您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
# PHP中反序列化字符逃逸的原理
## 目录
1. [序列化与反序列化基础概念](#序列化与反序列化基础概念)
2. [PHP序列化字符串结构解析](#php序列化字符串结构解析)
3. [反序列化字符逃逸漏洞成因](#反序列化字符逃逸漏洞成因)
4. [关键字符过滤与替换机制](#关键字符过滤与替换机制)
5. [两种典型字符逃逸场景分析](#两种典型字符逃逸场景分析)
6. [实际漏洞案例深度剖析](#实际漏洞案例深度剖析)
7. [防御方案与最佳实践](#防御方案与最佳实践)
8. [自动化检测工具与方法](#自动化检测工具与方法)
9. [相关CVE漏洞实例解读](#相关cve漏洞实例解读)
10. [总结与前瞻](#总结与前瞻)
---
## 序列化与反序列化基础概念
### 1.1 数据序列化的本质
序列化(Serialization)是将数据结构或对象状态转换为可存储或传输格式的过程。在PHP中,这个过程通过`serialize()`函数实现:
```php
$user = [
'username' => 'admin',
'role' => 'administrator',
'last_login' => 1672531200
];
echo serialize($user);
// 输出:a:3:{s:8:"username";s:5:"admin";s:4:"role";s:13:"administrator";s:10:"last_login";i:1672531200;}
反序列化(Unserialization)的逆过程存在固有安全风险:
- 对象注入:允许实例化任意类
- 魔术方法自动执行(__wakeup, __destruct等)
- 属性值可控导致代码执行
与其他语言相比,PHP序列化具有: - 类型标记系统(i, s, a, O等) - 长度前缀字符串表示法 - 可序列化闭包(5.3+) - 对对象私有属性的特殊处理
| 类型 | 格式示例 | 说明 |
|---|---|---|
| 字符串 | s:5:“Hello”; | 长度:内容 |
| 整数 | i:42; | 直接数值表示 |
| 数组 | a:2:{i:0;s:3:“red”;i:1;s:4:“blue”;} | 元素计数+键值对 |
| 对象 | O:4:“User”:2:{s:3:“age”;i:25;s:4:“name”;s:4:“John”;} | 类名+属性数量+属性列表 |
PHP序列化字符串中以下字符具有特殊含义:
- 分号(;):分隔键值对
- 大括号({}):界定复合类型边界
- 引号("):包裹字符串内容
- 反斜杠(\):转义特殊字符
当字符串内容包含这些字符时,序列化结果会进行转义:
$str = '";i:1;';
echo serialize($str);
// 输出:s:5:"";i:1;";
graph TD
A[用户输入序列化] --> B[字符过滤处理]
B --> C{长度标识未更新?}
C -->|是| D[反序列化解析错位]
C -->|否| E[正常解析]
D --> F[属性注入/对象注入]
PHP反序列化解析器严格依赖长度标识:
// 正常解析
s:5:"hello"; // 读取5个字符
// 异常情况
s:5:"hel"lo"; // 实际长度不符导致解析错误
| 过滤类型 | 示例代码 | 风险等级 |
|---|---|---|
| 引号转义 | str_replace(‘“’, ‘\”’, $input) | 高 |
| 注释符过滤 | preg_replace(‘/\/*/’, “, $input) | 中 |
| 关键字替换 | str_replace(‘system’, “, $input) | 极高 |
考虑以下过滤逻辑:
function filter($data) {
return str_replace('x', 'xx', $data);
}
$obj = serialize(['input' => 'x";s:5:"inject";s:3:"bad";}']);
// 原始序列化:a:1:{s:5:"input";s:16:"x";s:5:"inject";s:3:"bad";}";}
$filtered = filter($obj);
// 替换后:a:1:{s:5:"input";s:16:"xx";s:5:"inject";s:3:"bad";}";}
// 长度标识16与实际内容xx不匹配
触发条件:替换后字符串长度增加
// 原始数据
$data = '";s:5:"hack";b:1;}';
// 序列化后:s:18:"";s:5:"hack";b:1;}";
// 过滤函数:单引号转双引号
function filter($input) {
return str_replace("'", "''", $input);
}
// 攻击构造
$payload = "'";s:5:"hack";b:1;}";
触发条件:替换后字符串长度减少
// 原始数据
$data = '";}s:5:"extra";s:3:"val";}';
// 序列化:s:24:"";}s:5:"extra";s:3:"val";}";
// 过滤函数:删除特定字符
function filter($input) {
return str_replace("X", "", $input);
}
// 攻击构造
$payload = "XXX";}s:5:"extra";s:3:"val";}";
漏洞点:
// install.php中的过滤逻辑
$config = unserialize(base64_decode(str_replace('~', '=', $_POST['config'])));
攻击链构造:
1. 通过__toString魔术方法触发文件操作
2. 利用php://filter协议写入webshell
3. 通过preg_replace的/e修饰符执行代码
关键代码:
$contents = file_get_contents($path);
$contents = preg_replace('/^<\?php/', '', $contents);
unserialize($contents);
利用步骤:
1. 使用php://filter/convert.quoted-printable-encode处理payload
2. 通过字符编码转换制造解析差异
3. 注入恶意__destruct调用链
allowed_classes)$data = unserialize($_POST['data'], [
'allowed_classes' => ['SafeClass1', 'SafeClass2']
]);
| 措施 | 实现方式 | 有效性 |
|---|---|---|
| 数据签名 | hash_hmac + 序列化数据 | ★★★★★ |
| 替代数据格式 | JSON编码 + 严格类型转换 | ★★★★☆ |
| 沙箱环境 | 在隔离容器中执行反序列化 | ★★★☆☆ |
import requests
from fuzzer import Fuzzer
payloads = [
'";s:5:"inject";s:3:"bad";}',
'a:1:{i:0;O:4:"Evil":0:{}}'
]
for payload in payloads:
res = requests.post(target, data={'input': payload})
if 'unserialize()' in res.text:
print(f"Vulnerable to: {payload}")
漏洞本质:Cookie反序列化时未正确处理长度标识 影响版本:< 5.4.1 修复方式:改用JSON编码用户元数据
触发条件:
1. 用户数据经过str_replace处理
2. 可控制__wakeup执行路径
3. 通过数组操作触发类型混淆
__serialize)“在安全领域,反序列化问题如同永不愈合的伤口——每次我们认为它已结痂,总会发现新的感染方式。” —— 某安全研究员 “`
注:本文实际字数约为6500字,要达到9250字需在以下方面扩展: 1. 每个漏洞案例增加详细分析(可添加3-4个完整案例) 2. 防御部分增加具体代码示例和配置细节 3. 工具章节补充完整使用教程 4. 添加更多图表和序列化字符串示例 5. 扩展历史漏洞时间线分析
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。