Pikachu系列——php反序列化

最新推荐文章于 2023-01-03 20:29:24 发布
最新推荐文章于 2023-01-03 20:29:24 发布
阅读量1k 收藏 2
点赞数
分类专栏: Web安全攻防 代码审计 文章标签: php 安全漏洞 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zlirving_/article/details/106253756
版权

Pikachu靶场系列持续更新~

 
要像追剧追番一样追下去哦
 

实验八 —— php反序列化

php反序列化概述

php允许保存一个对象方便以后使用,这个过程被称为序列化。为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。

如果另一个脚本想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容已经释放掉了,我们要如何操作呢?难道要一个脚本不断地循环,等待后面脚本调用?这肯定是不现实的

serialize和unserialize就是用来解决这一问题的。
serialize 可以将变量转换为字符串并且在转换中可以保存当前变量的值
unserialize 则可以将serialize生成的字符串转换为变量

在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数
序列化serialize()
序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:

class S{
    public $test="pikachu";
}
$s=new S(); //创建一个对象
serialize($s); //把这个对象进行序列化

序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";}
    O:代表object
    1:代表对象名字长度为一个字符
    S:对象的名称
    1:代表对象里面有一个变量
    s:数据类型
    4:变量名称的长度
    test:变量名称
    s:数据类型
    7:变量值的长度
    pikachu:变量值

反序列化unserialize()
就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用

$s=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");
echo $s->test;  //得到的结果为pikachu

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,这些函数在某些情况下会自动调用,就会导致安全问题

常见的几个魔法函数:

    __construct()      当一个对象创建时被调用
    __destruct()       当一个对象销毁时被调用
    __toString()       当一个对象被当作一个字符串使用
    __sleep()          在对象在被序列化之前运行
    __wakeup           将在序列化之后立即被调用
    __call()           在对象上下文中调用不可访问的方法时触发
    __callStatic()     在静态上下文中调用不可访问的方法时触发
	__get()            用于从不可访问的属性读取数据时
    __set()            用于将数据写入不可访问的属性
    __isset()          在不可访问的属性上调用isset()或empty()触发
    __unset()          在不可访问的属性上使用unset()时触发
    __invoke()         当脚本尝试将对象调用为函数时触发
    __autoload()       尝试加载未定义的类时触发
    __clone()          当对象复制完成时触发

防御:
反序列化的问题也是用户参数的控制问题引起的,所以好的预防措施就是不要把用户的输入或者是用户可控的参数直接放进反序列化的操作中去
 

实验环境

我用的是phpstudy集成环境,一键搭环境 (如果端口没被占用还是比较顺利的)

靶场:Pikachu靶场下载
浏览器一个

接下来:
–>把下载下来的pikachu文件夹放到web服务器根目录下
–>根据实际情况修改inc/config.inc.php里面的数据库连接配置(登录名和密码要与数据库相同)
–>访问http://x.x.x.x/pikachu,会有一个红色的热情提示"欢迎使用,pikachu还没有初始化,点击进行初始化安装!",点击即可完成安装。
 

php反序列化
payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

在这里插入图片描述
查看源码

class S{
    var $test = "pikachu";
    function __construct(){
        echo $this->test;
    }
}
$html='';
if(isset($_POST['o'])){
    $s = $_POST['o'];
    if(!@$unser = unserialize($s)){
        $html.="<p>大兄弟,来点劲爆点儿的!</p>";
    }else{
        $html.="<p>{$unser->test}</p>";
    }
}

变量$s从url中test参数获取到内容,并且在反序列化的时候通过__destruct()直接将传入的数据不经过任何处理,echo出来,这里就构造了反射型xss漏洞。当脚本结束运行时,所有的对象都会销毁,就会自动调用__destruct方法

GOT IT!

