漏洞产生原理
没有对用户输入的序列化字符串做检测,导致攻击者可以控制反序列化过程。
序列化(serialize())//将一个对象转换成一个字符串
反序列化(unserialize())//将字符串还原成一个对象
序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题。
漏洞利用
利用条件:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法。
魔术方法:
__construct(): //构造函数,当对象new的时候会自动调用
__destruct()://析构函数当对象被销毁时会被自动调用
__wakeup(): //unserialize()时会被自动调用
__invoke(): //当尝试以调用函数的方法调用一个对象时,会被自动调用
__call(): //在对象上下文中调用不可访问的方法时触发
__callStatci(): //在静态上下文中调用不可访问的方法时触发
__get(): //用于从不可访问的属性读取数据
__set(): //用于将数据写入不可访问的属性
__isset(): //在不可访问的属性上调用isset()或empty()触发
__unset(): //在不可访问的属性上使用unset()时触发
__toString(): //把类当作字符串使用时触发
__sleep(): //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用
序列化字符串解释:
漏洞形成案例:
代码:
<?php
class C{
public $cmd='ipconfig';
public function __destruct(){
system($this->cmd);
}
public function __construct(){
echo '__construct()魔术方法被执行:xiaoheizi'.'<br><br>';
}
}
//函数引用,无对象创建触发魔术方法自定义变量
$c=new C();
//echo '序列化对象为字符串:'.serialize($c).'<br><br>';
//?c=O:1:"C":1:{s:3:"cmd";s:3:"ipconfig";}
//unserialize($_GET[c]);
?>
当new对象时,里面的__construct()方法就会执行,代码执行结束自动销毁时__destruct()方法就会执行
执行结果
将对象序列化为字符串:
序列化结果:O:1:"C":1:{s:3:"cmd";s:8:"ipconfig";}
即使不在new对象,使用反序列化函数,传递参数值为对象的序列化字符串时
依然会触发对象中的‘__destruct()‘魔术方法
控制序列化字符串内的变量值为”ver“:O:1:"C":1:{s:3:"cmd";s:3:"ver";}成功执行命令
案例:typecho cms 存在反序列化漏洞
代码审计思路看:https://www.anquanke.com/post/id/155306
原文始发于微信公众号(小黑子安全):PHP反序列化漏洞(入门1)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论