【WEB漏洞原理】不安全的反序列化

已于 2023-11-25 13:05:01 修改
阅读量714 收藏
点赞数 2
分类专栏: # Web安全 文章标签: 安全 web安全 网络安全 Java反序列化
于 2023-09-05 21:42:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhaoSong_/article/details/132701038
版权

文章目录

为什么要序列化?

序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”,这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。简单的说,序列化就是把⼀个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进⾏通信。

1、序列化与反序列化

以PHP 语⾔为例

1.1、引入

JSON 数据是数据的⼀种表达形式,与Python ⾥的字典类似

<?php
// json.php
$stu = array(
    'name' => 'JayChou',
    'age' => 18,
    'sex' => true,
    'score' => 89.9
);
// echo $stu;
// var_dump($stu);
$stu_json = json_encode($stu);
echo $stu_json;
echo "<hr />";
$stu_json = isset($_GET['stu'])?$_GET['stu']:$stu_json;
$stu = json_decode($stu_json);
var_dump($stu);
?>

验证:

?stu={"name":"jaychou","age":19,"sex":true,"score":89.9}

image-20230905132457133

1.2、序列化实例

1.2.1、定义一个类
<?php
    
    // stu.class.php
    class Stu{
    public $name;
    public $age;
    public $sex;
    public $score;
    }
?>
1.2.2、创建 对象

创建⼀个对象,并对该对象进⾏序列化操作,将对象转化为可以存储、传输的字符串

<?php
//serialize.php
include "./stu.class.php";

$stu1 = new Stu();

$stu1->name = "JayChou";   #$stu1.name
$stu1->age = 18;
$stu1->sex = true;
$stu1->score = 68.99;

//echo $stu1;   报错
// var_dump($stu1)

$_stu1 = serialize($stu1);
echo $_stu1;
?>

序列化后的字符串:

O:3:"Stu":4:{s:4:"name";s:7:"JayChou";s:3:"age";i:18;s:3:"sex";b:1;s:5:"score";d:68.989999999999995;}

image-20230905133548382

1.2.3、反序列化

将字符串转化为对象

<?php
    // unserialize.php
    include "./stu.class.php";
    $stu1_ser = 'O:3:"Stu":4:{s:4:"name";s:7:"JayChou";s:3:"age";i:18;s:3:"sex";b:1;s:5:"score";d:68.989999999999995;} ';
    $stu1_obj = unserialize($stu1_ser);
    var_dump($stu1_obj);
?>

image-20230905133746906

1.2.4、对象注入

如果反序列化字符串,Web ⽤⼾可以控制,则造成对象注⼊。

<?php
    // unserialize.php
    include "./stu.class.php";
    // $stu1_ser = 'O:3:"Stu":4:{s:4:"name";s:7:"JayChou";s:3:"age";i:18;s:3:"sex";b:1;s:5:"score";d:68.989999999999995;} ';

    $stu1_ser = $_GET['obj'];  #动态传参

    $stu1_obj = unserialize($stu1_ser);
    var_dump($stu1_obj);
?>

image-20230905134325244

PHP 的反序列化漏洞也叫PHP 对象注⼊,是⼀个⾮常常⻅的漏洞,这种漏洞在某些场景下虽然有些难以利⽤,但是⼀旦利⽤成功就会造成⾮常危险的后果

2、漏洞何在

2.1、漏洞触发

2.1.2、定义一个类
<?php
// vul.class.php

class Vul{
    public $str = 'JayChou';

    function __destruct()
    {
        @eval($this -> str);
    }
}
?>
2.1.3、定义一个对象
<?php
// test.php
include './vul.class.php';

$s = new Vul();
echo serialize($s);
echo "<hr />";

$_s =isset($_GET['s_ser'])?$_GET['s_ser']:'O:3:"Vul":1:{s:3:"str";s:7:"JayChou";}';

