面相小白的php反序列化漏洞原理剖析

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

本文整理反序列化漏洞的一些成因原理

建议学习反序列化之前

先对php基础语法与面向对象有个大体的了解

(我觉得我整理的比较细致,了解这俩是个啥就行)

漏洞实战情况

这个漏洞黑盒几乎不会被发现,除非极少数个别特别奇葩离谱少见,或者有内鬼作祟,明摆着告诉你这里有个漏洞,你来打我的情况。

大多数是白盒审计得出。

序列化与反序列化概念

需求分析

这里假设我们有一个类对象,我们想要引用可以直接用文件导入。

但是假设我们想要传输这个类对象给其他主机。

我们不可能把整个类的代码都给复制然后发送。

这个时候就需要把他们转化为一种更能方便传输的形式。

这个过程成为序列化。

反序列化则是把序列的产物重新变为类对象

序列化

函数:

serialize()

序列化后的产物模式:

代码演示

php 复制代码
<?php
class student{
    public $name="joker";
    private $age=11;
    public function sayhello(){
        echo "hellohello";
    }
}

$a=new student();
$b=serialize($a);
echo $b;
?>

结果如下:

反序列化

函数:

unserialize()

他就是反过来,能够把序列化的字符串转化为类对象可供使用。

代码演示

php 复制代码
<?php
class student{
    public $name="joker";
    private $age=11;
    public function sayhello(){
        echo "hellohello";
    }
}

$a=new student();
$b=serialize($a);
$c=unserialize($b);
$c->sayhello();
?>

结果如下:

反序列化漏洞的成因与复现

原理分析

目标执行类中本不能执行的eval等危险函数。

反序列化可以覆盖原本的变量值,所以可以帮住我们运行本不应该被运行的区域。

自拟案例演示

以下为一串代码。

php 复制代码
<?php
class student{
    public $name="joker";
    public $age=11;
    public function runeval(){
        echo $this->age; //输出为19
            if ($this->age >= 18){
                system("ipconfig");  //原本不能执行的区域被执行
            }
    }
}


$b=$_GET["x"];
$c=unserialize($b);
$c->runeval();
?>

代码解析

get传递一个x参数,然后把他反序列化,之后运行runeval方法。

类中,有name,age属性,以及一个方法。

方法输出age的值,并且当age>=18的时候就会执行

system

而朋友,system是个高危函数,这里是固定的ipconfig,如果这个参数可控,那么就是一个大漏洞。

但是age明显固定是11啊,根本不会执行system。这里就轮到反序列化漏洞登场。

漏洞利用过程

我们新建一个php文件

把上面类的php代码全复制过来。

php 复制代码
<?php
class student{
    public $name="joker";
    public $age=11;
    public function runeval(){
        echo $this->age; //输出为19
            if ($this->age >= 18){
                system("ipconfig");  //原本不能执行的区域被执行
            }
    }
}
    
    $b=new student;
    $c=serialize($b);
    echo $c;
?>

接下来删减代码,仅保留我们要更改的地方

要尽量的减少对原代码运行的影响,防止功能错乱。

这里我们只需要改一个age属性值,让他能过检查即可,那么把age留下其余的全部删除

php 复制代码
<?php
class student{
    public $age=19;
}
    
    $b=new student;
    $c=serialize($b);
    echo $c;
?>

然后下面给他序列化输出一下。

把这串序列化字符串作为x传入原先的地方。

这里对比一下源代码

php 复制代码
<?php
class student{
    public $name="joker";
    public $age=11;
    public function runeval(){
        echo $this->age; //输出为19
            if ($this->age >= 18){
                system("ipconfig");  //原本不能执行的区域被执行
            }
    }
}


$b=$_GET["x"];
$c=unserialize($b);
$c->runeval();
?>

runeval函数中输出age的地方输出了19

也就是说我们覆盖了原先的11

并且过了检查执行了system。

现在我们试想一下真实场景。

假如这个age是判断你是不是vlp呢?

这样能不能绕过?

对吧,这个就是反序列化漏洞的一个基础的攻击形式。

反序列化进阶操作

在开发中几乎一定会用一些构造方法,类中实例化其他类对象的操作。

而这些操作让我们有更大的操作空间,让这个实例化跟打内网一样在类中各种横向移动建立隧道。

构造方法玩法

开发中几乎类都会执行一些构造方法。

构造方法的特点就是实例化的时候直接执行!!!!

