php反序列化漏洞 freebuf,反序列化漏洞(PHP)

介绍序列化和反序列化

序列化和反序列化:大型网站中类创建的对象多的时候会占用大量空间,序列化就是将这些对象转换为字符串来保存,当用到的时候再转换为对象,由字符串重新转换为对象的时候用到的就是反序列化。

例:

$a = new A();

$se_a = serialize($a);

echo $se_a;

?>

输出结果:O:1:"A":1:{s:1:"a";i:1;}

格式说明:O:“类的名字的字节数“:“类的名字“:“对象中几个参数“:{“第一个参数名字的类型“:“第一个参数名字所占字节数”:“第一个参数名字”;“第二个参数名字的类型“:“第二个参数名字所占字节数”:“第二个参数名字”;········;“第n个参数名字的类型“:“第n个参数名字所占字节数”:“第n个参数名字”;}

以下以类的名字为“A”,参数名字为a举例子:

若参数类型为public,则参数名字的类型用字母 “s”表示,整体表示为:(s:1:"a";);

若参数类型为private,则参数名字的类型用字母“s”表示,整体表示为:(s:4:"\0*\0a";);

若参数类型为protected,则参数名字的类型用字母“S”表示,整体表示为:(S:2:"\0Aa\0";),参数前面加类的名字。(\0是表示0的ASCII码)

常见的表示类型的字符:

O:类

a:数组(array)

b:boolean

i:整型

s:字符串

N:NULL

d:double,浮点型

挖掘反序列化漏洞需要注意的常用魔法函数

反序列化漏洞也被成为对象注入。

__construct():当一个对象创建时被调用。

__destruct():当一个对象销毁时或者php代码执行完毕时被调用。

__toString():当一个对象被当作一个字符串使用

__sleep():在对象在被序列化之前运行

__wakeup():将在序列化之后立即被调用

__weakup()函数绕过方法:

用上面的例子,正常输出O:1:"A":1:{s:1:"a";i:1;},这里变量数量只有一个,若改成变量数量为两个则可以绕过__weakup函数。

O:1:"A":2:{s:1:"a";i:1;}

原因是php底层代码bug:简单来说,如果对象属性检查异常,那么Purrase_nested_data()将会返回0,且不调用WAKEUP()方法,但是在这之前对象和它的属性已经被创建,紧接着对象将被破坏,从而执行DESTRUCT()函数,于是导致了漏洞。

实战一道CTF题

class SoFun{

protected $file='index.php';

function __destruct(){   //定义析构函数,当创建的对象被销毁时自动执行

if(!empty($this->file)) {

if(strchr($this-> file,"\\")===false &&  strchr($this->file, '/')===false)

show_source(dirname (__FILE__).'/'.$this ->file);

else      die('Wrong filename.');

}}

function __wakeup(){ $this-> file='index.php'; }

public function __toString(){return '' ;}}

if (!isset($_GET['file'])){ show_source('index.php'); }

else{

$file=base64_decode( $_GET['file']);

echo unserialize($file ); }

?>   #

这题最后输出答案的语句应该是析构函数里的这句:show_source(dirname (__FILE__).'/'.$this ->file);

可是代码最后执行反序列化的时候执行了__weakup()函数,所以就执行了__weakup()函数中的this->file='index',代码执行结束的时候,析构函数中show_source(dirname (__FILE__).'/'.$this ->file);就输出的为index..php的代码了。所以用绕过__weakup()函数的方法来不让this->file这个变量变成index.php。

1、代码审计

审计代码,可以发现要得到KEY,思路如下:

1、源码最后提示,KEY在flag.php里面;

2、注意到__destruct魔术方法中,有这么一段代码,将file文件内容显示出来

show_source(dirname(FILE).’/‘.$this->file),这个是解题关键;

3、若POST“file”参数为序列化对象,且将file设为flag.php;那么可以通过unserialize反序列化,进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码);

4、上面的分析是多么美好,但从代码分析可以知道,还有__wakeup这个拦路虎,通过unserialize反序列化之后,也会调用__wakeup方法,它会把file设为index.php;

5、总结下来就是,想办法把file设为flag.php,调用__destruct方法,且绕过__wakeup。

2、PHP反序列化对象注入漏洞

上网查资料,发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。

简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。举个栗子,比如有个Student类,里面有个参数为name。

实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”zhangsan”;}

Payload:O:7:”Student”:2:{S:4:”name”;s:8:”zhangsan”;}Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。

3、CTF Payload

明确了这些之后,就可以构造出Payload了,需反序列化的对象为:

O:5:”SoFun”:2:{S:7:”\00*\00file”;s:8:”flag.php”;}

O:5:”SoFun” 指的是 类:5个字符:SoFun

:2:  指的是 有两个对象

S:7:”\00*\00file”   指的是有个属性,有7个字符,名为\00*\00file

s:8:”flag.php”   指的是属性值,有8个字符,值为flag.php

值得注意的是,file是protected属性,因此需要用\00*\00来表示,\00代表ascii为0的值。另外,还需要经过Base64编码,结果为:

Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==

你可能感兴趣的:(php反序列化漏洞,freebuf)