09_php反序列化原理
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。
序列化serialize()
序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:
class S{
public $test="pikachu";
}
$s=new S(); //创建一个对象
serialize($s); //把这个对象进行序列化
序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“test”;s:7:“pikachu”;}
O:代表object
1:代表对象名字长度为一个字符
S:对象的名称
1:代表对象里面有一个变量
s:数据类型
4:变量名称的长度
test:变量名称
s:数据类型
7:变量值的长度
pikachu:变量值
反序列化unserialize()
就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。
$u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");
echo $u->test; //得到的结果为pikachu
序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题
常见的几个魔法函数:
__construct()当一个对象创建时被调用
__destruct()当一个对象销毁时被调用
__toString()当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup将在序列化之后立即被调用
序列化和反序列化举例:
程序源码:
<?php
class A{
public $test="pikachu";
}
$s=new A();//创建一个对象
$serdata = serialize($s);//把这个对象进行序列化
echo $serdata;
echo '<br>';
$u=unserialize($serdata);//对序列化的结果进行反序列化
echo $u->test;
?>
pikachu靶场例子:
在表单中输入以下构造的payload
序列化的代码:
class S{
public $test="<script>alert('xss')</script>";
}
$s=new S(); //创建一个对象
serialize($s); //把这个对象进行序列化
生成的payload:
O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
将结果输入到表单中提交,在网页中就会弹出一个窗口,提示xss,那如果我们将弹窗脚本换成其他的JavaScript脚本能不能执行其他的命令呢?想了解能不能行,就亲自去做一遍这个实验。
我们来查看一下后台源码:
$html='';
if(isset($_POST['o'])){
$s = $_POST['o'];
if(!@$unser = unserialize($s)){
$html.="<p>大兄弟,来点劲爆点儿的!</p>";
}else{
$html.="<p>{$unser->test}</p>";
}
}
?>
首先后端对表单输入的数据进行反序列化,如果为空则输出“大兄弟,来点劲爆点儿的!”;如果不为空,则输出反序列化的结果,我们反序列化的结果包含一个JavaScript脚本,输出到网页中那么就会执行这个脚本文件。
最后
所有的实验环境均在pikachu靶场中进行的。