PHP对象的反序列化Gadget Chains：构造POP链实现系统命令执行的自动化工具 - 智猿学院-前后端，数据库，人工智能，云计算等领域前沿技术讲座

PHP对象反序列化Gadget Chains：自动化POP链构造与命令执行

大家好，今天我们来深入探讨一个PHP安全领域中非常重要且复杂的议题：PHP对象反序列化漏洞，以及如何利用Gadget Chains实现系统命令执行，并自动化这一过程。

1. PHP反序列化漏洞原理回顾

PHP的unserialize()函数可以将序列化的字符串还原成PHP对象。如果序列化的数据是由不可信来源控制的，攻击者可以构造恶意的序列化数据，并在反序列化过程中触发预定义的魔术方法（Magic Methods），如__wakeup(), __destruct(), __toString()等，进而执行任意代码。

魔术方法：

魔术方法	触发条件
`__construct()`	对象创建时
`__destruct()`	对象被销毁时
`__wakeup()`	反序列化时
`__sleep()`	序列化时
`__toString()`	对象被当做字符串使用时
`__invoke()`	对象被当做函数调用时
`__set()`	尝试给不可访问属性赋值时
`__get()`	读取不可访问属性时
`__isset()`	对不可访问属性调用`isset()`或`empty()`时
`__unset()`	对不可访问属性调用`unset()`时
`__call()`	调用未定义的方法时
`__callStatic()`	调用未定义的静态方法时

利用反序列化漏洞的关键在于找到合适的类和魔术方法，构成所谓的Gadget Chain。

2. Gadget Chain的概念与构造

Gadget Chain 是一系列类方法的组合，通过精心构造的对象关系，使得一个魔术方法的触发，最终导致任意代码执行。每个类方法就像链条中的一个环节（Gadget），最终连接到危险函数（如system()、exec()、eval()等）。

构造Gadget Chain的步骤通常如下：

寻找入口点（Entry Point）： 寻找一个可控的类，其魔术方法会被unserialize()函数触发，并且该魔术方法内部会调用其他类的方法。__wakeup()和__destruct()是常见的入口点。
寻找中间Gadgets： 寻找其他类，其方法可以被入口点或者其他中间Gadgets调用，并且这些方法能够操作可控的属性，或者调用其他类的方法。
寻找Sink（终点）： 寻找一个包含危险函数的类，或者能够通过可控属性调用危险函数的类。

举例说明：

假设我们有以下三个类：

class ClassA {
    public $obj;
    public function __destruct() {
        $this->obj->action();
    }
}

class ClassB {
    public $param;
    public function action() {
        eval($this->param);
    }
}

class ClassC {
    public $data;
}

在这个例子中：

ClassA 的 __destruct() 方法是入口点，因为它会在对象被销毁时自动调用，并且会调用 $this->obj 的 action() 方法。
ClassB 的 action() 方法是 Sink，因为它会执行 eval() 函数，而 eval() 的参数 $this->param 是可控的。
ClassC 只是一个简单的类，没有任何特殊功能，但在某些情况下，它可能作为中间Gadget使用，例如，作为ClassA的obj属性的类型占位符。

构造POP链的流程如下：

创建一个 ClassB 对象，并将 $param 属性设置为恶意代码，例如：phpinfo();。
创建一个 ClassA 对象，并将 $obj 属性设置为 ClassB 对象。
序列化 ClassA 对象。
反序列化该字符串，当 ClassA 对象被销毁时，__destruct() 方法会被调用，进而调用 ClassB 对象的 action() 方法，最终执行 eval() 函数，实现任意代码执行。

POC代码：

<?php
class ClassA {
    public $obj;
    public function __destruct() {
        $this->obj->action();
    }
}

class ClassB {
    public $param;
    public function action() {
        eval($this->param);
    }
}

$b = new ClassB();
$b->param = 'phpinfo();';

$a = new ClassA();
$a->obj = $b;