没错直接执行!!!

具体的魔术方法以及作用参考我的这篇文章(太多了。。。)

(有php面向对象基础的可以直接看下面,没有的话先仔细看这个魔术方法,不然看不懂下面是啥)

php反序列化常见魔术方法整理-CSDN博客

看我们之前的代码

php 复制代码
<?php
class student{
    public $name="joker";
    public $age=11;
    public function runeval(){
        echo $this->age; //输出为19
            if ($this->age >= 18){
                system("ipconfig");  //原本不能执行的区域被执行
            }
    }
}


$b=$_GET["x"];
$c=unserialize($b);
$c->runeval();
?>

看下面类对象的实例化。

我们是直接传入然后手动执行了runeval。

但是如果不执行的话,那不就是一点办法没有了嘛。

所以如果他有构造方法,构造方法就会在反序列化的时候自动执行。

大大提升了我们的可玩性!!

看这个代码

php 复制代码
<?php
class student{
    public $name="joker";
    public $age=11;
    public function __destruct(){
        echo "aa";
        echo $this->age; //输出为19
            if ($this->age >= 18){
                system("ipconfig");  //原本不能执行的区域被执行
            }
    }


}

$b=$_GET["x"];
$c=unserialize($b);
?>

仅仅进行了反序列化,并没有执行方法,但是类中有一个构造方法。

这个方法会在类结束的时候自动执行,所以不好意思,上一个payload依旧秒掉。

(注意一下实例化加个(),我上面给忘了。。。)

php 复制代码
<?php
class student{
    public $age=19;
}
    
    $b=new student();
    $c=serialize($b);
    echo $c;
?>

pop链类跳跃

看下面代码

php 复制代码
<?php
class student1{
    public $name="joker";
    public $age=11;
    public function getip(){
        echo system("ipconfig");
    }
}


class student2{
    public $name;
    public $age;
    public function __toString(){
        echo "runing";
        $this->name->{$this->age}();
}
}

$b=$_GET["x"];
$c=unserialize($b);
echo $c;
?>

这里有两个类,仅仅靠源代码,他们毫无关联。

很明显system在student1中

然而getip方法显然是没有被执行的。

student2有toString的方法,如果类对象被当做字符串处理则会执行。

而下面那个echo明显作为了字符串,所以能够执行toString。

然后里面的

this-\>name-\>{this->age}();

两个属性值都能够被反序列化恶意更改让他实例化为student1并执行函数。

所以

php 复制代码
<?php
class student1{
}

class student2{
    public $name;
    public $age="getip";
}

    $c=new student2();
    $z=new student1();
    $c->name=$z;
    $d=serialize($c);
    echo $d;
?>

结语

看到这应该就会了解php反序列化漏洞的一个工作原理了。

但还是老规矩绕过策略与特殊玩法写在别的博客中。

别问我为毛老说写一个完整体系结果又写别的去了。。。

因为我写的过程中遇到一个点攻不破我就想摆烂了。

相关推荐
好奇的菜鸟2 分钟前
Go语言中的引用类型:指针与传递机制
开发语言·后端·golang
Alive~o.011 分钟前
Go语言进阶&依赖管理
开发语言·后端·golang
花海少爷13 分钟前
第十章 JavaScript的应用课后习题
开发语言·javascript·ecmascript
手握风云-14 分钟前
数据结构(Java版)第二期:包装类和泛型
java·开发语言·数据结构
喵叔哟34 分钟前
重构代码中引入外部方法和引入本地扩展的区别
java·开发语言·重构
尘浮生40 分钟前
Java项目实战II基于微信小程序的电影院买票选座系统(开发文档+数据库+源码)
java·开发语言·数据库·微信小程序·小程序·maven·intellij-idea
hopetomorrow1 小时前
学习路之PHP--使用GROUP BY 发生错误 SELECT list is not in GROUP BY clause .......... 解决
开发语言·学习·php
网络安全-杰克1 小时前
网络安全概论
网络·web安全·php
不是二师兄的八戒1 小时前
本地 PHP 和 Java 开发环境 Docker 化与配置开机自启
java·docker·php
小牛itbull1 小时前
ReactPress vs VuePress vs WordPress
开发语言·javascript·reactpress