PHP反序列化漏洞详解

访客4年前关于黑客接单1081

PHP反序列化

因笔者水平有限,若某处有误,还请斧正。

一、基础

为方便存储、转移对象,将对象转化为字符串的操作叫做序列化;将对象转化的字符串恢复成对象的过程叫做反序列化。

php中的序列化与反序列化函数分别为:serialize()、unserialize()

序列化后的结果可分为几类

php的session存储的也是序列化后的结果

image-20201203150820032.png

二、序列化引擎

php对session的处理有三种引擎分别为php、php_serialize、php_binary.经过这三者处理后的session结构都不相同。

使用php引擎的结果见上图

使用php_serialize引擎的结果如下

image-20201203151424144.png

使用php_binary引擎的结果如下

image-20201203151730170.png

其中存在不可见字符,将结果进行URL编码如下

image-20201203151632906.png

在session文件可写的情况下,可手动写入我们想要的内容,例如

该题目中可任意文件写,故写入session文件构造name=admin.

image-20201203160827416.png

简单说一下payload.

banner和payload拼接在一起后变为经php序列化引擎反序列化后就成为了

三、魔术 ***

满足一定条件自动调用的 *** 即为魔术 *** ,常见魔术 *** 及触发条件如下

四、反序列化漏洞

当程序中存在反序列化可控点时,造成该漏洞,可通过程序中存在的类和php原生类构造pop链达成攻击。

image-20201203165333534.png

又例如

pop链为hit->__destruct() ----> wow->__toString() ----> fine->__call(),构造payload

image-20201203170818126.png

image-20201203171003157.png

4.1 原生类利用

l3m0n文章

原生类即是php内置类,查看拥有所需魔术 *** 的类如下

结果如下

Error

image-20201214152136459.png

将Error对象以字符串输出时会触发__toString,构造message可xss

image-20201214152517793.png

异常类大多都可以如此利用

SoapClient

__call *** 可用

image-20201218162513078.png

4.2 反序列化字符逃逸

序列化字符串内容可控情况下,若服务端存在替换序列化字符串中敏感字符操作,则可能造成反序列化字符逃逸。

序列化字符串字符增加

被限定为100,但是可控并且对象被序列化后会经过filter函数处理,将敏感词QAQ替换为wuwu,而我们需要使最后的.

image-20201204103126385.png

payload为

序列化字符串字符减少

序列化字符串减少的情况,需要序列化字符串有至少两处可控点.这里是将敏感词wuwu替换为QAQ。

image-20201204111022672.png

payload为

4.3 PHAR协议利用

phar文件是php的打包文件,在php.ini中可以通过设置phar.readonly来控制phar文件是否为只读,若非只读(phar.readonly=Off)则可以生成phar文件.

image-20201207140100560.png

phar文件结构

四部分,stub、manifest、contents、signature

image-20201207142905752.png

phar反序列化触发函数

php中的大部分与文件操作相关函数在通过phar协议获取数据时会将phar文件的meta-data部分反序列化

生成phar文件例子如下

image-20201207150309783.png

4.4 PHP引用

在php中是位运算符也是引用符(为逻辑运算符).可以使不同名变量指向同一个值,类似于C中的地址。

image-20201214194911842.png

image-20201214195353291.png

倘若出现下述情况,即可使用引用符

image-20201214200551279.png

这里的是不需要绕过的,引用了后这两者的值一定会相等,不管谁做了改变。

序列化结果中的即是引用.

五、BUGKU

安慰奖

算是反序列化入门题吧

index.php中发现提示

image-20201214155509815.png

下载备份文件index.php.bak,审计

直接编写exp
image-20201217173605047.png

禁用了一些文件读取命令,曲线救国如下

image-20201217173810194.png

六、BUUCTF

ZJCTF 2019 NiZhuanSiWei

源码

之一层if通过php://input满足,file通过php://filter读取useless.php

image-20201204165520066.png

payload构造

image-20201204165807234.png

image-20201204165925994.png

MRCTF2020 Ezpop

payload构造

image-20201204173628765.png

image-20201204173743279.png

CISCN2019 Day1 Web1 Dropbox

注册账号登录后,在下载功能处发现任意文件下载,扒取源码如下

先分析类文件,User类存在魔术 *** ,并且在其中调用,再一看File类,刚好有 *** ,但是User的中并未输出结果。再看FileList类,其中存在与. *** 首先将调用的不存在函数放至数组尾部,而后遍历并且调用,执行结果会被赋值给.FileList->__destruct *** 输出result的结果。

很常规,该题POP链很好构造。

在delete.php中找到程序反序列化触发点

image-20201219144333372.png

跟进detele ***

image-20201219144358048.png

unlink是个文件操作函数,可以通过phar协议进行反序列化。程序可以上传图片,故生成phar文件修改后缀上传,在删除功能处触发反序列化即可(经测试,flag文件为/flag.txt)。

exp如下

image-20201219144749745.png

网鼎杯 2020 青龙组 AreUSerialz

程序只允许使用ascii码在32-125范围内的字符,满足条件就反序列化。

process *** 中规定,当op=="2"时可以读取文件,op=="1"时可以写入文件.

析构函数中规定,当op==="2"时使得op="1".

