)
源代码
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hello World!"; $this->process(); } public function process() { if($this->op == "1") { $this->write(); } else if($this->op == "2") { $res = $this->read(); $this->output($res); } else { $this->output("Bad Hacker!"); } } private function write() { if(isset($this->filename) && isset($this->content)) { if(strlen((string)$this->content) > 100) { $this->output("Too long!"); die(); } $res = file_put_contents($this->filename, $this->content); if($res) $this->output("Successful!"); else $this->output("Failed!"); } else { $this->output("Failed!"); } } private function read() { $res = ""; if(isset($this->filename)) { $res = file_get_contents($this->filename); } return $res; } private function output($s) { echo "[Result]: <br>"; echo $s; } function __destruct() { if($this->op === "2") $this->op = "1"; $this->content = ""; $this->process(); } } function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125)) return false; return true; } if(isset($_GET{'str'})) { $str = (string)$_GET['str']; if(is_valid($str)) { $obj = unserialize($str); } }漏洞点分析
反序列化用户输入:
unserialize($_GET['str'])直接反序列化用户可控数据危险方法调用:
read()方法中的file_get_contents()可以读取任意文件属性可控:通过反序列化可以控制类的属性值
构造函数缺陷:构造函数中使用局部变量而非类属性
知识点梳理
1. PHP序列化与反序列化基础
序列化:将对象转换为字符串,便于存储或传输
$obj = new FileHandler(); $serialized = serialize($obj); // 输出:O:11:"FileHandler":3:{...}反序列化:将字符串还原为对象
$obj = unserialize($serialized);2. PHP魔术方法
__construct():构造函数,对象创建时调用
__destruct():析构函数,对象销毁时调用
__wakeup():反序列化时调用
__sleep():序列化时调用
更多魔术方法可看:PHP之十六个魔术方法详解_php魔术方法-CSDN博客
在本题中,关键魔术方法的执行顺序:
unserialize()创建对象执行
__construct()(如果存在)脚本结束,执行
__destruct()
3. 可见性修饰符与序列化
PHP中属性的可见性影响序列化格式:
public:
属性名protected:
\x00*\x00属性名private:
\x00类名\x00属性名
示例:
class Test { public $public = "public"; protected $protected = "protected"; private $private = "private"; } // 序列化输出包含不可见字符4. PHP类型比较
弱比较(==):类型转换后比较值(只比较值,不比较类型)
2 == "2" // true 0 == "abc" // true "1e3" == 1000 // true严格比较(===):比较值和类型
2 === "2" // false 0 === "abc" // false
重要区别总结
| 比较方式 | 示例 | 结果 | 说明 |
|---|---|---|---|
| 弱比较 (==) | 2 == "2" | true | 类型转换后值相等 |
| 严格比较 (===) | 2 === "2" | false | 类型不同,值相等也没用 |
| 弱比较 (==) | 0 == "abc" | true | 字符串"abc"转为整数是0 |
| 严格比较 (===) | 0 === "abc" | false | 类型和值都不同 |
| 弱比较 (==) | false == "0" | true | 都转换为布尔值比较 |
| 严格比较 (===) | false === "0" | false | 类型不同 |
5. 文件读取技巧
直接读取:
file_get_contents("flag.php")PHP Wrapper读取源码:
php://filter/convert.base64-encode/resource=flag.php目录遍历:
./flag.php、../flag.php
漏洞利用过程
第一步:分析利用链
目标:读取flag.php文件
利用链:unserialize() -> __construct() -> process() -> read() -> file_get_contents()
第二步:绕过限制
绕过
is_valid()过滤:只允许ASCII 32-125的字符,我们的payload符合要求绕过
__destruct()修改:使用整数2而非字符串"2"利用构造函数缺陷:构造函数使用局部变量,不影响反序列化设置的属性
第三步:构造payload
使用public属性和整数2
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:0:"";}第四步:执行效果
反序列化设置
$op=2,$filename="flag.php"执行
__construct(),但局部变量不影响属性值
process()中$this->op == "2"为 true(弱比较)执行
read(),读取flag.php输出flag内容
__destruct()中$this->op === "2"为 false(严格比较),不修改$op
扩展知识
1. PHP反序列化漏洞常见利用点
POP链构造:寻找从源点到危险函数执行的路径
Phar反序列化:通过Phar协议触发反序列化
内置类利用:使用
SimpleXMLElement、SoapClient等内置类
2. 自动化工具
PHPGGC:PHP反序列化payload生成工具
CodeQL:静态代码分析工具,可用于发现反序列化漏洞
3. 相关CVE
CVE-2016-7124:
__wakeup()绕过漏洞CVE-2019-11043:PHP-FPM漏洞
CVE-2020-7068:
get_headers()漏洞
总结
通过本题我们学习了:
PHP反序列化基本流程:序列化格式、魔术方法执行顺序
类型比较的差异:弱比较与严格比较的安全影响
属性可见性的处理:public/protected/private在序列化中的表现
漏洞链构造:从用户输入到危险函数的完整路径
安全编码实践:如何避免和修复这类漏洞
反序列化漏洞是Web安全中常见且危害较大的漏洞类型,理解其原理和利用方式对于安全开发和渗透测试都至关重要。
)