$serialized = serialize($a);
echo $serialized . "n";

unserialize($serialized);
?>

3. 自动化POP链构造的挑战

手动分析和构造Gadget Chain非常耗时且容易出错，尤其是在大型项目中，类和方法之间的关系错综复杂。因此，自动化POP链构造工具显得尤为重要。

自动化POP链构造面临以下挑战：

代码分析： 需要对目标代码进行静态分析，识别所有类、方法、属性，以及它们之间的调用关系。
Gadget识别： 需要识别潜在的入口点、中间Gadgets和Sink。
路径搜索： 需要搜索从入口点到Sink的有效路径，并生成最终的序列化数据。
依赖关系处理： 需要处理类之间的依赖关系，确保反序列化时所有对象都能正确创建。
循环依赖处理： 需要避免循环依赖导致无限递归，从而使程序崩溃。
安全绕过： 需要考虑一些安全机制，如__wakeup()绕过、filter过滤等。

4. 自动化POP链构造工具的设计与实现

一个基本的自动化POP链构造工具应该包含以下几个模块：

代码解析器： 解析PHP代码，生成类、方法、属性的抽象语法树（AST）。
Gadget识别器： 基于AST，识别潜在的入口点、中间Gadgets和Sink。
路径搜索器： 使用图算法（如深度优先搜索、广度优先搜索）在类之间的调用关系图中搜索有效路径。
序列化数据生成器： 根据搜索到的路径，生成最终的序列化数据。
安全绕过模块： 集成常见的安全绕过技术。

更详细的模块设计：

模块名称	功能描述	技术选型
代码解析器	扫描目标PHP项目，解析所有PHP文件，提取类、方法、属性、继承关系、调用关系等信息，并生成抽象语法树（AST）。	PHP-Parser (或其他PHP AST解析库)
Gadget识别器	基于代码解析器生成的AST，自动识别潜在的入口点（如具有`__wakeup()`、`__destruct()`等魔术方法的类），中间Gadgets（具有可控属性或调用其他方法的类），以及Sink（包含危险函数如`system()`、`eval()`等的类）。可以基于规则和启发式算法进行识别。	正则表达式，模式匹配，基于规则的引擎，机器学习 (可选)
依赖关系分析器	分析类之间的依赖关系，例如，如果类A的属性是类B的对象，则类A依赖于类B。用于确保在生成序列化数据时，依赖关系得到满足，避免反序列化失败。还需要检测循环依赖。	图算法 (如拓扑排序)，深度优先搜索
路径搜索器	基于类之间的调用关系，使用图搜索算法（如深度优先搜索、广度优先搜索、A*算法等）寻找从入口点到Sink的有效路径。需要考虑方法参数的可控性，以及中间Gadgets的利用条件。	图算法 (如深度优先搜索、广度优先搜索、A*算法)
安全绕过模块	集成常见的安全绕过技术，例如，绕过`__wakeup()`魔术方法的限制（通过修改序列化字符串中的对象属性数量），绕过`filter`过滤（通过编码、混淆等方式），绕过WAF（通过修改Payload结构）。	编码/混淆技术，字符串操作，Payload生成
序列化生成器	根据路径搜索器找到的Gadget Chain，生成最终的序列化Payload。需要处理对象属性的赋值，以及依赖关系。	PHP `serialize()` 函数，字符串拼接
漏洞验证器	（可选）在生成Payload后，自动发送Payload到目标系统，并验证漏洞是否成功利用。	HTTP请求库，命令执行结果分析
报告生成器	生成漏洞报告，包括漏洞描述、利用方法、修复建议等。	Markdown, HTML

代码示例（简化版）：

以下是一个简化的代码示例，演示了如何使用PHP-Parser库解析PHP代码，并提取类和方法的信息：

<?php

require 'vendor/autoload.php'; // 引入 Composer 自动加载

use PhpParserParserFactory;
use PhpParserNodeVisitorAbstract;
use PhpParserNode;

class ClassVisitor extends NodeVisitorAbstract {
    public $classes = [];
    private $currentClass = null;

    public function enterNode(Node $node) {
        if ($node instanceof NodeStmtClass_) {
            $this->currentClass = [
                'name' => $node->name->name,
                'methods' => [],
                'properties' => []
            ];
        } elseif ($node instanceof NodeStmtClassMethod && $this->currentClass !== null) {
            $methodName = $node->name->name;
            $this->currentClass['methods'][$methodName] = [
                'name' => $methodName,
                'isPublic' => $node->isPublic(),
                'isProtected' => $node->isProtected(),
                'isPrivate' => $node->isPrivate(),
                'params' => []
            ];
            foreach ($node->getParams() as $param) {
                $paramName = $param->var->name;
                $this->currentClass['methods'][$methodName]['params'][] = $paramName;
            }
        } elseif ($node instanceof NodeStmtPropertyProperty && $this->currentClass !== null) {
            foreach ($node->props as $prop) {
                $propertyName = $prop->name->name;
                $this->currentClass['properties'][] = $propertyName;
            }
        }
    }

    public function leaveNode(Node $node) {
        if ($node instanceof NodeStmtClass_ && $this->currentClass !== null) {
            $this->classes[$this->currentClass['name']] = $this->currentClass;
            $this->currentClass = null;
        }
    }
}

