php反序列化漏洞复现过程

最新推荐文章于 2024-08-06 00:00:00 发布
最新推荐文章于 2024-08-06 00:00:00 发布
阅读量597 收藏 1
点赞数
文章标签: php shell
原文链接:http://www.cnblogs.com/zy-king-karl/p/11454708.html
版权

PHP反序列化漏洞复现

测试代码

 

 

 

 

我们运行以上代码文件,来证明函数被调用:

 

应为没有创建对象,所以构造函数__construct()不会被调用,但是__wakeup()跟__destruct()函数都被调用,如果这些函数里面包含的是恶意代码会怎么样呢?

利用场景

__wakeup() 或__destruct()

由前可以看到,unserialize()后会导致__wakeup() 或__destruct()的直接调用,中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在__wakeup() 或__destruct()中,从而当我们控制序列化字符串时可以去直接触发它们。这里针对 __wakeup() 场景做个实验。

基本的思路是,本地搭建好环境,通过 serialize() 得到我们要的序列化字符串,之后再传进去。通过源代码知,把对象中的test值赋为 “<?php phpinfo(); ?>”,再调用unserialize()时会通过__wakeup()把$test的写入到shell.php中。为此我们写个php脚本:

 

 

运行结果:

 

 

 

我们再来看shell1.php:

 

 

 

成功的利用反序列化漏洞来得到phpinfo()信息

不过具体的环境多是像下面代码这样,我们的test是我们可控的参数

 

 

我们传入参数test=O:7:"bmjoker":1:{s:4:"test";s:18:"<?php phpinfo();?>";}

 

 

 

同时shell.php也成功写入

 

 

 

成功利用php反序列化漏洞

其他Magic function的利用

  但如果一次unserialize()中并不会直接调用的魔术函数,比如前面提到的__construct(),是不是就没有利用价值呢?非也。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadget”找到漏洞点

 

 

 

 这里我们给test传入构造好的序列化字符串后,进行反序列化时自动调用 __wakeup()函数,从而在new joker()会自动调用对象joker中的__construct()方法,从而把<?php phpinfo();?>写入到shell.php中:

我们传入参数  test=O:7:"bmjoker":1:{s:4:"test";s:18:"<?php phpinfo();?>";}

 

 

 

同时she.php也成功写入:

 

 

 

利用普通成员方法

前面谈到的利用都是基于“自动调用”的magic function。但当漏洞/危险代码存在类的普通方法中,就不能指望通过“自动调用”来达到目的了。这时的利用方法如下,寻找相同的函数名,把敏感函数和类联系在一起。

 

 

 

本意上,new一个新的lmjoker对象后,调用__construct(),其中又new了bmjoker对象。在结束后会调用__destruct(),其中会调用action(),从而输出 bmjoker

 

 

 

下面是利用过程。构造序列化

 

 

 

得到:

 

传给5.php的test参数,利用成功

 

 

