Php_serialize_summary
本篇 Blog 的内容更像是一页目录,主要记录在做题过程中所遇到的关于
php 反序列化
类型的题目
以及对此类型题目所以需要的知识点进行总结,分类,可点击 相关题目
中的链接以查看题目的具体解答过程.
对PHP 反序列化
还不了解的朋友可以阅读下面这篇文章,可以帮助你对其有个大概的了解:
简单总结:
php 序列化和反序列化
的出现为了解决 :PHP 在对象传递时会因为 PHP 文件的执行结束而将对象销毁销毁,当我们需要用的被销毁的对象是又得重新new一个.为了能让对象长久保存,于是就出现了php序列化- 序列化他只序列化属性,不序列化方法
- **反序列化的时候一定要保证在当前的作用域环境下有该类存在.**反序列化就是将我们压缩格式化的对象还原成初始状态的过程(可以认为是解压缩的过程),因为我们没有序列化方法,因此在反序列化以后我们如果想正常使用这个对象的话我们必须要依托于这个类要在当前作用域存在的条件
- 了解魔法方法对php反序列化影响的原因:是因为魔法方法的调用是在该类序列化或者反序列化的同时自动完成的,不需要人工干预,因此可以通过魔法方法来达到更改属性的目的
0x01 PHP魔法函数
1.1 __construct() 构造函数
/*
当对象被初始化时会调用 __construct() 构造函数
*/
class Demo{
function __construct(){
echo 'you called the __construct function...'
}
}
$demo = new Demo();
# 'you called the __construct funtion...'
1.2 __destruct() 析构函数
/*
当对象被销毁时,会调用 __destruct() 析构函数,
对象销毁存在主动和被动两种情况
主动:例如使用 unset()函数
被动:当程序结束时自动销毁
example:*/
class Demo{
function __destruct(){
echo "you called the __destruct function..";
}
}
$demo = new Demo();
#unset($demo); ## 主动销毁
// sting "you called the __destruct function.."
## 程序结束自动销毁
//stirng "you called the __destruct function.."
1.3 __call()
/*
PHP5 的对象新增了一个专用方法 __call(),这个方法用来监视一个对象中的其它方法。如果你试着调用一个对象中不存在或被权限控制中的方法,__call 方法将会被自动调用。
example:*/
<?php
class Test
{
function __call($name,$arg){
echo "you called the __call funtion....";
}
private function Persional($name,$age){
echo "This is private function which named Persional...";
}
}
$test = new Test();
$test->isPayload();
echo "<br/>";
$test->Personal('php','123');
结果如下:
可以发现,当我们调用类中不存在的方法或者不可调用的方法,都会调用__call()
方法
1.4 __callStatic()
1.5 __get()
/*
面向对象编程中使用频率很高的方法.当设置和获取对象的属性不允许访问时性,此方法会被调用。一定注意是不存在或不允许被读写时才会被调用。
因此对于一个对象,其属性不确定时,用这个方法效果很好。
__get($name) 获取对象不存在的属性或无法访问的属性时调用$name表示要获取的属性名
example:*/
class Demo{
private $passwd;
funtion __get($propertyName){
# 获取不存在的属性 $name, 调用此方法
if($propertyName == 'name'){
echo "variable name is undefined...";
}
elseif($propertyName == 'passwd'){
echo "permission deny...";
}
}
}
$demo = new Demo();
$demo->name;
// string "variable name is undefined..."
$demo->passwd:
// string "permission deny..."
1.6 __set()
/*
面向对象编程中使用频率很高的两个方法.当设置和获取对象的属性不允许访问时性,此方法会被调用。一定注意是不存在或不允许被读写时才会被调用。
因此对于一个对象,其属性不确定时,用这个方法效果很好。
__set($name, $value) 设置对象不存在的属性或无法访问的属性时调用.$name表示要设置的属性名,$value表示要设置的值.
example:*/
class Demo{
private $passwd;
function __set($propertyName,$value){
if($propertyName == 'name'){
echo "variable name is not defined...";
}elseif ($propertyName == 'passwd'){
echo "permission deny...";
}
}
}
$demo = new Demo();
$demo->name = '123';
// string "variable name is not defined...""
