php反序列化漏洞基礎入門

原創 神林丶 2020-06-23 08:50

反序列化詳解

什麼是php反序列化

序列化是php用來打包傳輸數據的一種方式,就像是貨物運輸時將大的貨物拆卸成小的貨物,然後傳輸到了規定的地點之後在進行拼裝的過程,反序列化就是從小物件來進行拼裝的過程,整體圍繞着serialize()以及unseralize()兩個函數進行.在php應用之中序列化已知作爲緩存使用,比如session,cookie等,常見的序列化格式有:二進制字符串    字節數組    json字符串    xml字符串,一般序列化問題的形成都是因爲php中魔法函數導致比如:
vodi_wakeup() //unserialize() 會檢查是否存在一個此方法,如果存在,就會先進行_wakeup方法的調用,預先準備對象需要的資源.
void__construct()    //具有構造函數的類在每次創建新對象的時候先調用這個方法.
void__destruct()    //析構函數會在到某個對象的所有引用都被刪除或者當對象被銷燬時執行.
string__toString (void)    //方法常用於一個類被當成字符串時應怎麼樣迴應,例如 echo $obj;應該顯示些什麼.此方法必須返回一個字符串,否則將發出一條E_RECOVERABLE_ERROR級別的致命錯誤.

舉個例子:

json,json的傳輸形式就是一種序列化,json將數據進行轉化爲數組然後進行專門的傳輸.比如json_encode()    json_decode()    這兩個函數
image.png
我們在這裏把這個book進行了一種數組的序列化,從而產生了一種序列化之後的數據:
image.png
序列化之後就會變成一種鍵值對的方式,從而便於傳輸,這就是json傳輸的方式.

serialize()

那麼關於php中對象的序列化就要用到serialize()函數了,傳遞信息都必須時重要並且用於存儲特徵字符,比如對象的名稱所以我們用freebuf上一位師傅的圖來了解一下序列化後的對象存儲的方式.
image.png
源碼運行之後便是:
image.png
那麼這些組合是怎麼來的呢?

存貯過程就是這個樣子,要注意的是序列化代碼的時候由於屬性的設置會導致繞過.由於一些魔法方法,服務器能夠接收我們反序列化過後的字符串並且未經過濾的變量放到魔術方法中就會產生漏洞

漏洞

源碼:

<?php
class A{
	var $test= "demo";
  function __destruct() //在本類被刪除的時候會進行函數調用
  {
    echo $this->test;
  }
$a = $_GET['test'];
$a_unser = unserialize($a);
}

如果你手動序列化了 CLASS A , 那麼,這裏unserialize()函數就會將序列化的信息反制從而導致對象的產生,當對象消除時就會導致//    $this->test    //     的執行,所以從而看到如圖:

$a_unser = new A;

image.png
這樣我們通過控制A中的成員內容就可以成功達到任意輸出的情況。

例題

舉個ctf中的反序列化的例題:jarvisoj 神盾局
我們直接上源碼:
    根據題目提示,我們知道flag存放在 pctf.php中,而我們要讀取pctf.php我們就需要第一張圖片的反序列化,之後就能夠利用反序列化中的函數來進行讀取文件,而變量名就是file    類名是Shield,這樣我們便能確定瞭如何構造payload了:

O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}		//構造成功,我們只需要get('class')將參數傳進去即可

http://web.jarvisoj.com:32768/index.php?class=O:6:%22Shield%22:1:{s:4:%22file%22;s:8:%22pctf.php%22;}
查看源代碼即可獲得flag
   
相信通過例題你對反序列化有了更深層次的理解,但是如果類中的變量進行了保護屬性或者是私有屬性從而無法通過直接的序列化來進行傳值,那麼我們會有其他的辦法.

__wakeup的繞過

(cve-2016-7124)
反序列化時如果表示對象屬性個數的值大於真實屬性個數時,就會自動默認跳過__wakeup()的執行.

影響版本:
PHP before 5.6.25
7.x before 7.0.10

繞過源碼:

<?php
class A{
        var $test = "demo";
        function __destruct()
        {
            echo $this->test;// TODO: Implement __destruct() method.
        }
        function __wakeup()
        {
            echo "wakeup!"."<br/>";// TODO: Implement __wakeup() method.
        }
}
$a = $_GET['test'];
$a_unser = unserialize($a);
?>

運行結果如下:
image.png
此時__wakeup()會在對象實例化之前運行所以先輸出了wakeup!,如果我們需要繞過只需要將對象中的屬性值修改即可
image.png
可以看到成功執行了我們輸入的命令.