转载于:https://www.cnblogs.com/zy-king-karl/p/11454708.html

aobipi2343
关注
php反序列化漏洞复现
qq_30854761的博客
04-25 2257
http://159.75.16.25:8066phpmyadmin scripts/setup.php 反序列化漏洞http://159.75.16.25:8065复现S2-001远程代码执行漏洞复现漏洞要求:(1)操作步骤配截图。 (2)并尝试使用S2-001远程代码执行漏洞进行挂马操作 。 代码被执行由此可见是存在漏洞,可构建payload 获取tomcat运行路径: 获取web运行路径 %{ #req=@org.apac...
shiro反序列化漏洞复现
weixin_45682070的博客
08-21 3170
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 工作原理 Shiro的记住用户会话功能 获取RememberMe的值 —> Base64解密 —> ASE解密 –> 反序列化 漏洞原理 因为在反序列化时,不会对其进行过滤,所以如果传入恶意代码将会造成安全问题 在 1.2.4 版本前,是默认ASE秘钥,Key: kPH+bIxk5D2deZiIxcaaaA==,可以直接反序列化执行恶意代码 而在1.2.4之后,ASE秘钥就不为默认了,需要获取
php反序列化漏洞复现
aobipi2343的博客
08-30 278
超适合小白的php反序列化漏洞复现 写在前头的话 在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:反序列化漏洞如何利用。 在这里我对反序列化的原理不做详细介绍,大家可以自行到网上搜索。在这...
全面解析PHP反序列化漏洞:原理、复现与防御
最新发布
2301_80064376的博客
08-06 755
在Web应用安全领域,PHP反序列化漏洞常常被视为一颗隐形的定时炸弹。它的危害在于能够让攻击者通过精心构造的恶意数据,远程执行任意代码或操作,从而掌控整个系统。随着PHP在Web开发中的广泛使用,反序列化漏洞的威胁也与日俱增。理解其工作原理,并掌握漏洞复现的技巧,对于提升我们对系统安全性的认识和防护能力至关重要。本文将深入剖析PHP反序列化漏洞的原理,展示如何在实际环境中复现漏洞,并提供详细的防御措施。无论你是网络安全的新手,还是经验丰富的开发者,都能从中获得宝贵的知识和实用的技能。
反序列化漏洞原理知乎/PHP session反序列化漏洞原理解析_零基础攻防笔记
2401_84915584的博客
05-16 362
本质上,就是一种可以维持服务器端的数据存储技术。即**技术就是一种基于后端有别于数据库的临时存储数据的技术**PHP 工作流程PHP为例
php 反序列化漏洞
内心不种满鲜花就会长满杂草
01-09 5564
什么是序列化 序列化即 将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象 简单来说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信 。 反序列分为PHP反序列和java反序列化,下面就以PHP反序列化漏洞为切入点,讲述反序列化漏洞核心的原理,其他Java、Python等语言的反序列化漏洞,其原理基本相通。 PHP中的序列化和反序列化
ThinkPHP V6.0.12LTS反序列化漏洞复现源码
07-29
ThinkPHP 是一个流行的 PHP 框架,其 6.0.12 LTS 版本中曾经存在一个反序列化漏洞。这类漏洞可能会被恶意攻击者利用来执行任意代码,危害系统安全。
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2866
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
漏洞复现篇——PHP反序列化漏洞
爱国小白帽
02-28 4363
简介 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 什么是序列化和...
phpmyadmin scripts/setup.php 反序列化漏洞复现
weixin_56513549的博客
02-23 2045
首先在password地方输入%{1+1} 发现解析成了2,说明存在该漏洞 输入 %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"} 获取Tomcat执行路径 获取web路径 %{ #req=@org.apache.struts2.ServletActionContext@getRequest(), #response=#context.get("com.opensymphony.xwork2.dispatch..
php 反序列化 对象注入漏洞
苟有恒,必有三更眠,五更起。
03-10 642
简介 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。 分析 php基础 serialize 把一个对象转成字符串形式, 可以用于保存 unserialize 把serialize序列化后的字符串变成一个对象 php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的, 比如 __construct,...
反序列化漏洞漏洞复现
来日可期的博客
09-05 4148
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
PHP反序列化漏洞,或使 WordPress 遭远程攻击
weixin_34413802的博客
08-21 175
英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户...
php反序列化cve漏洞复现,CVE-2016-7124php反序列化漏洞复现
weixin_30871011的博客
04-08 469
CVE-2016-7124php反序列化漏洞复现0X00漏洞原因如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行0X01漏洞影响版本PHP5 < 5.6.25PHP7 < 7.0.100X02漏洞详情PHP(PHP:HypertextPreproce...
Thinkphp6.0.x反序列化漏洞复现
shinygod的博客
11-20 2318
Thinkphp6.0.x反序列化漏洞复现
复现thinkphp5.1反序列化漏洞
桃雾雨Rain的博客
05-02 1287
首先写一个控制器: <?php namespace app\index\controller; class Index { public function index() { if(isset($_POST['data'])){ @unserialize($_POST['data']); } highlight_string(file_get_contents(__FILE__)); } }
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值