$demo->passwd = 'php';
// string "permission deny..."
1.7 __isset()
1.8 __unset()
1.9 __sleep()
/*
当执行 serialize()操作时,会先检查是否存在 __sleep() 函数,如果存在,则在序列化之前调用 __sleep() 函数。
example:*/
class Demo{
public $test="helloworld";
function __sleep(){
echo "you called the __sleep function...";
}
}
$demo = new Demo();
$a = serialize($demo);
// string "you called the __sleep function..."
1.10 __wakeup()
/*
当执行 unserialize()操作时,会先检查是否存在 __wakeup() 函数,如果存在,则优先调用 __wakeup() 函数。
简单理解,如果执行 unserialize() 函数,随后就会执行 __wakeup() 函数,前提是该函数存在。
example:*/
class Demo{
public $test="helloworld";
function __wakeup(){
echo "you called the __wakeup function...";
}
}
$demo = new Demo();
$a = serialize($demo);
unserialize($a);
// string "you called the __wakeup function..."
1.10.1 考点(CVE-2016-7124)
当成员属性数目大于实际数目时可绕过wakeup方法
题目文章
[漏洞利用] CVE-2016-7124 漏洞复现(总结自一CTF题目)
1.11 __toString()
/*作用
__toString()方法用于一个类被当成字符串时应怎样回应。例如 `echo $obj;` 应该显示些什么。
example:*/
class Demo{
function __toString(){
return "helloworld";
}
}
$demo = new Demo();
echo $demo;
// string "helloworld"
1.12 __invoke()
/*php5.3中新增加的_invoke方法
实例化对象本身是不能被调用,但是类中如果实现 __invoke() 方法,则把实例对象当作方法调用,会自动调用到 __invoke() 方法,参数顺序相同。
example:*/
class Test{
function __invoke($name,$age){
echo "you called the invoke funtion...";
var_dump($name);
echo "<br/>";
var_dump($age);
}
}
$test = new Test();
$test('hello',123);
结果如图所示:
1.13 __set_state()
1.14 __clone()
1.15 __autoload()
1.16 __debugInfo()
0x02 phar 反序列化
2.1 Phar 文件结构
phar 文件结构由四部分组成:
stub
: phar文件的标识, php通过判断stub来判断这是一个phar文件.格式为xxx<?php xxx;__HALT_COMPILER();?>
前面个的内容xxxx
不受限制,但是必须以__HALT_COMPILER();?
mainfest
: 被压缩文件的相关属性等信息都会被存储在这部分.且这部分还会以序列化serialize()
的形势存储用户自定义的meta-data
,这是 Phar 反序列化攻击的关键.contents
: 被压缩文件的内容signature
: 放在末尾的签名
2.2 常用考点1 (文件类型)
在做题过程中,phar
反序列化的常用利用点主要有两个:
stub
: 由于stub
开头部分的内容没有任何限制,我们可以使用一些文件头来绕过题目中的上传限制.常见的文件类型及文件头如下:
文件类型 | 文件头 |
---|---|
.JPEG .JPE .JPG | JPGGraphic File |
.gif | GIF 89A |
.zip | Zip Compressed |
.doc .xls .xlt .ppt .apr | MS Compound Document v1 or Lotus Approach APRfile |
构造stub
形如
setStub("GIF89a<?php __HALT_COMPILER(); ?>")
minfest
:minfest
会将meta-data
以反序列化的形势,如果存在部分文件操作函数通过phar://伪协议
解析phar文件,则在解析phar
文件时就会触发反序列化.
举例演示
序列化演示
注意:要将
php.ini
中的phar.readonly
选项设置为off
,否则无法生成phar文件
.
<?php
class Demo{
public $test="helloworld";
}
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER();?>");
$demo = new Demo();
$phar->setMetadata($demo);
$phar->addFromString("test","test");
$phar->stopBuffering();
运行上述php程序,可以看到在当前目录下生成了一个 phar.phar
文件.随便用个编辑器打开phar.phar
看到以下内容:
很明显可以看到我们刚才实例化的对象$demo
被序列化存储在phar.phar
中.