综上可知,当使得op !=="2"但op=="2"时,可以读取文件。构造op=2可满足条件

image-20201204163638719.png

payload构造

image-20201204164749136.png

image-20201204164810942.png

0CTF 2016 piapiapia

发现www.zip,获得源码

代码审计过后,发现序列化(update.php)与反序列化(profile.php)的点

image-20201204151953054.png

image-20201204151934353.png

过滤函数filter(class.php)如下

image-20201204155641997.png

在profile.php第16行代码中,可以看到有读取文件的操作,结合前面的序列化,可以知道这里可以逃逸photo,控制photo为想要读取的文件名再访问profile.php文件即可。

phone与email的限制很严,无法绕过,可以看见在nickname参数中我们能够输入一切我们想输入的字符(";:等).只要能够使得后半段if判断通过,即可。

strlen函数在判断数组时会返回null,而null在与整型数字判断时会返回false,故构造nickname为数组即可绕过nickname的if判断

image-20201204160307923.png

payload构造

image-20201204161216184.png

提交payload

image-20201204161316382.png

访问profile.php

image-20201204161341774.png

解码

image-20201204161407037.png

安洵杯 2019 easy_serialize_php

源码

通过extract可覆盖全局变量进一步可控制序列化结果中的user与function,两处可控并且filter会减少序列化字符串字符数,进一步逃逸对象

payload为

image-20201204145752374.png

bestphp's revenge

访问flag.php,发现

image-20201214142511580.png

虽然call_user_func各个参数皆可控,但由于第二个参数类型不可控(定死为数组),无法做到任意代码执行。我们需要通过ssrf使服务器访问到flag.php即可获得flag.在没有可见的ssrf利用处时,可考虑php自身的ssrf,也即是php原生类SoapClient.如下

image-20201214143145996.png

所以,现在如何使程序去SSRF成为首要问题。

我们知道,php在保存session之时,会将session进行序列化,而在使用session时则会进行反序列化,可控的session值导致了序列化的内容可控。

结合php序列化引擎的知识可知,默认序列化引擎为php,该方式序列化后的结果为,如下

image-20201214143927184.png

而php_serialize引擎存储的结果则仅为序列化结果,如下

image-20201214144049780.png

在php引擎中,之前的内容会被当作session的键,后的内容会在执行反序列化操作后作为session键对应的值,比如里的name就成为了$_SESSION['name'],而在执行反序列化操作后则变成了字符串4ut15m,二者结合即是$_SESSION['name']="4ut15m"

因为call_user_func的参数可控,故我们可以调用函数ini_set或者session_start来修改序列化引擎。一系列操作如下

先生成所需的序列化字符串

image-20201214144711258.png

需要在序列化结果前添加一个,也即是

尝试修改题目序列化引擎,ini_set无法处理数组,故用session_start("serialize_handler")

image-20201214145354713.png

再访问一次该页面,则变为了默认引擎(php),可以看到序列化结果键已经不再是name,值也不再是,而是SoapClient对象

image-20201214145656279.png

接下来,想要使该SoapClient对象能够发起请求,就需要调用该对象的 *** .

这一行代码在执行后,$a的值就成为了

我们知道,call_user_func函数的之一个参数为数组时,它会将数组的之一个值作为类,第二个值作为 *** 去调用该类的 *** ,如下

image-20201214150455757.png

而魔术 *** 会在调用不存在 *** 的时候自动调用,故,如果能构造到,则可以达到执行的效果,由于SoapClient不存在 *** ,那么这里就会自动调用 *** ,如下

image-20201214150932801.png

在bp中重放攻击一次,得到session

image-20201214151017047.png

修改session并刷新

image-20201214151135579.png

参考文献

1.N1BOOK反序列化部分

相关文章

又一次刷新了世界观,关键词:秀色、冰恋、慕残,手贱勿入

关键词:秀色、冰恋、慕残,一些人新鲜的癖好,让人心惊胆战。 微信里讲了4个有关此话题的小故事,看完刷新世界观。 知乎网友是这样评价的: 即使是我这样口胃比一般人重许多的,第...

卡其色配什么颜色好看(颜色搭配技巧)

卡其色配什么颜色好看(颜色搭配技巧)

经典又百搭的卡其色单品绝对是一年中穿着频率比较高的单品之一了,大热的卡其色怎么搭配才好看呢?一起来看看欧美潮人的搭配吧! 搭配看点:不同长度的外套对于不一样身高的MM在服饰选择上也会不一样,就日常穿...

百度网页推广怎么做,除了联署营销,还有啥?

百度网页推广怎么做,除了联署营销,还有啥?

作为一名营销人员,当我们谈论网页的推广时,我们主要指的是单页的推广,譬喻,H5网页的推广。在早期,大大都网页的推广完全依靠连系营销。 此刻网页推广,联署营销是最优选择吗? 简朴的领略,连系营销是一种...

找黑客查住址,网络公司的那群人更懂黑客技术,超少年密码吧黑客

1.恳求阶段:从主机端口发送8位;第二种是认证APP,根据TOTP的加密算法,运用运用与认证APP一起持有的种子密钥,每隔30秒生成一个新的6位验证码,运用与APP之间的验证码一起则完结验证;三、Ma...

美国的选举人票是怎么产生的(什么是美国选举制度)

英国的选举人票是怎么造成的(什么叫英国选举制度)英国并不是由选举人直接选举造成美国总统 ,只是由大选团大选造成美国总统,大选团“战无不胜 ”,这使英国总统大选出現选举票多但依然败选的状况 ,另外也是民...

微信完成群待办之后别人能看到吗

以手机微信 7.0.19版本号为例子,手机微信进行群待办事项他人是可以见到的,根据微信聊天群待办事项的作用,让客户能够更为清晰的见到既定目标的进行状况,例如是报表的填好,也有某某某谁早已完成了某种待办...