[渗透测试] 反序列化漏洞

最新推荐文章于 2024-08-19 12:18:48 发布
最新推荐文章于 2024-08-19 12:18:48 发布
阅读量481 收藏 10
点赞数 5
分类专栏: 渗透测试 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/da1nty/article/details/140608143
版权

反序列化漏洞

序列化:将对象的状态信息转换为可以传输或存储的形式的过程。简单的来说,就是将一个抽象的对象转换成可以传输的字符串 ,以特定的形式在进行之间实现跨平台的传输。

序列化大多以字节流、字符串、json串的形式来传输。将对象的某一状态写入永久或者临时存储区,在有需要的时候,就可以在存储区里读取对队形进行还原,也就是反序列化

1. 序列化与反序列化过程

例:

1.定义了一个Vul类:

<?php

class Vul{
    public $str = "Dai";

    function __destruct(){
        @eval($this -> str);
    }
}
?>

test.php:

<?php
include "./vul.class.php";

$s = new vul();
echo serialize($s);
echo "<hr />";

$_s = $_GET['s_ser'];
$s = unserialize($_s);

var_dump($s);

?>

通过serialize( )$s 序列化,unserialize()用来反序列化

在这里插入图片描述

2. 漏洞成因

程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程有可能会被恶意利用,造成恶意代码的执行。

如在php中,__construct( ) 函数会在创建对象的时候自动调用。__destruct( )会在销毁对象时自动调用。在php中__开头的函数会被自动调用。

3. 漏洞复现

  1. java反序列化

    [CVE 2017-10271]weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞

    [CVE 2016-4437]Apache Shiro 1.2.4 反序列化漏洞

化漏洞](https://vulhub.org/#/environments/shiro/CVE-2016-4437/)

