PHP 反序列化漏洞：__PHP_Incomplete_Class 与 serialize(unserialize($x)) !== $x；

参考

环境

声明

实际上 __PHP_Incomplete_Class 是一个类，暂且使用 __PHP_Incomplete_Class 对象 来指代 __PHP_Incomplete_Class 类的实例对象。

__PHP_Incomplete_Class

灵显

在 PHP 中，当你尝试将序列化文本进行反序列化操作以获得一个 对象 时，若 与序列化文本相关联的类还没有在当前 PHP 上下文中被定义或包含时，PHP 就会使用 __PHP_Incomplete_Class 对象来代替这个对象。对此，请参考如下示例：

$result = unserialize('O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}');
var_dump($result);
1
2
3
4
5

执行效果

由于在使用 unserialize() 函数将序列化文本反序列化为对象时，相关的类并尚未被定义或被包含，于是 PHP 使用 __PHP_Incomplete_Class 对象作为反序列化操作的结果。

object(__PHP_Incomplete_Class)#1 (3) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(7) "MyClass"
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}
1
2
3
4
5
6
7
8

__PHP_Incomplete_Class 对象中包含了 序列化文本尝试创建的对象的信息，包括了该对象 所属类的名称 以及 该对象的属性及其值。

为什么需要 __PHP_Incomplete_Class？

PHP 通过这种方式来 防止因错误导致程序的崩溃，提高程序的可靠性与可用性。如果 PHP 试图反序列化一个不存在的类，而没有任何 后备机制，那么这可能会导致 致命错误或者不可预期的行为。通过使用 __PHP_Incomplete_Class 对象，PHP 可以告诉您在反序列过程中出现的问题并继续运行。

不可访问的属性

__PHP_Incomplete_Class 是一个特殊的对象，当你试图访问这个对象的属性时，PHP 将抛出 Warning 异常。当你尝试访问这个 不完整 的对象的属性时，PHP 会 认为这是不安全的（所属类的定义并未在当前上下文中给出。记住，不要随便接收陌生人给的东西🤐），并给出警告。对此，请参考如下示例：

$result = unserialize('O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}');

var_dump($result);

# 尝试访问 __PHP_Incomplete_Class 对象的属性
var_dump($result -> name);
1
2
3
4
5
6
7
8
9

执行效果

PHP Warning:  main(): The script tried to access a property on an incomplete object. Please ensure that the class definition "MyClass" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide an autoloader to load the class definition in C:\test.php on line 9
object(__PHP_Incomplete_Class)#1 (3) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(7) "MyClass"
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}

Warning: main(): The script tried to access a property on an incomplete object. Please ensure that the class definition "MyClass" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide an autoloader to load the class definition in C:\test.php on line 9
NULL
1
2
3
4
5
6
7
8
9
10
11
12

serialize(unserialize($x)) === $x;

在 serialize(unserialize($x)) === $x; 中，$x 为一个序列化文本，将一个序列化文本通过 unserialize() 进行反序列化操作后将得到该序列化文本所描述的数据格式，再将这数据格式用序列化文本进行描述将得到原内容即 $x 。

这一操作就像执行了 1 + 1 后再执行了 1 - 1 ，两个操作相互抵消。在对数据进行处理前与数据进行处理后，数据相等。所以毫无悬念的 serialize(unserialize($x) ) === $x;。对此，请参考如下示例：

$serialize_text = 'O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';

var_dump(serialize(unserialize($serialize_text)) === $serialize_text);
1
2
3
4
5
6

执行效果

bool(true)
1

serialize(unserialize($x)) !== $x;

雾现

__PHP_Incomplete_Class 的出现使 serialize(unserialize($x)) !== $x; 也成为了可能。对此，请先参考如下示例，稍后我将对其进行解释。

$serialize_text = 'O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';

var_dump(serialize(unserialize($serialize_text)) !== $serialize_text);
1
2
3
4
5
6

执行效果

bool(true)
1

__PHP_Incomplete_Class 对象与其序列化文本的差异

序列化文本

O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}
1

对象 __PHP_Incomplete_Class

object(__PHP_Incomplete_Class)#1 (3) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(7) "MyClass"
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}
1
2
3
4
5
6
7
8

序列化文本 与其对应的 __PHP_Incomplete_Class 对象存在如下差异：

1. 所属类名称
   序列化文本在反序列化为 __PHP_Incomplete_Class 对象后，对象所属类的名称由 MyClass 变为了其 __PHP__Incomplete_Class 。
2. 对象的属性个数
   序列化文本所描述的属性个数要比 __PHP_Incomplete_Class 对象的属性个数少 1。
3. __PHP_Incomplete_Class_Name 属性
   __PHP_Incomplete_Class 对象中包含了 __PHP_Incomplete_Class_Name 属性，而其序列化文本中则没有与该属性相关的描述。

