不安全的反序列化

文章目录

对象(真实存在) ----通过序列化 --> 字符串、Json —通过反序列化—>对象

为什么要序列化？

序列化，“将对象的状态信息转换为可以存储或传输的形式的过程”，这种形式⼤多为字节流、字符串、json 串。在序列化期间内，将对象当前状态写⼊到临时或永久性的存储区。以后，就可以通过从存储区中读取或还原（反序列化）对象的状态，重新创建该对象。简单的说，序列化就是把一个对象变成可以传输的字符串，可以以特定的格式在进程之间跨平台安全的进⾏通信。

一、序列化与反序列化

1.1 引例

JSON 数据是数据的一种表达形式，与Python ⾥的字典类似。

// json.php

$stu = array(
'name'   => 'ghui', 'age'	=> 18,
'sex'	=> true, 'score' => 89.9
);

// echo $stu; //echo不能输出数组，可以使用var_dump()进行输出
//var_dump($stu);

$stu_json = json_encode($stu); //进行json编码
echo $stu_json; //json编码能够用echo输出，说明json数据能够存储和传输

echo "
";

$stu_json = isset($_GET['stu'])?$_GET['stu']:$stu_json;
$stu = json_decode($stu_json); //将ghui数据重新还原成对象
var_dump($stu); #强制转换成字符串
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

json编码结果：
{"name":"ghui","age":18,"sex":true,"score":89.9}
1
结果很像python中的字典

isset() 函数用于检测变量是否已设置并且非 NULL。如果为空，则返回false,否则返回true.

验证：

?stu={"name":"ghui","age":19,"sex":true,"score":89.9}
1

补充：

echo 只能输出文本字符串，不能输出数组

输出数组可以使用var_dump 进行输出。

var_dump() 函数用于输出变量的相关信息。

var_dump() 函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。

1.2 序列化实例

1.2.1 定义一个类

//   stu.class.php

class Stu{  //定义了一个类，类的名字为Stu
public $name; 
public $age; 
public $sex; 
public $score;
}
1
2
3
4
5
6
7
8

解释：

PHP 提供了四个文件包含的语句，四个语句之间略有不同。

语句区别
include() 多次包含，多次执行；
如果包含失败，脚本产生警告，继续运行。
include_once() 多次包含，一次执行；
如果包含失败，脚本产生警告，继续运行。
require() 多次包含，多次执行；
如果包含失败，脚本产生错误，结束执行.
require_once() 多次包含，一次执行；
如果包含失败，脚本产生错误，结束执行。

语句	区别
include()	多次包含，多次执行；如果包含失败，脚本产生警告，继续运行。
include_once()	多次包含，一次执行；如果包含失败，脚本产生警告，继续运行。
require()	多次包含，多次执行；如果包含失败，脚本产生错误，结束执行.
require_once()	多次包含，一次执行；如果包含失败，脚本产生错误，结束执行。

1.2.2 创建对象

创建一个对象，并对该对象进⾏序列化操作，将对象转化为可以存储、传输的字符串。

// serialize.php

include   "./stu.class.php"; //包含一下stu.class.php文件，主要是让能够使用里面的Stu类

$stu1 = new Stu();

$stu1 -> name	= "zhangsan"; //$stu1.name

$stu1 -> age	= 24;
$stu1 -> sex	= true;
$stu1 -> score   = 99.9;

// echo $stu1; //echo输出不了字符串
// var_dump($stu1); 

$_stu1 = serialize($stu1); //要想输出，必须将对象stu1进行序列化-->字符串
echo $_stu1; //输出序列化后的字符串
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

serialize() 函数用于序列化对象或数组，并返回一个字符串。

serialize() 函数序列化对象后，可以很方便的将它传递给其他需要它的地方，且其类型和结构不会改变。

如果想要将已序列化的字符串变回 PHP 的值，可使用 unserialize()。

序列化后的字符串：

O:3:"Stu":4:{s:4:"name";s:8:"zhangsan";s:3:"age";s:2:"24";s:3:"sex";N;s:5:"score";d:99.900000000000006;}
1