$s= unserialize($_s);
var_dump($s);
?>

序列化后

O:3:"Vul":1:{s:3:"str";s:7:"JayChou";}

反序列化后

object(Vul)#2 (1) { ["str"]=> string(7) "JayChou" }

image-20230905135619488

2.1.3、反序列化执行代码
?s_ser=O:3:"Vul":1:{s:3:"str";s:10:"phpinfo();";}

image-20230905135711507

2.2 为什么会这样

__destruct(),会被对象⾃动调⽤。

__开头的函数,是PHP 中的魔术⽅法。类中的魔术⽅法,在特定情况下会⾃动调⽤。即使魔术⽅法在类中没有被定义,也是真实存在的

魔术方法触发条件
__construct()创建对象时⾃动调⽤,构造函数
__destruct()销毁对象时⾃动调⽤,析构函数
__call();
__callStatic();
__get();
__set();
__isset();
__unset();
__sleep();
__wakeup();                                                         创建对象之前触发。
__toString();
__invoke();
__set_state();
__clone();
__debuginfo();

漏洞形成的根本原因就是程序没有对⽤⼾输⼊的反序列化字符串进⾏检测,导致反序列化过程可以被恶意控制,进而造成代码执⾏、GetShell 等⼀系列不可控的后果。反序列化漏洞并不是PHP 特有的,也存在于JavaPython 语⾔中,其原理基本相同

