前言:PHP反序列化也是web安全中常见的一种漏洞,这次就先来大致了解一下PHP反序列化漏洞的基础知识。
一、PHP序列化和反序列化
在学习PHP反序列化漏洞时,先来了解一下基础的知识。
(一)PHP序列化
函数 : serialize()
所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。
序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
一开始看这个概念可能有些懵,看了很多大师傅们的博客后,慢慢明白这个概念的道理。
在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。
1 | $s = serialize($变量); //该函数将变量数据进行序列化转换为字符串 |
下面通过一个具体的例子来了解一下序列化:
输出序列化后的结果:1
2User lemon is 20 years old.
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:5:"lemon";}
可以看到序列化一个对象后将会保存对象的所有变量,并且发现序列化后的结果都有一个字符,这些字符都是以下字母的缩写。1
2
3
4
5
6a - array b - boolean
d - double i - integer
o - common object r - reference
s - string C - custom object
O - class N - null
R - pointer reference U - unicode string
了解了缩写的类型字母,便可以得到PHP序列化格式1
2O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:5:"lemon";}
对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}
通过以上例子,便可以理解了概念中的通过serialize()函数返回一个包含字节流的字符串这一段话。
(二)PHP反序列化
函数:unserialize()
unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。 在解序列化一个对象前,这个对象的类必须在解序列化之前定义。
简单来理解起来就算将序列化过存储到文件中的数据,恢复到程序代码的变量表示形式的过程,恢复到变量序列化之前的结果。
1 | $s = file_get_contents(‘./目标文本文件’); //取得文本文件的内容(之前序列化过的字符串) |
通过一个例子来了解反序列化:
输出结果:
1 | User lemon is 20 years old. |
注意:在解序列化一个对象前,这个对象的类必须在解序列化之前定义。否则会报错
在先知上看大师傅举得例子对序列化和反序列化的介绍,也很好理解。1
2
3
4
5
6
7
8
9
10
11
12
13
14
class A{
var $test = "demo";
}
$a = new A(); // 生成a对象
$b = serialize($a); // 序列化a对象为b
$c = unserialize($b); // 反序列化b对象为c
print_r($b); // 输出序列化之后的值:O:1:"A":1:{s:4:"test";s:4:"demo";}
echo "\n";
print_r($c->test); // 输出对象c中test的值:demo
二、PHP反序列化漏洞
在学习漏洞前,先来了解一下PHP魔法函数,对接下来的学习会很有帮助
PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法
1 | __construct 当一个对象创建时被调用, |
这里只列出了一部分的魔法函数,具体可见PHP 手册
下面通过一个例子来了解一下魔法函数被自动调用的过程
1 |
|
显示结果:
例子载自于脚本之家,通过这个例子就可以清晰的看到魔法函数在符合相应的条件时便会被调用。
二、对象注入
当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就会产生漏洞。因为PHP允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数,最终导致一个在该应用范围内的任意PHP对象注入。
对象漏洞出现得满足两个前提:
一、
unserialize的参数可控。
二、 代码里有定义一个含有魔术方法的类,并且该方法里出现一些使用类成员变量作为参数的存在安全问题的函数。
1 |
|
比如这个列子,直接是用户生成的内容传递给unserialize()函数,那就可以构造这样的语句1
?test=O:1:"A":1:{s:4:"test";s:5:"lemon";}
在脚本运行结束后便会调用_destruct函数,同时会覆盖test变量输出lemon。
发现这个漏洞,便可以利用这个漏洞点控制输入变量,拼接成一个序列化对象。
再看下面这个例子:1
2
3
4
5
6
7
8
9
10
11
12
class A{
var $test = "demo";
function __destruct(){
@eval($this->test);//_destruct()函数中调用eval执行序列化对象中的语句
}
}
$test = $_POST['test'];
$len = strlen($test)+1;
$pp = "O:1:\"A\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}"; // 构造序列化对象
$test_unser = unserialize($pp); // 反序列化同时触发_destruct函数
其实仔细观察就会发现,其实我们手动构造序列化对象就是为了unserialize()函数能够触发__destruc()函数,然后执行在__destruc()函数里恶意的语句。
所以我们利用这个漏洞点便可以获取web shell了
总结:这次PHP反序列化漏洞的基础大致都了解了,但对于对象注入还是需要继续学习,这次就先学习到这里。