Da1NtY0926
关注
专栏目录
weblogic--反序列化漏洞测试Test
10-19
weblogic应用上的资源分享给大家,如涉及版本,请告知,谢谢。
java反序列化漏洞测试
lichengwei816的博客
12-09 212
java反序列化漏洞测试反序列化漏洞测试类正式测试 反序列化漏洞 package com.lcw.demo; import java.io.*; import java.util.HashMap; import java.util.Map; // 用到的commons.collections包 import com.alibaba.fastjson.JSON; import org.apache.commons.collections4.Transformer; import org.apache.com
渗透测试实战-菠菜站渗透测试(Nacos反序列化漏洞利用)
最新发布
haosha。的博客
08-19 1633
渗透测试实战-菠菜站渗透测试(Nacos Jraft Hessian反序列化漏洞利用)
Web安全 PHP反序列化漏洞测试.(可以 防止恶意用户利用漏洞
网络安全领域___专研者.
03-25 4559
PHP反序列化漏洞的 概括: 开发的程序员 没有对用户输入的序列化字符串做一个严格检测,导致恶意的用户可以控制反序列化的一个过程,因此导致XSS漏洞,代码执行,SQT注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。在进行反序列化的时候就有可能触发对象中的一些魔术方法。
漏洞分析】反序列化漏洞
kali_Ma的博客
02-21 1032
0x01 背景 2022年1月18日,ORACLE官方发布了2022年第一季度的补丁,其中涉及到多个关于Weblogic的漏洞。由于Weblogic的补丁很贵,一般人下载不到,所以一直在等待相关的细节信息。 从CVE官网找到的CVE-2022-21350漏洞是属于Weblogic的未授权访问和拒绝服务漏洞,CVSS评分也只有6.5,和这里的反序列化似乎不是一个漏洞。从漏洞的简要描述来看这个漏洞似乎也不是CVE-2022-21306。 本篇文章主要是针对该漏洞的详细分析和研究,以探讨安全技术为目的,对漏洞分析
java反序列化漏洞检测_Paper/Java反序列化漏洞分析及检测方案.md at master · Cryin/Paper · GitHub...
weixin_34537864的博客
02-13 325
Java反序列化漏洞分析及检测方案序列化与反序列化序列化与反序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。要对某个类对象进行序列化及反序列化操作,则该类必须实现Serializable接口,Serializable 接口是启用其序列化功能的接口,实现 java.io.Serializable 接口的类才是可序列化的,没有实现此接口的类...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞(CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
65-65.渗透测试-反序列化漏洞的出现.mp4
05-10
65-65.渗透测试-反序列化漏洞的出现.mp4
技术专栏 _ 深入理解JNDI注入与Java反序列化漏洞利用.pdf
09-18
在深入探讨JNDI注入与Java反序列化漏洞之前,我们需要对几个关键概念有所了解,这包括Java远程方法调用(RMI)、Java名称目录接口(JNDI)、Java远程消息交换协议(JRMP)、以及序列化和反序列化。 RMI是Java环境中...
web渗透测试----20、反序列化漏洞--(1)序列化和反序列化
七天
03-09 2205
序列化与反序列化
魔术函数 __sleep 和 __wakeup
weixin_30455023的博客
10-25 148
魔术函数 __sleep 和 __wakeupserialize() 检查类中是否有魔术名称 __sleep 的函数。如果这样,该函数将在任何序列化之前运行。它可以清除对象并应该返回一个包含有该对象中应被序列化的所有变量名的数组。 使用 __sleep 的目的是关闭对象可能具有的任何数据库连接,提交等待中的数据或进行类似的清除任务。此外,如果有非常大的对象而并不需要完全储存下来时此函数也很...
phar反序列化漏洞
Mi1k7ea
01-01 6010
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本&gt;=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
【SRC挖掘实录】反序列化漏洞
dbabs的博客
05-27 1476
在身份验证,文件读写,数据传输等功能处,在未对反序列化接口做访问控制,未对序列化数据做加密和签名,加密密钥使用硬编码(如Shiro 1.2.4),使用不安全反序列化框架库(如Fastjson 1.2.24)或函数的情况下,由于序列化数据可被用户控制,攻击者可以精心构造恶意的序列化数据(执行特定代码或命令的数据)传递给应用程序,在应用程序反序列化对象时执行攻击者构造的恶意代码,达到攻击者的目的。
安全反序列化(php&java)及漏洞复现
weixin_58954236的博客
09-06 1548
class Stu{在unserialize文件夹下新建一个stu.class.php文件,将上述代码复制进去。class(关键字:类),stu是类名。
web笔记
XYpangSJ的博客
12-10 1516
这里因为事先对两个参数都进行了强制类型转换,所以就不能传参数组达到绕过的目的了,因为是弱比较,所以可以采用科学计数法的方式绕过,即找到两个不同的值,让他们md5后的值都是以0e开头的。不是很理解的原理:这边强制类型转换+强相等,那么前面的科学计数法绕过和数组绕过就通通失效了,这时候就需要进行md5强碰撞来找到两个值,这里直接就放出来两个值,积累下来就行。需要我们传参md5,使它的值与md5加密后相等,于是我们需要找一个0e开头,并且md5后还是以0e开头的值,网上搜搜一大堆。用于获取变量的整数值;
反序列化(Unserialize)漏洞详解
热门推荐
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
网络安全课第六节 反序列化漏洞的检测与防御
fegus的博客
07-11 3507
上一讲介绍了 XXE 漏洞,它在业务场景中很容易用于读取敏感文件、进行代码执行,甚至也会用来渗透内网,也因此 XXE 漏洞常被当作一种严重漏洞来对待。本讲我将介绍另一种常用来实现远程代码执行的漏洞类型——反序列化漏洞,这几年经常出现在 Java 公共库,比如阿里的 fastjson,还有一些 Java 应用服务器,比如 JBoss。PHP 也有反序列化,比如著名的 Joomla 内容管理系统很多编程语言都有这种反序列化功能,若对反序列化的数据未做有效过滤和限制,就可能导致这种漏洞的产生。下面我就详细给你介绍
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Da1NtY0926

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值