php序列化漏洞理解

0x01什么是序列化

序列化就是将我们的 对象转变成一个字符串,保存对象的值方便之后的传递与使用。
0x02为什么要序列化
如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?难道要前一个脚本不断的循环,等待后面脚本调用?这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值;unserialize则可以将serialize生成的字符串变换回变量。
0x03怎样产生了漏洞
这些就是我们要关注的几个魔术方法了,如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里面的话,就容易造成很严重的漏洞了。当传给 nserialize() 的参数可控时,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。
  • 构造函数__construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。
  • 析构函数__destruct():当对象被销毁时会自动调用。
  • __wakeup() :如前所提,unserialize()时会自动调用。
  • __toString()当一个对象被当作一个字符串使用
  • __sleep() 在对象在被序列化之前运行

0x04如何利用序列化漏洞

unserialize()后会导致__wakeup() 或__destruct()的直接调用,中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在__wakeup() 或__destruct()中,从而当我们控制序列化字符串时可以去直接触发它们。
如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里面的话,就容易造成很严重的漏洞了。
0x05序列化格式
  • String : s:size:value;
  • Integer : i:value;
  • Boolean : b:value;(保存1或0)
  • Null : N;
  • Array : a:size:{key definition;value definition;(repeated per element)}
  • Object : O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)

0x06实例

这里借用别人的一个很好的例子来说明一下这个问题。我们针对__wakeup()场景做实验。

建立一个index2的php文件,如下:

 1 php
 2 class chybeta{
 3     var $test = '123';
 4     function __wakeup(){
 5         $fp = fopen("shell.php","w") ;
 6         fwrite($fp,$this->test);
 7         fclose($fp);
 8     }
 9 }
10 $class3 = $_GET['test'];
11 print_r($class3);
12 echo "
"; 13 $class3_unser = unserialize($class3); 14 require "shell.php"; 15 // 为显示效果,把这个shell.php包含进来 16 ?>

在同目录下建立一个空的shell.php文件

我们可以看见上面的存在明显的漏洞,主要是没有对接受的test参数做处理,unserialize()后直接调用了魔法方法__wakeup(),该方法就将test直接写入到了shell.php中。因此我们直接给test传入一个我们精心构造的参数即可利用漏洞了,例如我们可以构造  test=O:7:"chybeta":1:{s:4:"test";s:19:"";}  ,即可看到命令被成功执行。

php序列化漏洞理解_第1张图片

这是我个人的第一次写博客,只是希望自己能通过写加深自己对知识的理解,同时通过写博客来增加对自己的要求,博客有很多不足,希望大家多多指正,我会一直努力学习。

转载于:https://www.cnblogs.com/Omasker/p/8961844.html

你可能感兴趣的:(php序列化漏洞理解)