注入對象構造

當目標對象被protected    private時,我們可以通過特殊的方法進行構造繞過:
源碼

<?php
class A{
        protected $test = "demo";
        private $test2 = "test";
        function __destruct()
        {
            echo $this->test."<br/>";// TODO: Implement __destruct() method.
            echo $this->test2;
        }
}
$a = $_GET['test'];
$a_unser = unserialize($a);
?>

此時test以及test2已經被特殊屬性保護起來,我們這個時候通過傳入普通的序列化的字符串無法對對象進行修改:
image.png
我們此時需要進行特殊繞過:

如果對象擁有    private屬性我們可以將有此屬性的變量修改爲 %00A%00test2
也就是說這裏我們需要將變量名加上三個字符,兩個爲%00,中間一個爲類名 A
如果對象擁有    protected屬性時我們可以將有此屬性的變量修改爲 %00*%00test
也就是說在原來變量名上加了三個字符,兩個爲%00,中間爲爲一個 *

對比:
原來:

http://127.0.0.1/serialze.php?test=O:1:"A":2:{s:4:"test";s:6:"sussce";s:5:"test2";s:7:"sussce2";}

現在:

http://127.0.0.1/serialze.php?test=O:1:"A":2:{s:7:"*test";s:6:"sussce";s:8:"Atest2";s:7:"sussce2";}

可以看到我們第二個在修改具有私有類型的變量時我們加了%00A%00    在修改具有保護類型的變量時我們加了%00*%00    我們得到:
image.png
所以我們成果的繞過進行了修改;

Session的反序列化構造

php中的Session經過序列化後存儲,讀取時在進行反序列化.
相關配置
session.save_path=""    //設置session的存儲路徑
session.save_handler=""    //設定用戶自定義存儲函數,如果想使用php內置會話存儲機制之外的可以使用本函數
session.auto_start boolen    //指定繪畫模塊是否在請求開始時啓動一個會話默認爲0不啓動
session.serialize_handler string    //定義用來序列化/反序列化的處理器的名字. 默認使用php
session的所有配置文件:
image.png
其中PHP中有三種序列化處理器,如下表所示:

其中如果兩個頁面設置的session序列化/反序列化的處理器不一樣的化就會導致一些反序列化的錯誤
session使用的代碼爲:

<?php
session_start();
$_SESSION['test'] = $_GET['test'];
echo session_id();
?>

其中session的爲session_id,儲存內容爲序列化後的session :     test|s:“test” ;
如下圖:
image.png
image.png
在存儲session的文件中    (這個文件路徑可以通過上面phpinfo();函數來看到):
image.png    
即可以看出,在存儲文件中,test = test 的內容爲 test | s:4:“test”    他的session值爲c5amt5am2tujj531m9f5ciqk25
所以我們可以根據不同的php序列化工具來進行攻擊.
漏洞代碼:

<?php
//xl.php
ini_set("session.serialize_handler","php");
session_start();
class demo3{
    var $test='test';
    function __wakeup()
    {
        echo 'wakerup!.<br/>';// TODO: Implement __wakeup() method.
    }
    function __destruct()
    {
        echo $this->test;// TODO: Implement __destruct() method.
    }
}
?>
<?php
//session.php
ini_set('session.serialize_handler',"php_serialize");
session_start();
$_SESSION['test'] = $_GET['test'];
echo session_id();
?>

這是兩個不同的php文件其中xl.php中使用的session序列化處理器爲php    而session中的序列化處理器爲php_serialize,此時我們可以構造實例來進行任意生成實例對象:
由於我們傳值時在serialize()的結果前面加上    |    ,當使用php處理器時,就會把    |    後面的內容反序列化,從而調用xl.php中的__wakeup()方法和__destruct();
示例:
image.png
image.png
這樣就完成了任意的反序列化對象的構造.

PHAR利用

phar簡介

phar簡單來說就是php壓縮文檔,它可以把多個文件歸檔到同一個文件中,並且不用經過解壓就可以被php訪問執行,與file://    php:// 等類似.也是一種流包裝器
所以可以用來進行上傳繞過!!!新的sao姿勢有沒有
phar有四個部分組成:
stub phar 文件標識
這部分稍後再補充順便帶上繞過方式~~~

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

RoarCTF2019 [MISC:黃金6年][Web:Easy Calc]總結與復現

前言 去年做了RoarCTF線上賽題。只做出一道MISC題。去年已經把MISC題黃金6年和Web題Easy Calc總結並復現了一下。 現在才發現忘記發博客了。。尷尬。。( 其他題有時間會復現) MISC:黃金6年 下載之後,發現

Qwzf 2020-07-07 18:04:49

ISCC2020 擂臺題Web總結與復現

擂臺Web1:Easy Injection 題目難度:簡單考察:python模板注入(jinja2模板注入) 典型的模板注入,無任何過濾,直接構造利用payload: http://101.201.126.95:7050/{{ c

