phphalt实战经验丨PHP反序列化破绽总结

虽然PHP反序列化漏洞利用的条件比较苛刻，但是一旦被利用就会产生很严重的后果，以是很多公司都比较关注这个技能点，小伙伴们一定要节制哦。

PHP序列化与反序列化先容

什么是序列化与反序列化

维基百科中这样定义：序列化（serialization）在打算机科学的数据处理中，是指将数据构造或工具状态转换成可取用格式（例如存成文件，存于缓冲，或经由网络中发送），以留待后续在相同或另一台打算机环境中，能恢复原先状态的过程。

观点很随意马虎理解，实在便是将数据转化成一种可逆的数据构造，自然，逆向的过程就叫做反序列化。

那么序列化与反序列化有什么用途呢？

举个例子：

比如：现在我们都会在淘宝上买桌子，桌子这种很不规则的东西，该怎么从一个城市运输到另一个城市，这时候一样平常都会把它拆掉成板子，再装到箱子里面，就可以快递寄出去了，这个过程就类似我们的序列化的过程（把数据转化为可以存储或者传输的形式）。
当买家收到货后，就须要自己把这些板子组装成桌子的样子，这个过程就像反序列的过程（转化成当初的数据工具）。

也便是说，序列化的目的是方便数据的传输和存储。

在PHP运用中，序列化和反序列化一样平常用做缓存，比如session缓存，cookie等。

常见的序列化格式：

PHP序列化与反序列化

PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和反序列化。

下面是比较范例的PHP反序列化漏洞中可能会用到的魔术方法：

void __wakeup ( void )

unserialize( )会检讨是否存在一个_wakeup( ) 方法。
如果存在，则会先调用_wakeup 方法，预先准备工具须要的资源。

void __construct ([ mixed $args [, $... ]])

具有布局函数的类会在每次创建新工具时先调用此方法。

void __destruct ( void )

析构函数会在到某个工具的所有引用都被删除或者当工具被显式销毁时实行。

public string __toString ( void )

__toString( ) 方法用于一个类被当成字符串时应若何回应。
例如 echo $obj;该当显示些什么。

此方法必须返回一个字符串，否则将发出一条 E_RECOVERABLE_ERROR 级别的致命缺点。

PHP反序列化漏洞

漏洞成因

PHP反序列化漏洞又称PHP工具注入，是由于程序对输入数据处理不当导致的。

先看一个例子：

这个例子中，析构函数会回显$test的值，我们可以布局一个工具，掌握$test的值，达到掌握数据流的目的，实现反序列化漏洞的利用。

布局过程如下：

利用办法

一、__wakeup( )绕过

(CVE-2016-7124)

反序列化时，如果表示工具属性个数的值大于真实的属性个数时就会跳过__wakeup( )的实行。

影响版本：

DEMO如下：

二、注入工具布局方法

当目标工具被private、protected润色时的布局方法。

示例代码：

同名方法的利用

这个例子中，class B和class C有一个同名方法action，我们可以布局目标工具，使得析构函数调用class C的action方法，实现任意代码实行。

布局代码：

三、Session反序列化漏洞

PHP中的Session经序列化后存储，读取时再进行反序列化。

干系配置：

session.save_path=\"大众\"大众 //设置session的存储路径

session.save_handler=\"大众\公众 //设定用户自定义存储函数，如果想利用PHP内置会话存储机制之外的可以利用本函数(数据库等办法)

session.auto_start boolen //指定会话模块是否在要求开始时启动一个会话默认为0不启动

session.serialize_handler string//定义用来序列化/反序列化的处理器名字。
默认利用php

PHP中有三种序列化处理器，如下表所示：

示例代码：

命名为sess_Session_id。

存储内容为序列化后的session：test|s:4:\公众test\"大众;

不同处理器的格式不同，当不同页面利用了不同的处理器时，由于处理的Session序列化格式不同，就可能产生反序列化漏洞。

下面演示漏洞利用：

该页面中有类demo3，开启session，并用php处理器处理session。

通过session.php设置session，通过generate.php布局实例。

由于session.php与demo3.php采取的序列化处理器不同，我们可以布局“误导”处理器，达到漏洞利用的目的。

实例布局：

访问demo3.php成功创建了一个类demo3的实例。

四、PHAR利用

1、PHAR简介

PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件，在PHP 5.3 或更高版本中默认开启，这个特性使得 PHP也可以像 Java 一样方便地实现运用程序打包和组件化。
一个运用程序可以打成一个 Phar 包，直接放到 PHP-FPM 中运行。

2、PHAR文件构造

PHAR文件由3或4个部分组成：

（1）stub //PHAR文件头

stub便是一个大略的php文件，最简文件头为：

<?php __HALT_COMPILER( )；?>是可有可无的，若利用?>，则;与?>间至多一个空格。

文件头中必须包含__HALT_COMPILER();除此之外没有限定。
（PHP通过stub识别一个文件为PHAR文件，可以利用这点绕过文件上传检测）

（2）manifest describing the contents //PHAR文件描述该部分存储文件名、文件大小等信息，如下图所示。

图中标出的地方，存储了经serialize( )的Meta-data，有序列化过程必有反序列化过程，这便是我们的注入点。

（3）the file contents

PHAR文件内容

（4）[optional] a signature for verifying Phar integrity (phar file format only) //可选的署名部分，支持MD5和SHA1

3、攻击方法

2018年Black Hat研究院Sam Thomas的议题：

It’s a PHP unserialization vulnerability Jim, but not as we know it供应了一种新的php反序列化攻击姿势。
PHAR文件的Meta-data可以是任何能够序列化的PHP工具，当PHAR文件被任何文件系统函数首次通过phar://协议解析时Meta-data部分会被反序列化，这个反序列化过程便是我们的攻击点，Meta-data部分添补payload。

漏洞利用条件：

在目标系统上投放一个装在payload的可访问的PHAR文件，通过文件系统函数利用phar://伪协议解析目标PHAR文件。

下面演示利用过程：

先创建一个PHAR文件。

把稳：要将php.ini中的phar.readonly选项设置为Off，否则无法天生phar文件。

访问phar.php，在同目录下天生phar.phar文件。

箭头标出Meta-data部分，可以看到为序列化后结果。

输出了之前打包的phar文件中，test.txt文件内容，并成功实例化TestObject工具，调用了析构函数。

由于PHP仅通过stub部分判断文件是否为PHAR文件，我们可以通过添加文件头、修正后缀的办法绕过上传检测。

示例代码：

以上便是本日的全部内容，希望对大家的学习有所帮助，如果您还想理解其他的技能或工具，可以点击菜单栏中的入门锦囊查看干系内容，或者留言给我们，我们会只管即便知足大家的哀求，愿小伙伴们在网安路上越走越好！