets内的数组，包含哈希表内实际数据的key和值。

在对zend_array进行初始化时,将要存储的元素数量会被四舍五入为最接近的2的幂数，然后一个新的内存slot数据会被分配给这些数据。

分配数据的大小为size * sizeof(uint32_t) + size *

sizeof(Bucket)。然后,arData字段会被设置为指向Bucket数组的开头。

当一个值被插入到表中时，zend_hash_find_bucket函数会被调用来找到正确的bucket。这个函数会对key进行散列,然后生成的散列会被nTableMask表掩盖。

结果是一个负数,这代表着散列数组内拥有bucket索引号的元素的数量(即在arData之前，拥有bucket索引号的uint32_t元素的数量)。

现在,当散列表被释放时, slot分配给arData的前8个字节会被覆盖,这会破坏散列数组内的前两个索引号。

不幸的是,其中的一个索引号是我们需要的!在被nTableMask 掩盖的时候，“current”

key的散列值为-8,表明这是一个损坏的元素(个单元)。

为了解决这个问题,我们需要让表增大,从而避免任何key使用前两个单元。令人惊讶的是,反序列化源为我们提供了一个非常简洁的方法:它能扩展properties哈希表的大小，而这大小为提供给对象的元素的数量。

所以,如果我们把更多无用的元素放到DatePeriod字符串的key-value哈希表内,

properties哈希表就能得到扩展。初始化给定哈希表内DatePeriod的函数只会关注预定义的key (如“start”, “current”等)

，它不会检查哈希表的大小，所以这些没用的值不会产生任何影响。因此,我们可以对哈希表的散列数组的大小进行扩充,并确保所有的key都不会落在个单元格。

13.读取内存和代码执行(64位)

在分配UAF对象之前,我们需要修复损坏的堆。为了解决这个问题，我们可以增加内部数组的值,直到它指向free list中的下一个空闲对象。

这个对象已经经过了bin的两次分配。在第二次分配后, 通过返回的slot，free list能够保存指针指向的值。

因此,如果我们可以在错误被触发之前控制free list中的内容,就能控制free

list的指针。控制了这个指针后，我们就能把对象分配到这个地址。

我们应当如何控制free list内slot的内容?我们曾经提到过，在反序列化过程中值不能被释放,这是事实,但不是全部的事实。

我们不能释放值,是因为它们被放进了destructor数组，然而key没有被放进这个数组。

所以,这里有一种在反序列化过程中释放一个字符串的方法:如果一个字符串被作为key使用了两次,第二次使用就是返回到堆。通常情况下,如果一个key只被使用了一次,这个key的引用计数会增加两次(被创建并插入到哈希表)，减少一次(在循环解析嵌套数据的最后)。

然而,如果这个key已经存在于哈希表中,只会各增加和减少一次,然后被释放。

这意味着，我们可以控制返回给free

list的最后一个slot的内容。然而,这个slot会被即将释放的对象使用(即覆盖)。因此,我们需要找到一种方法来控制两个返回到堆的slot，这可以通过嵌套完成。

如果我们使用同一个key两次,且第二次的值是一个两次使用相同key的stdClass，那么这些key会一个接一个地进行去分配。这样,我们就可以把尽可能多的字符串放到free

list内了。

这很容易，我们只需要增加22个损坏的指针(22 + 2 =

24——zend_string内val字段的偏移量),这恰好是释放了的字符串的值。这个字符串的值指向php_interval_obj之前的一个已分配的字符串。

这个字符串的末尾被设置为0,目的是让分配器以为free list已经耗尽(如果不是NULL,那它必须得是一个指向free

list的有效指针,这太难找了)。

这样做之后, 大小为56的第三次分配 (sizeof(zend_array))

会覆盖php_interval_obj之前的字符串末尾,还有php_interval_obj对象的开头。这让我们得以覆盖php_interval_obj

内zend_object部分的ce字段。

ce字段是一个指向zend_class_entry的指针,而zend_class_entry拥有指向各种功能的指针。因此,覆盖这个值意味着控制了RIP。

这是我们的利用(分配0 x0000414141414141到ce):

t01a7ae63f4de62fd10.png

在我们将调试器附加到apache，并发送上面的字符串时,我们得到了一个段错误:

1

2

3

4

Program received signal SIGSEGV, Segmentation fault.

