php序列化漏洞理解

0x01什么是序列化

序列化就是将我们的 对象转变成一个字符串，保存对象的值方便之后的传递与使用。

0x02为什么要序列化

如果为一个脚本中想要调用之前一个脚本的变量，但是前一个脚本已经执行完毕，所有的变量和内容释放掉了，我们要如何操作呢?难道要前一个脚本不断的循环，等待后面脚本调用?这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值；unserialize则可以将serialize生成的字符串变换回变量。

0x03怎样产生了漏洞

这些就是我们要关注的几个魔术方法了，如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里面的话，就容易造成很严重的漏洞了。当传给 nserialize() 的参数可控时，我们可以通过传入一个精心构造的序列化字符串，从而控制对象内部的变量甚至是函数。

• 构造函数__construct()：当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。

• 析构函数__destruct()：当对象被销毁时会自动调用。
• __wakeup() ：如前所提，unserialize()时会自动调用。
• __toString()当一个对象被当作一个字符串使用
• __sleep() 在对象在被序列化之前运行

0x04如何利用序列化漏洞

unserialize()后会导致__wakeup() 或__destruct()的直接调用，中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在__wakeup() 或__destruct()中，从而当我们控制序列化字符串时可以去直接触发它们。

如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里面的话，就容易造成很严重的漏洞了。

0x05序列化格式

• String : s:size:value;
• Integer : i:value;
• Boolean : b:value;(保存1或0)
• Null : N;
• Array : a:size:{key definition;value definition;(repeated per element)}
• Object : O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)

0x06实例

这里借用别人的一个很好的例子来说明一下这个问题。我们针对__wakeup()场景做实验。

建立一个index2的php文件，如下：

 <?php
 class chybeta{
     var $test = '123';
     function __wakeup(){
         $fp = fopen("shell.php","w") ;
         fwrite($fp,$this->test);
         fclose($fp);
     }
 }
 $class3 = $_GET['test'];
 print_r($class3);
 echo "</br>";
 $class3_unser = unserialize($class3);
 require "shell.php";
 // 为显示效果，把这个shell.php包含进来
 ?>

在同目录下建立一个空的shell.php文件

我们可以看见上面的存在明显的漏洞，主要是没有对接受的test参数做处理，unserialize()后直接调用了魔法方法__wakeup()，该方法就将test直接写入到了shell.php中。因此我们直接给test传入一个我们精心构造的参数即可利用漏洞了，例如我们可以构造  test=O:7:"chybeta":1:{s:4:"test";s:19:"";}  ,即可看到命令被成功执行。

这是我个人的第一次写博客，只是希望自己能通过写加深自己对知识的理解，同时通过写博客来增加对自己的要求，博客有很多不足，希望大家多多指正，我会一直努力学习。