图片 23

实战经验丨PHP反序列化漏洞总结,遭远程攻击

By admin in 大奖888网页版 on 2020年1月9日

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides
安全会议上展示了 PHP
编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的
PHP 应用程序和库,包括 WordPress
等内容管理系统(CMS),并将允许远程程序攻击。

又到了金三银四跳槽季,很多小伙伴都开始为面试做准备,今天小编就给大家分享一个网安常见的面试问题:PHP反序列化漏洞。

序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。

虽然PHP反序列化漏洞利用的条件比较苛刻,但是一旦被利用就会产生很严重的后果,所以很多公司都比较关注这个技能点,小伙伴们一定要掌握哦。

安全研究员 Stefan Essar 在 2009 年就透露了 PHP
中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP
中,还存在于其他编程语言中。 Thomas 公布的是 PHP
的新攻击技术,可用于各种场景,例如 XML External
Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。

PHP序列化与反序列化介绍

Thomas 表示,过去外界认为 XXE
漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。
首先,将包含恶意对象的 Phar
存档上传到攻击目标的本地文件系统,然后触发一个基于 phar://
的文件操作,就可能导致恶意程序执行。

什么是序列化与反序列化

Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3
内容管理平台,以及 Contao 所采用的 TCPDF 库。

维基百科中这样定义:序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。

图片 1

概念很容易理解,其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。

(文/开源中国)    

那么序列化与反序列化有什么用处呢?

举个例子:

比如:现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从一个城市运输到另一个城市,这时候一般都会把它拆掉成板子,再装到箱子里面,就可以快递寄出去了,这个过程就类似我们的序列化的过程(把数据转化为可以存储或者传输的形式)。当买家收到货后,就需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。

也就是说,序列化的目的是方便数据的传输和存储。

在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。

常见的序列化格式:二进制格式字节数组json字符串xml字符串

PHP序列化与反序列化

PHP通过string serialize ( mixed $value )和mixed unserialize ( string
$str )两个函数实现序列化和反序列化。

下面是比较典型的PHP反序列化漏洞中可能会用到的魔术方法:

void __wakeup

unserialize会检查是否存在一个_wakeup 方法。如果存在,则会先调用_wakeup
方法,预先准备对象需要的资源。

void __construct ([ mixed $args [, $… ]])

具有构造函数的类会在每次创建新对象时先调用此方法。

void __destruct

析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。

public string __toString

__toString 方法用于一个类被当成字符串时应怎样回应。例如 echo
$obj;应该显示些什么。

此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR
级别的致命错误。

PHP反序列化漏洞

漏洞成因

PHP反序列化漏洞又称PHP对象注入,是因为程序对输入数据处理不当导致的。

先看一个例子:

图片 2

这个例子中,析构函数会回显$test的值,我们可以构造一个对象,控制$test的值,达到控制数据流的目的,实现反序列化漏洞的利用。

构造过程如下:

图片 3

图片 4

利用方式

一、__wakeup绕过

(CVE-2016-7124)

反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup的执行。

影响版本:PHP before 5.6.257.x before 7.0.10

DEMO如下:

图片 5

图片 6

图片 7

二、注入对象构造方法

当目标对象被private、protected修饰时的构造方法。

示例代码:

图片 8

图片 9

同名方法的利用

图片 10

这个例子中,class B和class
C有一个同名方法action,我们可以构造目标对象,使得析构函数调用class
C的action方法,实现任意代码执行。

构造代码:

图片 11

图片 12

三、Session反序列化漏洞

PHP中的Session经序列化后存储,读取时再进行反序列化。

相关配置:

session.save_path=””//设置session的存储路径

session.save_handler=””//设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数

session.auto_start
boolen//指定会话模块是否在请求开始时启动一个会话默认为0不启动

session.serialize_handler
string//定义用来序列化/反序列化的处理器名字。默认使用php

PHP中有三种序列化处理器,如下表所示:

图片 13

示例代码:

图片 14

命名为sess_Session_id。

存储内容为序列化后的session:test|s:4:”test”;

不同处理器的格式不同,当不同页面使用了不同的处理器时,由于处理的Session序列化格式不同,就可能产生反序列化漏洞。

下面演示漏洞利用:

图片 15

该页面中有类demo3,开启session,并用php处理器处理session。

图片 16

通过session.php设置session,通过generate.php构造实例。

由于session.php与demo3.php采用的序列化处理器不同,我们可以构造“误导”处理器,达到漏洞利用的目的。

实例构造:

图片 17

访问demo3.php成功创建了一个类demo3的实例。

四、PHAR利用

1、PHAR简介

PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件,在PHP 5.3
或更高版本中默认开启,这个特性使得 PHP也可以像 Java
一样方便地实现应用程序打包和组件化。一个应用程序可以打成一个 Phar
包,直接放到 PHP-FPM 中运行。

2、PHAR文件结构

PHAR文件由3或4个部分组成:

stub //PHAR文件头

stub就是一个简单的php文件,最简文件头为:

是可有可无的,若使用?>,则;与?>间至多一个空格。

文件头中必须包含__HALT_COMPILER;除此之外没有限制。(PHP通过stub识别一个文件为PHAR文件,可以利用这点绕过文件上传检测)

manifest describing the contents
//PHAR文件描述该部分存储文件名、文件大小等信息,如下图所示。

图片 18

图中标出的地方,存储了经serialize的Meta-data,有序列化过程必有反序列化过程,这就是我们的注入点。

the file contents

PHAR文件内容

[optional] a signature for verifying Phar integrity (phar file format
only) //可选的签名部分,支持MD5和SHA1

图片 19

3、攻击方法

2018年Black Hat研究院Sam Thomas的议题:

It’s a PHP unserialization vulnerability Jim, but not as we know
it提供了一种新的php反序列化攻击姿势。PHAR文件的Meta-data可以是任何能够序列化的PHP对象,当PHAR文件被任何文件系统函数首次通过phar://协议解析时Meta-data部分会被反序列化,这个反序列化过程就是我们的攻击点,Meta-data部分填充payload。

漏洞利用条件:

在目标系统上投放一个装在payload的可访问的PHAR文件,通过文件系统函数利用phar://伪协议解析目标PHAR文件。

下面演示利用过程:

先创建一个PHAR文件。

注意:要将php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。

图片 20

访问phar.php,在同目录下生成phar.phar文件。

图片 21

箭头标出Meta-data部分,可以看到为序列化后结果。

图片 22

输出了之前打包的phar文件中,test.txt文件内容,并成功实例化TestObject对象,调用了析构函数。

由于PHP仅通过stub部分判断文件是否为PHAR文件,我们可以通过添加文件头、修改后缀的方式绕过上传检测。

示例代码:

图片 23

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图
Copyright @ 2010-2020 大奖888网页版登陆 版权所有