php_var_serialize_intern (buf=0x7ffcd3cc10e0, struc=0x7f710e667b60, var_

hash=0x7f710e6772c0) at /build/php7.0-7.0.2/ext/standard/var.c:840

840 if (ce->serialize != NULL) {

(gdb) print ce

$1 = (zend_class_entry *) 0x414141414141

我们可以看到,ce包含着我们预期的值。

这个堆的写入能力为其他的primitive提供了机会，例如任意读取primitive或其他的执行primitive。注意,这不仅仅局限于64位的情况——它在每一个架构中都适用。

现在，我们现在控制了free

list中的内容。在引发这个错误之前,我们不需要再假设在UAF指针之后，下一个空闲slot刚好是56字节(在32位中是48)。

我们已经有了一个泄漏primitive,读取primitive和代码执行primitive，这样，我们的工作就算就完成了。下面的内容就交给读者了。

9.结语

反序列化实际上是一个危险的功能。这一点在过去的几年已被反复证实,但仍然有人在使用它。

相比之下，序列化格式要复杂得多,而且在被传递进行解析之前很难验证。复杂的格式需要用复杂的机器来解析，为了保证安全,我们需要避免使用这种复杂的格式。　　图片的旋转和翻转也是Web项目中比较常见的功能，但这是两个不同的概念，图片的旋转是按特定的角度来转动图片，而图片的翻转则是将图片的内容按特定的方向对调。图片翻转需要自己编写函数来实现，而旋转图片则可以直接借助GD库中提供的imagerotate()函数完成。该函数的原型如下所示：

resource imagerotate(resource src_im ,float angle,int bgd_color ,[int

ignore_transpatrent])

该函数可以将src_im图像用给定的angle角度旋转，bgd_color指定了旋转后没有覆盖到的部分的颜色。旋转的中心是图像的中心，旋转后的图像会按比例缩小以适合目标图像的大小(边缘不会被剪去)。如果ignore_transpatrent被设为非零值，则透明色会被忽略(否则会被保留)。下面以JPEG格式的图片为例，声明一个可以旋转图片的函数rotate()，代码如下所示：

//用给定角度旋转图像，以jpeg图像格式为例

function rotate($filename,$degrees){

//创建图像资源，以jpeg格式为例

$source = imagecreatefromjpeg($filename);

//使用imagerotate()函数按指定的角度旋转

$rotate = imagerotate($source, $degrees, 0);

//旋转后的图片保存

$imagejpeg($rotate,$filename);

}

//把一幅图像brophp.jpg旋转180度

rotate("brophp", 180); ?>

图片翻转并不能随意指定角度，只能设置两个方向：沿Y轴水平翻转或沿X轴垂直翻转。如果是沿Y轴翻转，就是将原图从右向左(或从做向右)按一个像素宽度，以图片自身高度循环复制到新资源中，保存的新资源就是沿Y轴翻转后的图片。以JPEG格式图片为例，声明一个可以沿Y轴翻转的图片函数turn_y()代码如下所示：

function trun_y($filename){

$back = imagecreatefromjpeg($filename);

$width = imagesx($back);

$height = imagesy($back);

//创建一个新的图片资源，用来保存沿Y轴翻转后的图片

$new = imagecreatetruecolor($width, $height);

//沿y轴翻转就是将原图从右向左按一个像素宽度向新资源中逐个复制

for($x=0 ;$x

//逐条复制图片本身高度，1个像素宽度的图片到薪资源中

imagecopy($new, $back, $width-$x-1, 0, $x, 0, 1, $height);

}

//保存翻转后的图片

imagejpeg($new,$filename);

imagedestroy($back);

imagedestroy($new);

}

trun_y("brophp.jpg") ?>

本例声明的turn_y()函数只需要一个参数，就是要处理的图片URL。本例调用turn_y()函数将图片沿Y轴进行翻转。如果是沿X轴翻转，就是将原图从上向下(或从下向上)旋转，代码如下所示：

function trun_x($filename){

$back = imagecreatefromjpeg($filename);

$width = imagesx($back);

$height = imagesy($back);

//创建一个新的图片资源，用来保存沿Y轴翻转后的图片

$new = imagecreatetruecolor($width, $height);

//沿y轴翻转就是将原图从右向左按一个像素宽度向新资源中逐个复制

for($y=0 ;$y

//逐条复制图片本身高度，1个像素宽度的图片到薪资源中

imagecopy($new, $back,0, $height-$y-1, 0, $y, $width,1);

}

//保存翻转后的图片

imagejpeg($new,$filename);

imagedestroy($back);

imagedestroy($new);

}

trun_x("brophp.jpg") ?>