php反序列化漏洞 freebuf,反序列化漏洞（PHP）

介绍序列化和反序列化

序列化和反序列化：大型网站中类创建的对象多的时候会占用大量空间，序列化就是将这些对象转换为字符串来保存，当用到的时候再转换为对象，由字符串重新转换为对象的时候用到的就是反序列化。

例：

$a = new A();

$se_a = serialize($a);

echo $se_a;

?>

输出结果：O:1:"A":1:{s:1:"a";i:1;}

格式说明：O：“类的名字的字节数“：“类的名字“：“对象中几个参数“：{“第一个参数名字的类型“：“第一个参数名字所占字节数”：“第一个参数名字”；“第二个参数名字的类型“：“第二个参数名字所占字节数”：“第二个参数名字”；········；“第n个参数名字的类型“：“第n个参数名字所占字节数”：“第n个参数名字”；}

以下以类的名字为“A”，参数名字为a举例子：

若参数类型为public，则参数名字的类型用字母 “s”表示，整体表示为：(s:1:"a";)；

若参数类型为private，则参数名字的类型用字母“s”表示，整体表示为：(s:4:"\0*\0a";)；

若参数类型为protected，则参数名字的类型用字母“S”表示，整体表示为：(S:2:"\0Aa\0";)，参数前面加类的名字。(\0是表示0的ASCII码)

常见的表示类型的字符：

O：类

a：数组(array)

b：boolean

i：整型

s：字符串

N：NULL

d：double，浮点型

挖掘反序列化漏洞需要注意的常用魔法函数

反序列化漏洞也被成为对象注入。

__construct()：当一个对象创建时被调用。

__destruct()：当一个对象销毁时或者php代码执行完毕时被调用。

__toString()：当一个对象被当作一个字符串使用

__sleep()：在对象在被序列化之前运行

__wakeup()：将在序列化之后立即被调用

__weakup()函数绕过方法：

用上面的例子，正常输出O:1:"A":1:{s:1:"a";i:1;}，这里变量数量只有一个，若改成变量数量为两个则可以绕过__weakup函数。

O:1:"A":2:{s:1:"a";i:1;}

原因是php底层代码bug：简单来说，如果对象属性检查异常，那么Purrase_nested_data()将会返回0，且不调用WAKEUP()方法，但是在这之前对象和它的属性已经被创建，紧接着对象将被破坏，从而执行DESTRUCT()函数，于是导致了漏洞。

实战一道CTF题

class SoFun{

protected $file='index.php';

function __destruct(){   //定义析构函数，当创建的对象被销毁时自动执行

if(!empty($this->file)) {

if(strchr($this-> file,"\\")===false &&  strchr($this->file, '/')===false)

show_source(dirname (__FILE__).'/'.$this ->file);

else      die('Wrong filename.');

}}

function __wakeup(){ $this-> file='index.php'; }

public function __toString(){return '' ;}}

if (!isset($_GET['file'])){ show_source('index.php'); }

else{

$file=base64_decode( $_GET['file']);

echo unserialize($file ); }

?>   #

这题最后输出答案的语句应该是析构函数里的这句：show_source(dirname (__FILE__).'/'.$this ->file);

可是代码最后执行反序列化的时候执行了__weakup()函数，所以就执行了__weakup()函数中的this->file='index'，代码执行结束的时候，析构函数中show_source(dirname (__FILE__).'/'.$this ->file);就输出的为index..php的代码了。所以用绕过__weakup()函数的方法来不让this->file这个变量变成index.php。

1、代码审计

审计代码，可以发现要得到KEY，思路如下：

1、源码最后提示，KEY在flag.php里面；

2、注意到__destruct魔术方法中，有这么一段代码，将file文件内容显示出来

show_source(dirname(FILE).’/‘.$this->file)，这个是解题关键；

3、若POST“file”参数为序列化对象，且将file设为flag.php；那么可以通过unserialize反序列化，进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码)；

4、上面的分析是多么美好，但从代码分析可以知道，还有__wakeup这个拦路虎，通过unserialize反序列化之后，也会调用__wakeup方法，它会把file设为index.php；

5、总结下来就是，想办法把file设为flag.php，调用__destruct方法，且绕过__wakeup。

2、PHP反序列化对象注入漏洞

上网查资料，发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。

简单来说，当序列化字符串中，表示对象属性个数的值大于实际属性个数时，那么就会跳过wakeup方法的执行。举个栗子，比如有个Student类，里面有个参数为name。

实际情况：O:7:”Student”:1:{S:4:”name”;s:8:”zhangsan”;}

Payload：O:7:”Student”:2:{S:4:”name”;s:8:”zhangsan”;}Payload对象属性个数为2，而实际属性个数为1，那么就会掉入漏洞，从而跳过wakeup()方法。

3、CTF Payload

明确了这些之后，就可以构造出Payload了，需反序列化的对象为：

O:5:”SoFun”:2:{S:7:”\00*\00file”;s:8:”flag.php”;}

O:5:”SoFun” 指的是 类：5个字符：SoFun

:2:  指的是 有两个对象

S:7:”\00*\00file”   指的是有个属性，有7个字符，名为\00*\00file

s:8:”flag.php”   指的是属性值，有8个字符，值为flag.php

值得注意的是，file是protected属性，因此需要用\00*\00来表示，\00代表ascii为0的值。另外，还需要经过Base64编码，结果为：

Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==