本文首发于先知:https://xz.aliyun.com/t/5450
PHPGGC 是一款能够自动生成主流框架的序列化测试payload的工具,类似 Java 中的 ysoserial, 当前支持的框架包括Doctrine, Guzzle, Laravel, Magento, Monolog, Phalcon, Slim, SwiftMailer, Symfony, Yii 和 ZendFramework,可以说是反序列化的武器库了。本文从该工具出发,以 Drupal Yaml 反序列化漏洞和 Typo3 反序列化漏洞为例, 分析其中的多种利用方式,并介绍一下今年 BlackHat 议题关于新型 php 反序列化攻击的部分。
首先git clone一下项目:
git clone https://github.com/ambionics/phpggc
运行phpggc 的条件是php cli的版本>=5.6
1:使用方法:
通过./phpggc -l 可以列出所有可用的pop链,其中每条链条都包括可利用组件的名称、版本范围、可利用其进行的操作、触发的反序列化函数(即攻击向量)
通过./phpggc 组件名 -i 可以显示与组建相关的信息,其中就包括了具体生成攻击payload所需要的参数
以上图为例,生成laravel/rce1的payload需要提供函数名以及传给该函数的参数,因此使用:
即可生成序列化的payload
对于只能满足写文件需求的组件,要利用必须知道网站的绝对路径,例如目标网站绝对路径为:
/var/www/html,需要写入shell.php ,写入的文件位于我们本机的/tmp/data,则需要执行:
利用phpggc -w参数可以对序列化的数据进行一个再次包装处理
如果漏洞代码如下:
<?php
$data = unserialize($_GET['data']);
print $data['message'];
传入的data是一个二维数组,并且data的值不是一个序列化的字符串,而data['message']的值才是一个字符串,因此要反序列化的是键message对应的值,因此可以使用
process_object($object): Called right before serialize(), allows to change the object
即在序列化数据形成之前可以改变要序列化的对象,这里只需要将要序列化的对象的值赋给message,即可以使用:
<?php
# /tmp/my_wrapper.php
function process_object($object)
{
return array(
'message' => $object
);
}
这里将序列化对象的值赋给了message,并且返回为一个数组,然后再对数组进行serialize()函数处理,形成序列化的数据,运行结果如下:
由上面两个图可以看出经过再次包装处理,序列化的数据成了一个包含一个元素的数组,即a:1
phpggc也支持生成phar归档的序列化数据:
phpggc也支持编码:
./phpggc -b -u -u slim/rce1 system id
比如如上则是对生成的序列化数据先进行base64,再进行urlencode两次
高级用法:
使用-f参数进行快速反序列化,在unserialize()函数以后立即销魂对象,而不是在php脚本运行结束以后,建议在组件的攻击向量为__destruct时进行使用,有利于提高稳定性,加上-s选项进行软urlencode
例如:
ASCII Strings:
使用-a参数将序列化数据中的空字符转换为其16进制的表示,但是在一些情况下可能不适用
Plus Numbers:
主要用于bypass,如果waf检测序列化数据中是否包含php对象,通过正则O:[0-9]+来判断,则可以通过O:+123代替 O:123
--plus-numbers <types>
其中types是指要在何种数据类型的数字前加“+”,比如O就是php对象,i就是int类型