解释：

O :代表object

3 :代表类名的字符数,Stu,三个字符，所以是3

4 :代表有4个变量

1.2.3 反序列化

将字符串转化为对象。

//   unserialize.php

include "./stu.class.php"; //文件包含

$stu1_ser = 'O:3:"Stu":4:{s:4:"name";s:8:"zhangsan";s:3:"age";s:2:"24";s:3:"sex";N;s:5:"score";d:99.900000000000006;}'; //定义一个变量，放入序列化后的字符串。

$stu1_obj = unserialize($stu1_ser); 
var_dump($stu1_obj);
1
2
3
4
5
6
7
8

unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化，并返回原始的对象结构。

1.2.4 对象注入

如果反序列化字符串，Web ⽤⼾可以控制，则造成对象注⼊。

// $stu1_seria = 'O:3:"Stu":4:{s:4:"name";s:8:"zhangsan";s:3:"age";s:2:"24";s:3:"sex";N;s:5:"score";d:99.900000000000006;}';

//将stu_ser通过GET来获取序列化后的数据：
$stu1_ser = $_GET['stu1_ser'];

$stu1_obj = unserialize($stu1_ser); 
var_dump($stu1_obj);
1
2
3
4
5
6
7

PHP 的反序列化漏洞也叫PHP 对象注⼊，是一个⾮常常⻅的漏洞，这种漏洞在某些场景下虽然有些难以利⽤，但是一旦利⽤成功就会造成⾮常危险的后果。

我们这时可以将zhangsan改为phpinfo(); 来试着执行以下，注意：这里修改的时候还要修改它的长度，zhangsan的字符长度为8，而phpinfo();的长度为10

我们发现输出了字符phpinfo();，而没有执行phpinfo();，那么漏洞在哪里呢？

二、漏洞何在

2.1 漏洞触发

2.1.1 有一个类

//   vul.class.php

class Vul{
public $str = "lisi";

function __destruct(){
//echo "This is function __destruct()"; 
@eval($this -> str);

}
}
1
2
3
4
5
6
7
8
9
10
11

解释：

eval 是一个危险语句，因为它可以将字符串当作PHP代码来执行。

例如：

如果编辑php代码为：
    $str="phpinfo();";  
    echo $str;   //只会输出字符串:  phpinfo();
?>
1
2
3
4
而如果将echo改为eval:
    $str="phpinfo();";  
    eval($str);  //执行phpinfo();
?>
1
2
3
4
结果：

2.1.2 有一个对象

// test.php

include './vul.class.php';

$s = new Vul(); 
echo serialize($s);  //序列化操作
echo "
";

$_s = $_GET['s_ser'];
$s = unserialize($_s);  //反序列化操作
var_dump($s);
1
2
3
4
5
6
7
8
9
10
11

序列化后：

O:3:"Vul":1:{s:3:"str";s:4:"lisi";}
1

2.1.3 反序列化执行代码

?obj=O:3:"Vul":1:{s:3:"str";s:10:"phpinfo();";}
1

我们现在将lisi 换成phpinfo(); 来执行一下试试：

怎么执行的呢？

其实是因为危险函数eval,我们发现eval在__destruct() 函数里面，而我们没有调用这个函数啊，怎么就触发这个函数了呢。

2.2 为什么会这样

__destruct()，会被对象⾃动调⽤。

以 __ 开头的函数，是PHP 中的魔术⽅法。类中的魔术⽅法，在特定情况下会⾃动调⽤。即使魔术⽅法在类中没有被定义，也是真实存在的。

魔术方式	触发条件
__construct()	在创建对象时⾃动调⽤，构造函数
__destruct()	在销毁对象时⾃动调⽤，析构函数
`__call();` `__callStatic();` `__get();` `__set();` `__isset();` `__unset();` `__sleep();` `__wakeup();` `toString();` `__invoke();` `__set_state();` `__clone();` `__debuginfo();`	创建对象之前触发