从零开始的PHP原生反序列化漏洞

1、写在前面

OK 兄弟们，这几天一直在面试，发现很多 HR 喜欢问反序列化相关的内容，今天咱们就从最简单的 PHP 原生反序列化入手，带大家入门反序列化

2、PHP 序列化

在 PHP 中，有反序列化，就有序列化，我们先来解释一下序列化。

所谓序列化，就是将 PHP 的一个对象，序列化为一串字符串的过程，其所用的函数就是serialize()

对象：一个对多种信息描述的整体

类：一个储存信息的共享的模板，以class开头

我们先试着创建一个新的类

<?php
class seren //定义一个类
{
//变量
    public $a = 'hello';
    private $b = 'world';
//方法
    public function print_var()
{
        echo $this->a;
    }
}
?>

上面就是一个很简单的类，我们来看一下，首先使用class声明了一个类seren，在这个seren类里，我们有两个变量a和b，还有一个方法print_var

现在我们要去使用这个类，就需要把这个类实例化为一个对象

//创建一个对象
$object = new seren();
//调用一个方法
$object->print_var();

我们可以使用new，将seren类实例化为一个object对象，如果我们想要使用这个类的方法，可以直接使用 $object->print_var(); 的方法来调用这个方法。

接下来，我们试着使用serialize函数，将这个对象给序列化

<?php
class seren //定义一个类
{
//变量
    public $a = 'hello';
    private $b = 'world';
//方法
    public function print_var()
{
        echo $this->a;
    }
}
$object = new seren();
$c = serialize($object);
echo $c;
?>

此处我们使用 serialize 将object这个对象，序列化为c，并打印出c

此处可以看到打印出的字符串

O:5:"seren":2:{s:1:"a";s:5:"hello";s:8:" seren b";s:5:"world";}

接下来我们就把这串字符串逐个解释一下。

首先是前面的 O，代表这是一个Object，也就是一个对象，然后是 O 后面的5，代表这个对象的名称为 5 个长度，再后面的seren就是我们对象的名称，后面的 2 就是我们对象里变量的个数。

然后就是大括号里面的内容，里面都是对我们对象里的变量的描述。

第一个s:1:"a";，表示为string类型，这个变量的名称长度为 1，变量名称为 a

后面的s:5:"hello";，表示为string类型，这个值的长度为 5，值为 hello

其实从这里我们就可以发现出规律，这个字符串对对象的描述都是类型+长度+名称的格式

比较特殊的就是后面的s:8:" seren b";，此处我们可以看到似乎有点不一样，这里的长度变成了 8，并且名称变成了serenb

我们回到上面，看我们创建这个类的时候，b 的类型为private，所以就可以知道，根据规定，private类型的变量在序列化后，名称会变为类名+变量名的格式，但是serenb也只有 6 个长度，但是他提示我们有 8 个长度

其实是因为在seren的前后有两个我们不可见的%00，他真正的内容应该是%00seren%00b，%00 算是一个长度，所以一共是 8 个长度。

3、PHP 反序列化

讲完了序列化，接下来就是反序列化，反序列化的函数是unserialize()，他可以将我们的序列化后的字符串，反序列化为对象

<?php
class seren //定义一个类
{
//变量
    public $a = 'hello';
    private $b = 'world';
//方法
    public function print_var()
{
        echo $this->a;
    }
}
$object = new seren();
$c = serialize($object);
$object2 = unserialize($c);
var_dump($object2);
?>

此处我们使用unserialize函数将字符串 c 反序列化为了对象object2

4、魔术方法

魔术方法是 php 反序列化漏洞利用中很重要的一环，一般以两个下划线开头，如果这个类里面存在魔术方法，他就会优先调用魔术方法

_construct()  //当一个对象创建时被调用
_destruct()   //对象被销毁时触发
_wakeup()     //反序列化前触发
_sleep()      //序列化前触发
_toString()   //把类当作字符串使用时触发
_get()        //用于从不可访问的属性读取数据
_set()        //用于将数据写入不可访问的属性
_isset()      //在不可访问的属性上调用isset（）或empty（）触发
_unset()      //在不可访问的属性上使用unset时触发
_invoke()     //当脚本尝试将对象调用为函数时触发

我们试着在类里创建一个魔术方法wakeup

<?php
class seren //定义一个类
{
//变量
    public $a = 'hello';
    private $b = 'world';
//方法
    public function print_var()
{
        echo $this->a;
    }

    public function __wakeup()
{
        // TODO: Implement __wakeup() method.
        echo 'Follow SerenSec!';
    }
}
$object = new seren();
$c = serialize($object);
$object2 = unserialize($c);
?>

运行后发现输出了Follow SerenSec!

5、PHP 反序列化漏洞

我们可以试着在反序列化的时候，寻找一些比较危险的魔术方法，从而达成 RCE 的目的，这就是反序列化漏洞

下面是一个很简单的例子

<?php
class seren //定义一个类
{
//变量
    public $a = 'hello';
    private $b = 'world';
    public $hack;
//方法
    public function print_var()
{
        echo $this->a;
    }
    public function __construct($hack) {
        $this->hack = $hack;
    }
    public function __wakeup()
{
        // TODO: Implement __wakeup() method.
        echo shell_exec($this->hack);
    }
}
$object2 = unserialize($_GET['hack']);
?>

此时我们发现有 __wakeup 魔术方法，其中存在 shell_exec 函数，可以执行命令，并且其中的 hack 变量是可控的

我们先构造出序列化后的字符串

O:5:"seren":3:{s:1:"a";s:5:"hello";s:8:"%00seren%00b";s:5:"world";s:4:"hack";s:6:"whoami"}

然后构造 payload

http://localhost/test.php?hack=O:5:%22seren%22:3:{s:1:%22a%22;s:5:%22hello%22;s:8:%22%00seren%00b%22;s:5:%22world%22;s:4:%22hack%22;s:6:%22whoami%22}

成功执行命令

6、结语

PHP 原生反序列化比较简单，后面会有一些拓展内容，像是POP 链和Phar 协议，这些是比较绕的地方，各位可以自行探索。