寒假学web--day10
简介
一些高级的反序列化
phar反序列化
phar类似于java的jar包,将多个php文件合并为独立的压缩包,不用解压就能执行里面的php文件,支持web服务器和命令行
metadata
$phar->setmetadata($h);
metadata可以存放一个类实例,生成phar文件后,会把这个类实例以序列化字符串的形式存放至phar文件内
phar协议
phar://xxx.phar
当使用phar协议加载phar文件时,会自动反序列化这个类的的序列化字符串
生成phar包时,可以往metadata里面放对象,生成后,对象会自动序列化保存到ohar包中,使用phar协议读取phar包时,如果当前脚本识别了这个类,会自动调用这个类的魔术方法
可以触发phar反序列化的函数
include
file_exists
file_get_contents
file_put_contents
require
fileinode
filetime
filesize
is_dir
scandir
highlight_file
通过phar协议包含phar文件,都可以触发phar反序列化
也可以在.user.ini文件里写auto_append_file=phar://xxx.phar
应用
要求:能够写phar包并上传,有可以利用的函数,并能控制协议头,使用phar协议解析,有可以利用的恶意类
首先利用脚本生成phar文件
如果有上传点,上传文件的前半部分可控,后缀有过滤,不能是php,phps,pthmml,ini但是没有禁止phar文件,我们找到大量使用的file_exits等文件读取函数,通过控制phar://头,来使用phar协议来解析phar包,就能自动进行反序列化
session反序列化
tips
php的session存放在文件中,默认位置是/tmp/sess_PHPSESSID
session可以是字符串,数字,也可以是对象,session里面存放对象时,会自动进行序列化,存放的是序列化后的字符串,session里面拿取对象时,会自动进行反序列化,执行对象的魔术方法
session序列化处理器
不同session序列化处理器的处理方式不同
php处理器
通过|分割类和key
u|O:4:"user":2:{s:8:"username";N;s:8:"password";N;}
u表示session的key,后面的表示类
php_serialize处理器
用数组存session的key和类
a:1:{s:1:"u";O:4:"user":2:{s:8:"username";N;s:8:"password";N;}}
应用
如果我们使用php_serialize处理器,并给username赋值
admin|O:4:"user":2:{s:8:"username";N;s:8:"password";N;}
此时session里存放的内容就会变成
a:1:{s:1:"u";O:4:"user":2:{s:8:"username";s:57:"admin|O:4:"user":2:{s:8:"username";N;s:8:"password";N;}";s:8:"password";N;}}
这是虽然没有逃逸出来,但是如果我们换成php处理器,并使用相同的cookie来访问,php从session文件里拿取这个对象时,就会认为|左边的时key,将右边的对象反序列化
这是存取的处理器不一致导致的漏洞
构造pop链并上传
我们分析类,得出读flag的payload
我们可以利用PHP的强制文件上传来上传我们构造的payload,我们可以上传文件上传的进度PHP_SESSION_UPLOAD_PROGRESS
需要写脚本,我们给PHP_SESSION_UPLOAD_PROGRESS上传进度值,123(任意数字),然后上传一个文件,filename为payload,内容随意
前面我们了解到强制上传的文件会存到临时的session文件里,由于开启了session,写进去后,当我们用相同的cookie再去访问时,服务器就会从我们刚刚的session文件里解析我们的payload,就会反序列化里面的内容,从而触发魔法函数