PHP反序列化漏洞简单介绍

php序列化漏洞是ctf中常见题型，这里简单介绍一下php反序列化代码层面的原因。

php程序为了保存和转储对象，提供了序列化的方法，php序列化是为了在程序运行的过 
程中对对象进行转储而产生的。
序列化可以将对象转换成字符串，但仅保留对象里的成员变量，不保留函数方法

php序列化函数为serialize，可以将对象中的成员变量转化为字符串。

反序列化函数为unserialize，可以将serialize生成的字符串重新还原为对象中的成员变量。

反序列化漏洞的原因是用户输入恶意构造的数据，被代码反序列化之后执行

构造一个user类，定义两个成员变量

/*
Auther:LiangCheng
Data:2022.6.14
Cntent:php反序列化
PHP反序列化(百度):php程序为了保存和转储对象，提供了序列化的方法，php序列化是为了在程序运行的过 
                 程中对对象进行转储而产生的。
                 序列化可以将对象转换成字符串，但仅保留对象里的成员变量，不保留函数方法

*/

name = $name;
        $this->passwd= $passwd;

    }

}
//实例化一个对象
$obj = new user("admin","passwd");
//输出变量相关信息
var_dump($obj);
?>

运行结果

object(user)#1 (2) {
  ["name"]=>
  string(5) "admin"
  ["passwd"]=>
  string(6) "passwd"
}

序列化$ojb

var_dump(serialize($obj));

查看输出结果

string(64) "O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}"

对输出结果的解释

o：objtct，4：4个字符串，s：字符串， 4：字符串长度

接着对序列化的数据进行反序列化

$obj_serialize=string(64) "O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}";
var_dump(unserialize($obj_serialize));

输出结果

object(user)#2 (2) {
  ["name"]=>
  string(5) "admin"
  ["passwd"]=>
  string(6) "passwd"
}

这样就是对返回出了原数据

总体代码

name = $name;
        $this->passwd= $passwd;

    }

}
//实例化一个对象
$obj = new user("admin","passwd");
//输出变量相关信息
var_dump($obj);
//序列化对象
var_dump(serialize($obj));
//对序列化的数据进行反序列化
$obj_serialize='O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}';
var_dump(unserialize($obj_serialize));


?>

输出结果

object(user)#1 (2) {
  ["name"]=>
  string(5) "admin"
  ["passwd"]=>
  string(6) "passwd"
}
string(64) "O:4:"user":2:{s:4:"name";s:5:"admin";s:6:"passwd";s:6:"passwd";}"
object(user)#2 (2) {
  ["name"]=>
  string(5) "admin"
  ["passwd"]=>
  string(6) "passwd"
}

反序列化本身没有问题，是因为客户端恶意构造数据，被反序列化之后造成漏洞

因为php以;作为结束，我们在数据中写一些命令就造成服务器命令执行

如果制造的数据

$obj_serialize='O:4:"user":2:{s:4:"name";s:8:"admin;ls";s:6:"passwd";s:6:"passwd";}';

在name变量中的数据中构造admin;ls，服务器接受到数据，就会把文件显示出来，造成序列化漏洞