我想建立个网站怎么弄/宁波seo外包服务

代码审计-反序列化漏洞

注：文章仅限于学术交流，不做其他用途

一、基础知识
1）序列化(serialize)
将状态信息保存为字符串，将PHP中 对象、类、数组、变量、匿名函数等当前状态转化为字符串，可简单认为是存档

2）反序列化(unserialize)
将这个序列化状态信息拿出来使用，重新再转化为对象或者其他的，将字符串转化为状态信息，可简单认为是读档

3）常见格式
O:4:“test”:1:{s:4:“test”;s:3:“123”;} O标识变量类型，objeck对象；4标识类名长度；"test"标识类名；1标识属性数量；{…}标识属性其中s标识属性类型string；4标识属性长度

4）实质
serialize()和unserialize()在PHP内部实现上是没有漏洞的，漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。当传给 unserialize() 的参数可控时，那么用户就可以注入精心构造的payload。当进行反序列化的时候就有可能会触发对象中的一些魔术方法，造成意想不到的危害

5）php中的魔术方法
__construct()：当对象创建(new)时会自动调用，在unserialize()时是不会自动调用的。
__destruct()：当对象被销毁时会自动调用。
__wakeup() ：如前所提，unserialize()时会自动调用。
__toString()：对象被当作字符串处理时候执行，一般情况下echo 可以触发

二、实战反序列化漏洞

<?php 
Class readme{ public function __toString() { return highlight_file('Readme.txt', true).highlight_file($this->source, true); } 
} 
if(isset($_GET['source'])){ $s = new readme(); $s->source = __FILE__; echo $s; exit; 
} 
//$todos = []; 
if(isset($_COOKIE['todos'])){ $c = $_COOKIE['todos']; $h = substr($c, 0, 32); $m = substr($c, 32); if(md5($m) === $h){ $todos = unserialize($m); } 
} 
if(isset($_POST['text'])){ $todo = $_POST['text']; $todos[] = $todo; $m = serialize($todos); $h = md5($m); setcookie('todos', $h.$m); header('Location: '.$_SERVER['REQUEST_URI']); exit; 
} 
?> 
<html> 
<head> 
</head> <h1>Readme</h1> 
<a href="?source"><h2>Check Code</h2></a> 
<ul> 
<?php foreach($todos as $todo):?> <li><?=$todo?></li> 
<?php endforeach;?> 
</ul> <form method="post" href="."> <textarea name="text"></textarea> <input type="submit" value="store"> 
</form>

首先发现关键函数unserialize，通过这个去遍历相关代码，发现接受的传参满足三个条件就可以去执行unserialize函数，传参cookie含有todos，且todos值前32位要和32位后的md5值相等，这里可以看出md5按照32位加密，那我们就可以构造cookie传参，todos=前32 + 32后 and 前32=md5(32后)

if(isset($_COOKIE['todos'])){ $c = $_COOKIE['todos']; $h = substr($c, 0, 32); $m = substr($c, 32); if(md5($m) === $h){ $todos = unserialize($m); } 
} 

li><?=$todo?></li> 等价于<li><echo $todo?></li>，这个就可以触发__toString()函数，所以我们想办法通过__toString函数构造一个序列化字符串，含有恶意代码然后传参去反序列化形成攻击，foreach($todos as $todo)这个表示去todos遍历，所以todos是一个数组，反序列化的$todos = unserialize($m)保证序列化字符串$m是一个数组

<ul> 
<?php foreach($todos as $todo):?> <li><?=$todo?></li> 
<?php endforeach;?> 
</ul> 

开始构造序列化字符串，我们发现__toString函数是读取Readme.txt和source = __FILE__的内容，可以尝试控制source值去构造序列化字符串，我们可以控制访问路径，自定义flag.php让代码去访问我们想要得文件

访问获得序列字符串a:1:{i:0;O:6:”readme”:1:{s:6:”source”;s:8:”flag.php”;}}然后md5按32位加密然后组合e2d4f7dcc43ee1db7f69e76303d0105ca:1:{i:0;O:6:”readme”:1:{s:6:”source”;s:8:”flag.php”;}}


然后传参带入，注意得是这里是要通过url编码，我们通过工具截取数据包，添加url编码后添加cookie读取文件信息todos=e2d4f7dcc43ee1db7f69e76303d0105ca%3a1%3a%7bi%3a0%3bO%3a6%3a%22readme%22%3a1%3a%7bs%3a6%3a%22source%22%3bs%3a8%3a%22flag.php%22%3b%7d%7d