$code = file_get_contents('example.php'); // 读取目标PHP代码
$parser = (new ParserFactory)->create(ParserFactory::PREFER_PHP7);
try {
    $ast = $parser->parse($code);
} catch (Error $error) {
    echo "Parse error: {$error->getMessage()}n";
    exit(1);
}

$visitor = new ClassVisitor();
$traverser = new PhpParserNodeTraverser();
$traverser->addVisitor($visitor);
$traverser->traverse($ast);

print_r($visitor->classes); // 打印解析结果

?>

example.php:

<?php

class User {
    public $username;
    private $password;

    public function __construct($username, $password) {
        $this->username = $username;
        $this->password = $password;
    }

    public function getUsername() {
        return $this->username;
    }
}

class Admin extends User {
    public $role;

    public function __construct($username, $password, $role) {
        parent::__construct($username, $password);
        $this->role = $role;
    }

    public function getRole() {
        return $this->role;
    }
}

这个示例使用 nikic/PHP-Parser 库解析了 example.php 文件，并提取了其中类、方法和属性的信息。ClassVisitor 类继承自 NodeVisitorAbstract，用于遍历抽象语法树，并提取所需信息。

注意： 这只是一个简化的示例，实际的自动化POP链构造工具需要更复杂的功能，例如：

识别魔术方法
分析方法调用关系
寻找危险函数
生成序列化Payload

5. 工具的优化与扩展

为了提高自动化POP链构造工具的效率和准确性，可以进行以下优化和扩展：

增量分析： 只分析修改过的代码，避免重复分析整个项目。
缓存机制： 缓存分析结果，减少分析时间。
并行处理： 使用多线程或多进程并行分析代码。
机器学习： 使用机器学习算法识别潜在的Gadgets和Sink。
漏洞验证： 自动验证生成的Payload是否有效。
支持更多框架： 扩展工具以支持更多PHP框架，如Laravel、Symfony等。
图形化界面： 提供图形化界面，方便用户使用。

6. 安全建议

为了防止PHP反序列化漏洞，可以采取以下安全措施：

避免使用unserialize()函数处理不可信的数据。 如果必须使用，一定要对输入数据进行严格的验证和过滤。
限制可以被反序列化的类。 可以使用spl_autoload_register()函数，只允许加载特定的类。
使用PHP 7.0+版本。 PHP 7.0+版本对unserialize()函数的行为进行了限制，可以降低漏洞利用的风险。
安装安全补丁。 及时安装PHP官方发布的安全补丁。
使用代码审计工具。 定期使用代码审计工具检查代码是否存在潜在的反序列化漏洞。
实施最小权限原则。 限制PHP进程的权限，降低漏洞利用的危害。

7. 未来展望

PHP反序列化漏洞是一个持续存在的安全威胁。随着PHP框架和应用的复杂性不断增加，自动化POP链构造工具将变得越来越重要。未来的研究方向包括：

更智能的Gadget识别算法： 使用深度学习等技术，提高Gadget识别的准确率。
更高效的路径搜索算法： 优化路径搜索算法，减少搜索时间。
更强大的安全绕过技术： 研究新的安全绕过技术，应对不断变化的安全机制。
与其他安全工具集成： 将自动化POP链构造工具与其他安全工具（如静态分析工具、动态分析工具）集成，形成更完整的安全解决方案。

一些思考

PHP反序列化漏洞的利用需要对PHP语言特性、面向对象编程、安全知识等有深入的理解。自动化工具可以帮助我们更高效地发现和利用这些漏洞，但不能取代安全工程师的专业知识。

希望今天的分享能够帮助大家更好地理解PHP反序列化漏洞，并掌握自动化POP链构造的技术。