Qwzf 2020-07-07 18:04:48

內網滲透(上)

每日一句: 做安全,有一定實力的話。找工作,待遇不好就不要去,不要委屈求全。 世界上好地方那麼多,不出去看看的話,你就以爲這就是世界 另外,二進制其實也不是多值錢的玩意,沒必要覺得多深奧 聲明: 內網滲透

划水的小白白 2020-07-08 00:37:05

合天網安實驗室CTF-解密100-Funny Crypto

合天網安實驗室CTF-解密100-Funny Crypto 題目描述   tgbnjuy 8ujko9 5rfgy6 相關附件 參考解題步驟 字母 被圍起來的字母 圖示顏色 tgbnjuy h 紅 8ujko

皮卡皮卡~ 2020-07-08 09:00:51

長度擴展攻擊詳解

這幾天在看密碼學的長度擴展攻擊,看了不少文章,感覺都說得不夠清楚,自己弄清楚之後想寫一篇,做一個記錄。 1. 簡介        長度擴展攻擊(length extension attack),是指針對某些允許包含額外信息的加密散列函數

szuaurora 2020-07-08 06:53:55

2017zctf misc300

下載題目後是個zip壓縮包,帶有密碼,本質是zip僞加密,解決方法可以是用壓縮包自帶的修復功能,或者用二進制打開工具修改zip文件頭,或者直接在linux下用binwalk –e 直接解壓 成功解壓後是幾個不熟悉的文件格式,還是用binw

szuaurora 2020-07-08 06:53:53

[GXYCTF2019]BabySQli

看了大佬的博客,勉強整出來了,詳細的寫一下我的思路。 錯誤思路: 觀察發現是post傳值,想用sqlmap一把嗦,BP抓包=>sqlmap 得到數據庫:web_sqli 表:user 字段:passwd 得到密碼是cdc9c81

imbia 2020-07-08 02:36:55

君莫笑系列視頻學習(5)(終)

這次視頻講解的是通過jmp esp佈置跳到shellcode執行   pwn_by_example_7_b0verfl0w (jmp esp):https://www.bilibili.com/video/av35112734 與這個視頻

言承Yolanda 2020-07-08 01:37:50

君莫笑系列視頻學習(2)

早上九點起牀,洗漱喫飯,要十點了,明天早點睡,希望寒假越起越早。。。 現在又到了開心的學習時間。   pwn入門系列-2-一個簡單的例子 https://www.bilibili.com/video/av14824239/?spm_id_

言承Yolanda 2020-07-08 01:37:40

君莫笑系列視頻學習(4)

接下來,視頻講解的都是各個例子(https://space.bilibili.com/14500640/) (1)程序中自身就含有system函數和"/bin/sh"字符串 (2)程序中自身就有system函數,但是沒有"/bin/sh"

言承Yolanda 2020-07-08 01:37:40

re學習筆記(67)SCTF-re-signin

考察的是python的exe文件反編譯成py文件這個知識點, 所用工具在我的GitHub:https://github.com/Eliauk55/CTF-tools 先用pyinstxtractor.py得到exe轉pyc文件

我也不知道起什么名字呐 2020-07-07 22:52:30

[CTF]攻防世界web高手進階區Writeup(更新ing)

baby_web EMMMM,這就是一個簽到題~ 解題方法: F12→Networks→刷新抓包→完成 Training-WWW-Robots   看題目可以知道這道題考的是爬蟲協議(robots.txt文件)的知識 打

0pen1 2020-07-07 21:39:58

i春秋2020新春公益賽 GYCTF有關SQL注入題復現

0x00 前言 最近這段時間參加過一些CTF在線競賽,做過一些Web題,發現SQL注入漏洞出現的頻率可真高!不過在做題中也get到了一些Web新知識,現在通過題目復現的方式總結一下。 0x01 blacklist 考點:堆疊注入+

Qwzf 2020-07-07 18:04:49

實驗吧--Web1

實驗吧平臺維護到現在一直都還沒維護好,我的好多松果都涼涼了,現在到了暑假特意把以前做過的題翻來重新寫成博客,主要的目的是爲了學習做題的思路,當然還有的題當時不會做,也不懂原理,經過一年多的學習,也瞭解了一些,所以就特意寫寫加強記憶。實踐纔

红烧兔纸 2020-07-07 16:44:45

攻防世界mobile新手區之easy jni 以及easy-apk的write up

0x01上dex2jar: 得到關鍵代碼: private boolean a(String paramString) { try { return ncheck((new a()).a(paramString.ge

KogRow 2020-07-07 15:59:23