原创 | 一文读懂PHP反序列化漏洞

PHP 反序列化漏洞概述

在PHP中，序列化是把对象转化为可以存储或传输的字符串的过程，而反序列化则是将这个字符串再转换回对象的过程。PHP反序列化漏洞指的是攻击者能够操控反序列化过程，从而执行任意代码、读取敏感信息或执行其他恶意操作。

漏洞产生的原因

• 魔术方法的滥用
  
  PHP 有一些魔术方法，例如__construct()、__destruct()、__wakeup()等，在对象序列化和反序列化时会自动调用。如果这些魔术方法中包含危险操作（如执行系统命令、读写文件等），攻击者可以通过构造恶意的序列化字符串来触发这些危险操作。
• 不安全的输入处理
  
  当应用程序接收用户输入的序列化数据并直接进行反序列化时，如果没有对输入进行严格的验证和过滤，攻击者就可以构造恶意的序列化数据进行攻击。

代码实例

以下是一个简单的 PHP 代码示例，展示了反序列化漏洞是如何产生的：

<?php// 定义一个包含危险操作的类classVulnerableClass{    public $command;    public function__destruct() {        // 执行命令        system($this->command);    }}// 正常使用场景$obj = new VulnerableClass();$obj->command = "ls -l";$serialized = serialize($obj);// 模拟接收用户输入的序列化数据$user_input = $_GET['data'];$unserialized = unserialize($user_input);?>

<?phpclassVulnerableClass{    public $command;}$malicious_obj = new VulnerableClass();$malicious_obj->command = "rm -rf /tmp/*"; // 恶意命令$malicious_serialized = serialize($malicious_obj);echo $malicious_serialized;?>

攻击者可以将这个恶意的序列化字符串作为data参数的值发送给应用程序，从而触发__destruct()方法执行恶意命令。

公开靶场练习

• DVWA（Damn Vulnerable Web Application）
  
  这是一个非常流行的用于学习和测试 Web 应用程序漏洞的开源项目，其中包含了 PHP 反序列化漏洞的测试环境。你可以从DVWA 的 GitHub 仓库下载并部署到本地服务器上进行练习。
• WebGoat
  
  这是 OWASP 组织开发的一个交互式的 Web 应用程序安全教学工具，也提供了反序列化漏洞的练习场景。可以从WebGoat 的 GitHub 仓库获取相关资源。

防范措施

• 输入验证和过滤
  
  对用户输入的序列化数据进行严格的验证和过滤，只允许合法的序列化数据通过。
• 避免在魔术方法中执行危险操作
  
  尽量避免在__construct()、__destruct()等魔术方法中执行危险的系统命令或文件操作。
• 使用白名单
  
  如果可能的话，使用白名单机制来限制可以反序列化的类。

原文始发于微信公众号（船山信安）：原创 | 一文读懂PHP反序列化漏洞