反序列化演示
前面说过,使用部分文件操作函数通过phar://伪协议
解析phar文件时,会将 phar
中的metadata
进行反序列化
根据知道创宇18年发布的文章,能使 metadata
进行反序列化的文件操作函数有:
参考这篇文章,又得一些新的可用函数
exif
exif_thumbnail
exif_imagetype
gd
imageloadfont
imagecreatefrom***
hash
hash_hmac_file
hash_file
hash_update_file
md5_file
sha1_file
file / url
get_meta_tags
get_headers
standard
getimagesize
getimagesizefromstring
演示:
<?php
class Demo{
public function __destruct() {
echo 'Destruct called';
}
}
$filename = "phar://phar.phar/test";
var_dump(file_get_contents($filename));
2.2.3 常见考点2,3 (数字签名和文件内容判断)
除了最基本的反序列化外, phar 的最常见考点就是数字签名.
详细分析可以去看看guokeya师傅的博客从虎符线下CTF深入反序列化利用,这里就直接说结果了.
.phar
的文件签名可以抛弃/构造gzip
tar
zip
bz2
压缩.phar
文件后, 仍让能够使用phar:// 协议
触发反序列化.
例子:
- 签名抛弃构造
<?php
class a{
public $a;
public function __weakup(){
$this->a = "no";
}
public function __destruct(){
if ($this->a = "flag"){
echo $flag;
}
}
}
$a = serialize(new a());
$a = str_replace('"a":1','"a":2',$a)
file_put_contents('.phar/.metadata',serialize($a))
随后执行 tar -cf test.tar .phar/
- 签名构造
from hashlib import sha1
f = open('../phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('22.phar', 'wb').write(newf) # 写入新文件
内容压缩
对生成的
phar.phar
文件执行gzip phar.phar
就行了.
2.4 参考文章
2.5 相关题目
Post not found: GXYCTF2019BabysqliV3-00x03 unserialize() 反序列化字符逃逸
反序列化字符逃逸知识
<?php
$a = array("1","2","3");
$b = serialize($a);
var_dump($b);
// 输出: string(42) "a:3:{i:0;s:1:"1";i:1;s:1:"2";i:2;s:1:"3";}"
可以看到序列化的结果是以 ";}
结尾
假设我们能使上面的结果从 a:3:{i:0;s:1:"1";i:1;s:1:"2";i:2;s:1:"3";}
变为 a:3:{i:0;s:1:"1";i:1;s:1:"2";i:2;2:1:"4";}"i:2;s:1:"3";}
即使 结束字符";}
提前,就能让反序列化提前闭合结束.那么就能造成反序列化字符逃逸.
如果不好理解,我们假设有模板 a:3:{i:0;s:1:"1";i:1;s:1:"{%TMP%}";i:2;s:1:"3";}
其中模板中的 {%TMP%} 可以是任何字符,
式子1为: a:3:{i:0;s:1:"1";i:1;s:1:"2";i:2;s:1:"3";} 即将 {%TMP%} 替换为了 2
式子2为: a:3:{i:0;s:1:"1";i:1;s:1:"2";i:2;s:1:"4";}"i:2;s:1:"3";} 即将 {%TMP%} 替换为了2";i:2;s:1:"4";}
反序列化 变化后的式子
var_dump(unserialize('a:3:{i:0;s:1:"1";i:1;s:1:"2";i:2;s:1:"4";}"i:2;s:1:"3";}'));
/* 结果如下:
array(3) {
[0]=>
string(1) "1"
[1]=>
string(1) "2"
[2]=>
string(1) "4"
}
可见 我们以及使用 新添加的内容 覆盖了原来数组的 第二个元素
*/
这种考点的特征:在序列化和反序列化对象之间,对对象字符串进行了处理.: 可能是在序列化后,对序列化后的字符进行了处理然后保存, 也可能是在反序列化之前进行了替换更改.
相关文章
Post not found: 安洵杯2019easy-serialize-php Post not found: 0ctf2016piapiapia持续完善中…