當(dāng)前位置：首頁 > 编程语言 > php >内容正文

php

php+反序列化代码执行漏洞,PHP反序列化漏洞

發(fā)布時間：2023/12/2 php 29 豆豆

生活随笔收集整理的這篇文章主要介紹了 php+反序列化代码执行漏洞,PHP反序列化漏洞小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

0x001 漏洞產(chǎn)生原理

在反序列化的過程中自動觸發(fā)了某些魔術(shù)方法。未對用戶輸入的序列化字符串進(jìn)行檢測，導(dǎo)致攻擊者可以控制反序列化過程，從而導(dǎo)致XSS、代碼執(zhí)行、文件寫入、文件讀取等不可控后果。

0x002 漏洞觸發(fā)條件

一般只能通過代碼審計的方式挖掘該漏洞，尋找代碼中unserialize()函數(shù)的變量可控，且PHP文件代碼中存在可利用的類，同時類中具有魔術(shù)方法。

0x003 PHP魔術(shù)方法__construct() 當(dāng)一個對象創(chuàng)建時被調(diào)用

__destruct() 當(dāng)一個對象銷毀時被調(diào)用

__toString() 當(dāng)一個對象被當(dāng)作一個字符串使用

__sleep() 在對象在被序列化之前運(yùn)行

__wakeup 將在序列化之后立即被調(diào)用

0x004 序列化數(shù)據(jù)格式

序列化主要分為字符型、數(shù)組型、對象型。

以序列化對象格式為例

0x005 反序列化漏洞

1. XSS

漏洞示例demo2.php:

構(gòu)造序列化值：

利用序列化值構(gòu)造POC:

成功在頁面進(jìn)行了彈窗：在序列化數(shù)據(jù)之后，立即自動調(diào)用了__wakeup()函數(shù)，執(zhí)行。

2. 代碼執(zhí)行

漏洞示例test.php:

構(gòu)造序列化值：

利用序列化值構(gòu)造POC:

成功顯示了phpinfo頁面：在反序列化該數(shù)據(jù)時，自動觸發(fā)了_destruct()函數(shù),執(zhí)行 eval(phpinfo())。

3. 文件寫入

漏洞示例demo3.php:

構(gòu)造序列化值：

利用序列化值構(gòu)造POC:

成功將phpinfo寫入了shell.php：在反序列化該數(shù)據(jù)結(jié)束后，，立即自動調(diào)用了__wakeup()函數(shù)，而在__wekeup()創(chuàng)建了對象后,就會自動調(diào)用__construct()函數(shù)，從而執(zhí)行了文件寫入的操作。

4. 文件讀取

以2020 ISCC CTF中的一道題為例

代碼審計

以GET形式傳入一個data參數(shù)，并且對data參數(shù)進(jìn)行了反序列化；

使用了_toString() 當(dāng)一個對象被當(dāng)作一個字符串時自動調(diào)用

使用file_get_contents()包含$file文件內(nèi)容；

最后使用base64_encode()加密輸出$file文件中的內(nèi)容。

構(gòu)造序列化值：

利用序列化值構(gòu)造POC:

成功顯示了flag.php文件中的內(nèi)容：在反序列化該數(shù)據(jù)時，自動觸發(fā)了_toString()函數(shù),執(zhí)行 base64_encode(file_get_contents($filename))。

5. 漏洞拓展

上面講的都是基于魔術(shù)方法下的敏感操作導(dǎo)致的反序列化導(dǎo)致的安全問題。但是當(dāng)漏洞/危險代碼存在在類的普通成員方法中,該如何利用呢?

漏洞示例demo4.php:

我們發(fā)現(xiàn)類的普通方法調(diào)用eval()函數(shù),這個函數(shù)很危險，如果可控就可能造成代碼執(zhí)行。

通過代碼發(fā)現(xiàn)$_GET['test']可控,因?yàn)槭褂胾nserialize()會自動調(diào)用__destruct()，所以它會先調(diào)用action()函數(shù),然后會走到x1類和x2類，而安全問題在x2類中。

構(gòu)造如下序列化代碼serialize-demo4.php:

上述序列化代碼運(yùn)行后得到的序列化值:

利用得到的序列化值構(gòu)造POC:

0x006 反序列化webShell

1. 配合菜刀getShell

漏洞示例test.php:

利用eval()傳入可控參數(shù)，寫入一句話木馬 <?php @eval($_GET[cmd]);?>，構(gòu)造序列化數(shù)據(jù)值：

利用序列化值構(gòu)造POC：

執(zhí)行該P(yáng)OC后，會在同級目錄下生成一個shell.php文件，通過菜刀連接訪問shell.php，即可getShell。

2. 反序列化木馬

利用反序列化的特點(diǎn)，編寫webShell木馬

使用菜刀連接該webShell木馬

此木馬與正常文件很像，所以對于免殺安全狗等防護(hù)軟件效果很不錯。

參考文章

總結(jié)

以上是生活随笔為你收集整理的php+反序列化代码执行漏洞,PHP反序列化漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： php 微信小程序循环多选,微信小程
下一篇： php动态成本管理,网上审批系统环境下的