试构造 __PHP__Incomplete_Class 对象的序列化文本

__PHP__Incomplete_Class 与其序列化文本存在差异的原因是 PHP 发现了这个对象是一个 __PHP_Incomplete_Class 对象。而 PHP 是通过检查被序列化对象所属类的名称发现的。如果我们尝试描述一个所属类为 __PHP_Incomplete_Class 的对象的序列化文本，这会发生什么有趣的事情呢？为此，请参考如下示例：

var_dump(unserialize('O:22:"__PHP_InComplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}'));
1
2
3
4

执行效果

由于 PHP 上下文中已经包含了 __PHP_Incomplete_Class 的类定义，所以当我们将序列化文本进行反序列化后并没有产生一个描述 __PHP_Incomplete_Class 对象的另一个 __PHP_Incomplete_Class 对象。

object(__PHP_Incomplete_Class)#2 (2) {
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}
1
2
3
4
5
6

如果我们尝试将这个人为构造的 __PHP_Incomplete_Class 对象进行序列化操作将会发生什么呢？对此，请参考如下示例：

var_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}')));
1
2
3
4

执行效果

string(85) "O:22:"__PHP_Incomplete_Class":1:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}"
1

神奇的事情发生了。在将人为构造的 __PHP_Incomplete_Class 对象进行序列化后，序列化文本中描述对象属性个数的数值由原先的 2 变为了 1。

serialize() 函数在处理 __PHP_Incomplete_Class 对象时所进行的特殊操作

unserialize() 在发现当前 PHP 上下文中没有包含相关类的类定义时将创建一个 __PHP_Incomplete_Class 对象。而 serialize() 在发现需要进行序列化的对象是 __PHP_Incomplete_Class 后，将对其进行 特殊处理 以得到描述实际对象而非 __PHP_Incomplete_Class 对象的序列化文本，而这里就包含了 将属性的描述值减一 这一步。
那么对象所属类的名称是否会发生替换，序列化文本中的 __PHP_Incomplete_Class_Name 是否会被自动删除以使得序列化文本中的属性个数描述值与实际相符呢？对此，请参考如下示例：

var_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":3:{s:27:"__PHP_Incomplete_Class_Name";s:7:"MyClass";s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}')));
1
2
3
4

执行效果

string(69) "O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}"
1

结合前面观察到的种种现象，我们可以总结出 serialize() 函数对 __PHP_Incomplete_Class 对象执行了如下 特殊操作（操作描述顺序并非 serialize 函数的实际操作顺序）：

1. 将 __PHP_Incomplete_Class 对象中的 属性个数减一 并将其作为序列化文本中 对实际对象属性个数的描述值。
2. 将 __PHP_Incomplete_Class 对象的 __PHP_Incomplete_Class_Name 作为序列化文本中 对象所属类的描述值。若未从 __PHP_Incomplete_Class 对象 中检查到 __PHP_Incomplete_Class_Name 属性，则跳过此步。
3. 将 __PHP_Incomplete_Class 对象的序列化文本中对 __PHP_Incomplete_Class_Name 属性的描述删去。若没有发现相关描述，则跳过此步。

雾散

回到 serialize(unserialize($x)) !== $x;。让我们再尝试对如下示例进行分析：

$serialize_text = 'O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';

var_dump(serialize(unserialize($serialize_text)) !== $serialize_text);
1
2
3
4
5
6

执行效果

bool(true)
1

由于 serialize 函数将对 __PHP_Incomplete_Class 进行特殊操作，故反序列化后得到的 __PHP_Incomplete_Class 对象再进行序列化操作后，序列化文本中对属性个数的描述值将为 1 而不是 2。于是导致了 serialize(unserialize($x)) !== $x;。

下限

在 serialize() 函数对 __PHP_Incomplete_Class 对象执行特殊操作的过程中，若 __PHP_Incomplete_Class 对象中的属性个数为零，则 __PHP_Incomplete_Class 的序列化结果中的属性个数描述值也将为零，两者不会存在 1 的差距。对此，请参考如下示例：

var_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":0:{}')));
1
2
3
4

执行效果

string(34) "O:22:"__PHP_Incomplete_Class":0:{}"
1

当 对象（由反序列化操作得到的对象）所属类为 __PHP_Incomplete_Class 且该对象的属性个数 不为零 时，serialize(unserialize($x)) !== $x; 恒成立，仅当该对象的属性个数 为零 时， serialize(unserialize($x)) === $x; 成立。