PHP反序列化漏洞知识整理

0x00 序列化与反序列化

序列化：将对象转化为字符串的形式，称为序列化，在php中可以使用serialize函数实现
反序列化：将字符串还原成对象的形式，称为反序列化，在php中可以使用unserialize函数实现

一个序列化的例子
运行结果：
O:4:"Test":3:{s:1:"a";s:5:"ThisA";s:4:"�*�b";s:5:"ThisB";s:7:"�Test�c";s:5:"ThisC";}
O:4:"Test":3的解释：O标识这是一个对象，4表示对象名的长度，“Test”表示对象名，3表示了对象有3个成员

s:1:"a";s:5:"ThisA";的解释：s表示类型为String，为字符串，1表示成员名长度，“a”是这个成员名；s:5:"ThisA",表示值类型为字符串长度为5，值未“ThisA”。

protected属性成员 序列化后名字会以 "%00*%00b"表示，即%00*%00成员名

private属性成员 序列化后会名字会以"%00Test%00c"表示，即%00类名%00成员名

可以看到，对象的方法并不序列化到字符串中。

对于不同类型的序列化字符串保存形式
String : s:size:value;
Integer : i:value;
Boolean : b:value;(保存1或0)
Null : N;
Array : a:size:{key definition;value definition;(repeated per element)}
Object : O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}

一个反序列化例子：
test1();
?>

0x01 魔法函数

__construct()当一个对象创建时被调用
__destruct()当一个对象销毁时被调用
__toString()当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup将在序列化之后立即被调用

代码例子：
';
  }

   function __destruct(){
       echo 'destruct run
';
   }

   function __toString(){
       return 'toString run
';
   }

   function __sleep(){
       echo 'sleep run
';
       return array();
   }

   function __wakeup(){
       echo 'wakeup run
';
   }
}

$test = new Test();    // __construct run
echo $test;       // __toString run
$str = serialize($test); // __sleep run
$test1 = unserialize($str); // __wakeup run
unset($test);            // __destruct run
?>
执行结果：

0x02 反序列化漏洞

序列化和反序列化本身并没有问题，但结合了魔法函数加上参数可控，就可能造成问题，以pikachu靶场的一个例子：
class S{
   var $test = "pikachu";
   function __construct(){
       echo $this->test;
   }
}

//O:1:"S":1:{s:4:"test";s:29:"";}
$html='';
if(isset($_POST['o'])){
   $s = $_POST['o'];
   if(!@$unser = unserialize($s)){
       $html.="大兄弟,来点劲爆点儿的!";
   }else{
      $html.="{$unser->test}";
   }

}
用户可以传递序列化字符串给服务器进行反序列化，并将对象的test成员输出到页面上，此时的test的值为我们所控

提交payload触发xss：O:1:"S":1:{s:4:"test";s:29:"";}

0x03 CVE-2016-7124（绕过__wakeup函数）

影响版本：PHP5 < 5.6.25
PHP7 < 7.0.10

在反序列化时，如果字符串中对象属性个数大于实际属性个数，wakeup将跳过执行。
test = 'echo "wakeup run";';
   }

   function __destruct(){
       @eval($this->test);
   }
}

$str = 'O:4:"Test":1:{s:4:"test";s:10:"phpinfo();";}';

$test1 = unserialize($str);
?>
以上代码的执行结果

当序列化字符串将对象属性个数修改成大于实际数量时，将绕过wakeup的执行，$str = 'O:4:"Test":2:{s:4:"test";s:10:"phpinfo();";}';

PHP反序列化漏洞知识整理

0x00 序列化与反序列化

0x01 魔法函数

0x02 反序列化漏洞

0x03 CVE-2016-7124（绕过__wakeup函数）

你可能感兴趣的:(PHP反序列化漏洞知识整理)