3、反序列化漏洞攻防

3.1、PHP反序列化实例

3.2、Java反序列化实例

3.3、反序列化漏洞防御

  • 升级组件到最新版本
  • ⿊⽩名单过滤敏感字符
  • 禁⽤反序列化功能
  • 部署安全设备
过期的秋刀鱼-
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
web安全-反序列化漏洞
weixin_43909140的博客
04-24 2871
一 XSS漏洞产生的原因是javascript可以随时插入一段代码,而Java是一种先编译再执行的语言,所以开发者认为java可能原生比javascript更安全,在开发中关注逻辑安全即可。 2015 年,Java 曾被曝出一个严重的漏洞,很多经典的商业框架都因此受到影响,其中最知名的是WebLogic。据统计,在网络中公开的 WebLogic 服务有 3 万多个。其中,中国就有 1 万多个外网可访问的 WebLogic 服务。因此,WebLogic 的反序列化漏洞意味着,国内有 1 万多台服务器可能会
WEB安全-PHP反序列化漏洞原理
qq_59350385的博客
04-11 1739
一、漏洞原理 在提及漏洞前,首先要先理解PHP中的serialize()和unserialize()两个函数(由于没有PHP开发基础,请各位大哥指出小弟本文中的错误),serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储,再通过unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的magic function(魔术方法)来构造特定的语句,从而达到控制整个反
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复(2)
最新发布
2401_84132565的博客
05-13 730
黑名单检测,classname是传入类的全名,denyList是黑名单。// 可以多次添加校验内容,只要满足其中一个就会正常反序列化。* 复现反序列化漏洞(攻击链二)
[web安全原理]PHP反序列化漏洞
笑花大王
01-26 154
前言 这几天一直在关注新管状病毒,从微博到各大公众号朋友圈了解感觉挺严重的看微博感觉特别严重看官方说法感觉还行那就取中间的吧 自己要会对这个东西要有理性的判断。关注了好两天所以耽搁了学习emmm 希望病毒早点过去吧! 反序列化漏洞 序列化和反序列化 为了有效地存储或传递数据,同时不丢失其类型和结构,经常需要利用序列化和反序列化函数对数据进行处理。 反序列化函数返回字符串,此字符串包含了...
反序列化漏洞原理从零学起-小白都能懂反序列化漏洞
silencediors的博客
11-06 1025
前言 鼓起很大的勇气写这篇博文,不想承认我一直以来对反序列化漏洞就是一知半解的事实。其实我一直对反序列化漏洞有个执念,就是在我java这门语言完全不懂的时候我就非要去研究java的各种反序列化,然后把自己逼到一个绝路,大概这个持续时间有一两个月,还是一头雾水。后来我慢慢读代码,不懂的百度,也跟进学习,直到我有一天接触到php反序列化,哦,原来反序列化是这样。记得当时java里面的各种rmi,反射链...
WEB反序列化漏洞(更新中)
weixin_45844670的博客
09-08 551
安全反序列化0x00 前言0x01 什么是序列化?0x02 序列化与反序列化0x03什么是不安全反序列化?0x04不安全反序列化漏洞如何产生?0x05不安全反序列化有何影响?0x06利用反序列化漏洞如何识别不安全反序列化PHP序列化格式Java序列化格式处理序列化对象修改对象属性 0x00 前言 在本文中,我们将介绍什么是不安全反序列化,并描述它如何使网站可能遭受高强度攻击。我们将重点介绍典型方案,并使用PHP,Ruby和Java反序列化的具体示例演示一些广泛适用的技术。我们还将研究一些方法,
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 限制反序列化的类:仅允许已知安全的类进行反序列化,避免反序列化不受信任的类。 - 使用安全反序列化库:如使用Jackson库时,可以开启防护模式来防止恶意反序列化。 - 输入验证:对所有反序列化输入进行严格...
基于Java Web反序列化信息安全漏洞挖掘研究.pdf
03-31
Java Web反序列化信息安全漏洞是当前网络安全领域的一大关注点,尤其在企业级应用中,这类漏洞可能导致严重的安全风险。Java作为一种广泛应用的编程语言,因其跨平台性、多线程支持和强大的系统稳定性,被广泛用于...
第37天:WEB漏洞-反序列化之PHP&JAVA全解(上)1
08-03
WEB漏洞-反序列化之PHP&JAVA全解(上) 在 WEB 应用程序中,反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHP 和 JAVA 中,反序列化漏洞尤其常见,本文将...
JSON PHP中,Json字符串反序列化成对象/数组的方法
12-19
在示例中,使用单引号定义的JSON字符串会导致反序列化操作失败,而使用双引号定义的JSON字符串则可以成功反序列化。 此外,PHP的`json_decode()`函数在处理某些JSON字符串时可能存在兼容性问题,尤其是在不同的PHP...
Java反序列化生成Payload附利用脚本
02-12
Java反序列化是一个重要的安全议题,特别是在Web应用的环境中,如WebLogic和JBoss等中间件,它们在处理用户输入时可能涉及对象的反序列化...同时,理解反序列化漏洞的工作原理和防范措施对于提升系统安全性至关重要。
web安全安全的反序列、命令执行漏洞解析
vivlol918的博客
05-15 1349
限制可执行命令的范围和使用权限。例如,限制可执行命令的用户、权限和执行路径等参数。
WEB漏洞-反序列化之PHP&JAVA全解(上)
xhscxj的博客
02-03 830
PHP 反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码 执行,SQL 注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行 反序列化的时候就有可能会触发对象中的一些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 触发:unserialize 函数的变量可控,文件中存在可利用的类,类中有魔术方法: 参考:https://www.cnblogs.com/2.
网络安全---漏洞复现】shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4433
shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
web常见漏洞原理,利用,防御(思路
静水流深,沧笙踏歌
04-04 5149
web常见漏洞原理,利用,防御1.SQL注入原理利用防御2.XSS(Cross-site scripting)原理 1.SQL注入 原理 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令的目的。 利用 首先判断是否存在SQL注入,若存在,通过页面回显等一些特征用不同的方式注入。 常见的注入方式有: 1.union注入 2.Boolean注入...
【SRC挖掘实录】反序列化漏洞
dbabs的博客
05-27 1315
在身份验证,文件读写,数据传输等功能处,在未对反序列化接口做访问控制,未对序列化数据做加密和签名,加密密钥使用硬编码(如Shiro 1.2.4),使用不安全反序列化框架库(如Fastjson 1.2.24)或函数的情况下,由于序列化数据可被用户控制,攻击者可以精心构造恶意的序列化数据(执行特定代码或命令的数据)传递给应用程序,在应用程序反序列化对象时执行攻击者构造的恶意代码,达到攻击者的目的。
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 5535
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
安全反序列化(php&java)及漏洞复现
weixin_58954236的博客
09-06 1463
class Stu{在unserialize文件夹下新建一个stu.class.php文件,将上述代码复制进去。class(关键字:类),stu是类名。
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值