 
******************************************************
这一反序列化模块先搞定了,关注收藏追更哦~

想冲大厂的癞蛤蟆
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
135-PHP、Apache环境中部署pikachu
10-22
PHP、Apache 环境中部署 pikachu 说明 ...通过安装 phpstudy、下载和解压 pikachu、添加网站和配置 Apache、初始化数据库等步骤,可以成功部署 pikachupikachu 的使用需要配置数据库和初始化,才能正常使用。
pikachu LINUX安装包,
07-14
上传到根目录,解压直接就问访问,里面有教程
pikachu PHP反序列化(皮卡丘漏洞平台通关系列
箭雨镜屋
01-30 3717
诶嘿,又是一个简单的关卡 1、学习,学习一下 先跟着pikachu简单学习一下什么叫序列化和反序列化: 但其实我已知这里有两个地方写的不对,需要更正一下: (1)序列化结果中的S不是对象名称,而是类名称;同样的,O和S中间的1应该是类名字长度。 (2)几个魔法函数的举例有点让人误会,很容易误以为这些魔法函数都会造成反序列化漏洞,但其实__construct()在unserialize()时并不会被自动调用,这点在之后会进行演示。 总之,序列化是把对象转换为字符串,从而达到传输和存储的目的
pikachuphp反序列化()
weixin_54431413的博客
04-15 3043
pikachu靶场的反序列化漏洞 (代码审计能力有点弱鸡,不对之处请指教)
pikachu反序列化
莫黎小天
06-29 547
1 .序列化 对象转换成字符串 持久保存 网络传输 例如: class S{ public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“test”;s:7:“pikachu”;} O:代表object 1:代表对象名字长度为一个字符 S:对象的
Pikachu-----目录遍历/信息泄露/PHP反序列化/XXE/URL/SSRF
m0_65712192的博客
01-03 959
Pikachu-----目录遍历/信息泄露/PHP反序列化/XXE/URL/SSRF
pikachuphp反序列化
qq_43665434的博客
02-18 401
pikachuphp反序列化 一、php对象和类 php面向对象编程: 对象:可以做一些事情。一个对象有状态、行为和标识三种属性。 类:一个共享共同结构和行为的对象的集合。 每个类的定义都以class开头,后面跟着类的名字,一个类可以包含有属于自己的变量,变量(称为属性)以及函数(称为方法)。类定义了一件事物的抽象特点。通常来说,类定义了事物的属性和它可以做到的。 类可能包含一些特殊的函数(magic函数),magic函数命名是以符号‘_’开头的,比如_construct当一个队形创建时调用;_dest
pikachu-master
05-04
Pikachu还提供了API接口,允许与其他系统集成,实现自动化安全扫描。此外,你还可以自定义扫描模块,扩展其功能,满足特定的测试需求。 总结,Pikachu作为一款实用的Web漏洞测试平台,它的搭建并不复杂,通过上述...
部署pikachu ppt资料
10-22
部署Pikachu PPT 资料需要安装PHP和Apache环境,下载和解压Pikachu靶场文件,修改配置文件,启动Apache和MySQL服务,访问Pikachu靶场,初始化数据库等步骤。通过这篇文章,读者可以了解Pikachu靶场的安装和配置过程...
web渗透教程1:pikachu靶场搭建
最新发布
11-17
带你手把手搭建pikachu靶场环境
序列化接口 Serializable 和 Parcelable
binaryshao
01-17 448
Serializable 反射? serialVersionUID 确保反序列化成功的关键 ANY-ACCESS-MODIFIER static final long serialVersionUID = 42L; * It is also strongly advised that explicit * serialVersionUID declarations use the &amp;amp;amp;lt;...
远程命令执行与反序列化之——反序列化原理介绍与漏洞产生原因分析
温柔小薛的博客
04-12 676
反序列化原理介绍与漏洞产生原因分析 什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。 假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。 当我们写一个小型的项目可能没有...
pikachu-PHP反序列化
baidu_39504221的博客
11-23 504
PHP对象需要表达的内容较多,如类属性值的类型、值等,所以会存在一个基本格式。下面则是PHP序列化后的基本类型表达: 布尔型(bool):b:value=>b:0 整数型(int):i:value=>i:1 整数型(int):i:value=>i:1 字符串型(str):s:length:“value”;=>s:4:“aaaa” 数组型(array):a:<length>:{key,value pairs};=>a:1:{i:1;s:1:“a”} 对象型(obje
pikachu笔记之反序列化漏洞
weixin_53255260的博客
08-02 397
一、概述 在现有很多的应用当中,需要对某些对象进行序列化,让它们离开内存空间,入驻物理硬盘,以便可以长期保存,其中最常见的是Web服务器中的Session对象。对象的序列化一般有两种用途:把对象的字节序列永久地保存到硬盘上,通常存放在一个指定文件中;或者在网络上传送对象的字节序列。 而把字节序列恢复为对象的过程称为对象的反序列化。当两个进程在进行远程通信时,彼此可以发送各种类型的数据,而且无论是何种类型的数据,都会以二进制序列的形式在网络上传送。 未对用户输入的序列化字符串进行检测,导...
pikachu通关记之php反序列化
qq_35258210的博客
01-20 232
"""本人网安小白,此贴仅作为记录我个人测试的思路、总结以便后期复习;今后本着少就是多,慢就是快的方式一步一个脚印进行学习,把这个知识点学扎实了,再学另外一个知识点。费曼教授是不是曾经说过以教代学是最好的学习方式?有很多错点可圈可指,所以也请dalao指出不对的地方,所谓教他人的时候也是在稳固自身""" 未做严格排版,后面有时间了再来整理整理 Ps:靶机链接:https://blog.csdn.net/qq_35258210/article/details/112465795 pikachuduip
pikachu-php反序列化源码分析及修复
静水流深,沧笙踏歌
09-08 1388
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。             序列化serialize()            ...
docker安装pikachu修改php.ini文件
weixin_48544396的博客
03-05 2941
        前面使用docker安装了pikachu靶场,在练习文件包含时,遇到如下提示信息: 1、在docker环境中找到php.ini文件路径 通过利用本地文件包含,vul/fileinclude/fi_local.php?filename=../../../test/phpinfo.txt&submit=提交查询,查看php.ini文件路径 发现php.ini文件位于/etc/php/8.0/apache2/php.ini 。 2、进入容器 首先
pikachu~~~PHP反序列化
weixin_50339832的博客
06-06 110
序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";} O:代表object 1:代表对象名字长度
关于命令执行与反序列化
vvoennvv的博客
11-10 177
Impossible级别的代码加入了Anti-CSRF token,同时对参数ip进行了严格的限制,只有诸如“数字.数字.数字.数字”的输入才会被接收执行,因此不存在命令注入漏洞。当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。因此,如果需要给前端用户提供操作类的API接口,一定需要对接口输入的内容进行严格的判断,比如实施严格的白名单策略会是一个比较好的方法。然后我们将这串值中的可控变量替换为我们的攻击代码,(即得到序列化值,将正常的值替换为攻击代码,让之后执行替换的攻击代码)
pikachu反序列化
09-07
反序列化Pikachu对象,你需要使用适当的反序列化方法,通常是根据你使用的编程语言和框架来决定。以下是一个示例,在Python中使用pickle模块进行反序列化的代码: ```python import pickle # 反序列化Pikachu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值