浅析PHP反序列化中过滤函数使用不当导致的对象注入问题


Posted in PHP onFebruary 15, 2020

1.漏洞产生的原因

#### 正常的反序列化语句是这样的

$a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}';

但是如果写成这样

$b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}s:8:"password";s:6:"abcde";}';

也可以正常的编译, 而且下面一条语句的结果是 password=“123456” 而不是abcde

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

这就说明一个问题,在反序列化的时候,只要求第一个序列化字符串合法就行,换我个理解,就是反序列话时,他会从前往后读取,当读取第一个合法的序列化的字符串时,就会反序列化。

### 当过滤用户输入参数的时候,如果先序列化再对序列化过后的字符串进行过滤,而且在过滤的过程中会导致原本的长度改变,就可能造成序列化对象注入漏洞。

此处参考别人的代码:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

可以看到,这里过滤函数将原来的x换成了zz,但是长度却超过了原来的长度 ,但是原来长度的数字时没变的,这就导致报错。但是试想一下,如果这里的密码是可控的,然后我们输入字符

的时候带入双引号和} 会怎么样呢? 看如下代码

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

第一排是我们构造的东西序列化过后的值,

第二排是序列化过后的值进行过滤过后的值,可以看到,此时由于x换成了z,而前面读40的时候正好会读到最后一个x,从而使我们输入的新对象得以注入,而且得到正常的反序列化。

第三排是反序列化过后的到的值,此时原本的aaaaaa的值已经被我们覆盖。

二:实例分析

根据上面的原因可知,产生漏洞最直接的原因是因为序列化过后的字符串被过滤的时长度发生变化, 根据这个这个原因,我们就可以把漏洞分为 长度变长,和长度变短两种情况,注意! 如果长度不变的话,不会引起漏洞产生。

(1) 长度变短。

题目: 安洵杯2019 easy_serialize_php // 在https://buuoj.cn/这个靶场里又复现

源码:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

根据提示在phpinfo拿到

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

很显然答案在 d0g3_f1ag.php里面,关键是我们怎么去读取他的源码 ,可以看到最后一排的会获取 ['img'] 中的 的源码,我们仅需要覆盖img的值将他变成d0g3_f1ag.php就行。

在看这个过滤函数

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

他会使得输入的相应字符变为空,也就是让序列化后的字符串变短,我们就可以利用此来吞掉原本的变量名,而注入我们想注入的代码。

第一种解法:值逃逸

d0g3_f1ag.php的base64 编码 ZDBnM19mMWFnLnBocA== 长度20

在本地测试的时候得到正常的 序列化字符是这样的

a:3:{s:4:"user";s:5:"guest";s:8:"function";s:3:"123";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

前者user,和function 的值都是我们可控的

我们想要构造的是 s:3:"img";s:20:"ZDBnM19mMWFnLnBocA=="; 设想一下 ,如果我们把它设置function的值,并且在前面user的值利用过滤函数将后面的 "s:8:"function";s:xx:" 吞掉,那么function的值,也就是我们想要注入的对象,不就正好上位了吗? 但是注意闭合前面的由于吞掉而缺少的分号和双引号,而且,这里两个双引号紧挨着会报错,所以我们加一个字符,再把这个字符一起吞掉就行,还有 这里前面是 a:3: 所以我在最后还要添加一个属性。

payload

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

读到源码

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

再去修改payload的文件中的值,然后再去访问,发现什么也没有返回,然后尝试 /../d0g3_fllllllag 然后base64编码 去访问就会返回flag

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

(2)长度变长

题目 [0CTF] piapiapia // 同样在buu里又复现

wp参考这里 -> https://3water.com/article/180496.htm

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";s:8:"sea_sand";s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

红色部分是我们想要注入的,这道题的过滤函数有三个 ,但是导致长度变化的过滤是这个

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

where->hacker 多出了一个字符

但是另一个过滤使 nickname 有长度限制

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

这里strlen我们可以用数组绕过,但是如果使用数组就会引起序列化字符串产生变化

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";a:1:{i:0;s:3:"xxx"};s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

注意数组在序列化中的表示 是 先; 再 }

这里我进行了本地测试

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

红色部分为我们想注入的,蓝色的是我们提交payload的地方,后面实际上根本不用管

现在我们想的是通过where ->hacker 多了一个字符,这样使我们输入的nickname的值逃逸出去变成对象,

加上闭合前面的单引号和反括号 就是这样 ";}s:5:"photo";s:10:"config.php";}

一共就是34个字符, 一个where 逃逸出一个字符,这里就需要34个where

payload:wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}    

三.总结

武汉加油!中国加油!我加油!

