blubiu

My Love

上网不网恋,简直浪费电.


代码审计--PHP反序列化


文章简介:

PHP反序列化笔记。


目录:


序列化与反序列化

说到反序列化,就不得不说序列化。

序列化:把对象、数组、字符串等转化为字节序列的过程称为序列化

反序列化:把字节序列恢复为对象、数组、字符串的过程称为反序列化


相关函数

serialize() – 序列化

unserialize() – 反序列化


1. serialize()函数

serialize() 函数返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。

语法:serialize ( mixed $value ) : string

举个粟子:

<?php

    $test1 = "aaaa";
    $test2 = array("bbbb",2019);

    echo serialize($test2);

?>

输出:

images


2. unserialize()函数

unserialize() 函数对单一的已序列化的变量进行操作,将其转换回 PHP 的值。

语法:unserialize ( string $str ) : mixed

参数:

str 序列化后的字符串。

若被解序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wakeup() 成员函数(如果存在的话)。

举个粟子:

<?php

    $test = 'a:2:{i:0;s:4:"bbbb";i:1;i:2019;}';

    echo unserialize($test);

?>

如果我们反过来写,则会输出

unserialize() 函数会将代码显示出来

images


序列化的不同结果

三种访问控制模式:

public(公有) – 定义可以公开访问类属性或类方法。

private(私有) – 只能在本类中使用,继承和外部均无法调用

protect(受保护的) – 只允许类的内部调用,外部无权调用


例:

<?php

class test{
    public $test1 = "aaaa 2019";
    private $test2 = "bbbb 2019";
    protected $test3 = "cccc 2019";
}

$test = new test();
echo serialize($test);

?>

images


例题:D0g3CTF

题目地址: http://120.79.33.253:9001/

代码:

<?php

    error_reporting(0);
    include "flag.php";
    $KEY = "D0g3!!!";
    $str = $_GET['str'];
    if (unserialize($str) === "$KEY")
    {
        echo "$flag";
    }
    show_source(__FILE__);

?>

首先 includeflag 文件引入进来

设置 $KEY 初始值,

定义一个 $str 变量来接收 GET 的值

然后判断 反序列化后的 $str$KEY 相不相等,

反序列化就将字节流重新转换成字符串的过程,

如果我们不知道要进行反序列化的值,

不妨先看看 序列化的值 ,

然后这个序列化的结果,就是我们要进行反序列化的值,

重新将他转换为 D0g3!!! ,然后 if 判断就会成功

images


现在我们可以构造payload了,

payload: ?str=s:7:"D0g3!!!"

但是要注意的是,比如payload中的 7 是指 字符串中的字节数,

D0g3!!! 正好是 7个字节 ,这些必须要一一对应。

images


总结

本文只讲了很基础的东西,

有兴趣的可以去看看下面的参考文献,

大师傅们比博主我写的好多了,

后面呢,我自己也还要去多研究。


参考文献

https://www.freebuf.com/articles/web/167721.html

https://chybeta.github.io/2017/06/17/浅谈php反序列化漏洞/

https://www.anquanke.com/post/id/159206