以上所述是小编给大家介绍的PHP反序列化中过滤函数使用不当导致的对象注入问题,希望对大家有所帮助!

PHP 相关文章推荐
php 正则匹配函数体
Aug 25 PHP
CodeIgniter中实现泛域名解析
Jul 19 PHP
php中Y2K38的漏洞解决方法实例分析
Sep 22 PHP
php使用标签替换的方式生成静态页面
May 21 PHP
简单谈谈favicon
Jun 10 PHP
smarty自定义函数用法示例
May 20 PHP
yii框架redis结合php实现秒杀效果(实例代码)
Oct 26 PHP
PHP实现UTF8二进制及明文字符串的转化功能示例
Nov 20 PHP
php pdo连接数据库操作示例
Nov 18 PHP
php 的多进程操作实践案例分析
Feb 28 PHP
php 多进程编程父进程的阻塞与非阻塞实例分析
Feb 22 PHP
windows系统php环境安装swoole具体步骤
Mar 04 PHP
php 函数中静态变量使用的问题实例分析
Mar 05 #PHP
php多进程中的阻塞与非阻塞操作实例分析
Mar 04 #PHP
php 中的信号处理操作实例详解
Mar 04 #PHP
php libevent 功能与使用方法详解
Mar 04 #PHP
php+iframe 实现上传文件功能示例
Mar 04 #PHP
php实现文件上传基本验证
Mar 04 #PHP
PHP实现文件上传操作和封装
Mar 04 #PHP
You might like
帅气的琦玉老师
2020/03/02 日漫
星际争霸秘籍
2020/03/04 星际争霸
星际争霸任务指南——人族
2020/03/04 星际争霸
php删除文件夹及其文件夹下所有文件的函数代码
2013/01/23 PHP
PHP使用内置dir类实现目录遍历删除
2015/03/31 PHP
PHP设计模式之迭代器模式
2016/06/17 PHP
php socket通信简单实现
2016/11/18 PHP
JQuery中each()的使用方法说明
2010/08/19 Javascript
JS鼠标事件大全 推荐收藏
2011/11/01 Javascript
js 编码转换 gb2312 和 utf8 互转的2种方法
2013/08/07 Javascript
JavaScript实现横线提示输入验证码随输入验证码输入消失的方法
2016/09/24 Javascript
读Javascript高性能编程重点笔记
2016/12/21 Javascript
详解nodeJS中读写文件方法的区别
2017/03/06 NodeJs
AngularJS使用拦截器实现的loading功能完整实例
2017/05/17 Javascript
vuejs 单文件组件.vue 文件的使用
2017/07/28 Javascript
JavaScript常见事件对象与操作实例总结
2019/01/05 Javascript
react中使用css的7中方式(最全总结)
2019/02/11 Javascript
vue中keep-alive组件的入门使用教程
2019/06/06 Javascript
js获取对象,数组所有属性键值(key)和对应值(value)的方法示例
2019/06/19 Javascript
js 实现 list转换成tree的方法示例(数组到树)
2019/08/18 Javascript
javascript设计模式 ? 迭代器模式原理与用法实例分析
2020/04/17 Javascript
Windows下使Python2.x版本的解释器与3.x共存的方法
2015/10/25 Python
python+selenium实现京东自动登录及秒杀功能
2017/11/18 Python
Python实现判断并移除列表指定位置元素的方法
2018/04/13 Python
Python使用爬虫抓取美女图片并保存到本地的方法【测试可用】
2018/08/30 Python
英国最大的高品质珠宝和手表专家:Goldsmiths
2017/03/11 全球购物
德国综合购物网站:OTTO
2018/11/13 全球购物
英国第一独立滑雪板商店:The Snowboard Asylum
2020/01/16 全球购物
毕业自我鉴定
2013/11/05 职场文书
《飞向蓝天的恐龙》教学反思
2014/04/09 职场文书
大学生求职计划书
2014/04/30 职场文书
爱心捐款倡议书范文
2014/05/12 职场文书
青年文明号口号
2014/06/17 职场文书
清明扫墓感想
2015/08/11 职场文书
python plt.plot bar 如何设置绘图尺寸大小
2021/06/01 Python
Python干货实战之八音符酱小游戏全过程详解
2021/10/24 Python