【反序列化漏洞02】PHP反序列化漏洞原理测试及魔术方法总结

已于 2022-07-01 03:34:52 修改
阅读量3.1k 收藏 3
点赞数 2
分类专栏: # 筑基07:WEB漏洞原理 文章标签: PHP 反序列化 网络安全
于 2022-03-20 00:01:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fighting_hawk/article/details/123598709
版权

目录

1 简介

  1. PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。
  2. 漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)
  3. 反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。

2 PHP反序列化漏洞

2.1 测试环境

  1. 服务器:在虚拟机中安装win2008及phpstudy,参考《win2008R2SP1+WAMP环境部署》。
  2. 客户端:真实机浏览器。

2.2 测试过程

  1. 在服务器根目录下,新建txt文件,输入以下内容,并另存为test.php。
<?php
class test{
	public $str='libai;';
	function __destruct(){
		echo "This is function __destruct()";
		@eval($this->str);
	}
}
$test1 = new test();
echo serialize($test1);
echo "<hr>";
$t = $_GET['obj'];
var_dump(unserialize($t));
?>
  1. 浏览器访问该网页,攻击者构造输入参数?obj=O:7:"payload":1:{s:4:"name";s:10:"phpinfo();";},网页显示如下,可以看到phpinfo()函数被成功执行。
    在这里插入图片描述
  2. 将test.php文件修改如下,将新建test类对象的语句注释掉,再次实验。
<?php
class test{
	public $str='libai;';
	function __destruct(){
		echo "This is function __destruct()";
		@eval($this->str);
	}
}
//$test1 = new test();
//echo serialize($test1);
//echo "<hr>";
$t = $_GET['obj'];
var_dump(unserialize($t));
?>
  1. 同样的参数访问,网页显示如下,可以看到同样能执行phpinfo()函数,因此可以判断输入对象成功反序列化为test类对象,并自动执行了__destruct()函数。
    在这里插入图片描述
  2. 将test.php文件修改如下,将最后一行语句修改如下,再次实验。
<?php
class test{
	public $str='libai;';
	function __destruct(){
		echo "This is function __construct()";
		@eval($this->str);
	}
}
//$test1 = new test();
//echo serialize($test1);
//echo "<hr>";
$t = $_GET['obj'];
$t = unserialize($t);
?>
  1. 同样的参数访问,网页显示如下,可以看到同样能执行phpinfo()函数,因此可以判断输入对象成功反序列化为test类对象,并自动执行了__destruct()函数。
    在这里插入图片描述
  2. 我们发现,当销毁实例化类的时候,__destruct()函数会被自动调用,并输出字符串This is function __destruct()。
  3. 默认情况下,PHP仅仅释放对象属性所占用的内存并销毁对象相关的资源.,__destruct()允许你在使用一个对象之后执行任意代码来清除内存,当PHP决定你的脚本不再与对象相关时,__destruct()将被调用.,在一个函数的命名空间内,这会发生在函数return的时候,对于全局变量,这发生于脚本结束的时候,如果你想明确地销毁一个对象,你可以给指向该对象的变量分配任何其它值,通常将变量赋值勤为NULL或者调用unset。

3 PHP魔术方法归纳

  1. 以 __ 开头的的方法,是PHP中的魔术方法,在特定情况下会被自动调用。主要魔术方法如下:
魔术方法触发条件
__construct()构造方法,当一个对象被创建时调用此方法.
__destruct()析构方法,PHP将在对象被销毁前(即从内存中清除前)调用这个方法
__autoload()使用尚未被定义的类时自动调用。通过此函数,
脚本引擎在 PHP 出错失败前有了最后一个机会加载所需的类。
__call( $method, $arg_array )在对象中调用一个不可访问方法时
__callStatic()在静态上下文中调用一个不可访问的方法时使用
__clone()使用clone方法复制一个对象时
__invoke()当尝试调用函数的方式调用一个对象时
__get( $property )从不可访问的属性中读取数据
__set( $property, $value )给一个未定义的属性赋值时调用
__isset( $property )当在一个未定义的属性上调用isset()函数时调用此方法
__unset( $property )当在一个未定义的属性上调用unset()函数时调用此方法
__toString()在将一个对象转化成字符串时自动调用
__sleep()序列化对象前调用(其返回需要是一个数组),详见补充说明
__wakeup()反序列化恢复对象前调用,详见补充说明
__set_state()当调用var_export()时,这个静态方法会被调用
__invoke()当尝试以调用函数的方式调用一个对象时,__invoke 方法会被自动调用
  1. __sleep()和__wakeup()的补充说明
    1. serialize() 检查类中是否有魔术名称 __sleep 的函数。如果这样,该函数将在任何序列化之前运行。它可以清除对象并应该返回一个包含有该对象中应被序列化的所有变量名的数组。
    2. 使用 __sleep 的目的是关闭对象可能具有的任何数据库连接,提交等待中的数据或进行类似的清除任务。此外,如果有非常大的对象而并不需要完全储存下来时此函数也很有用。
    3. 相反地,unserialize() 检查具有魔术名称 __wakeup 的函数的存在。如果存在,此函数可以重建对象可能具有的任何资源。
    4. 使用 __wakeup 的目的是重建在序列化中可能丢失的任何数据库连接以及处理其它重新初始化的任务。

4 总结

  1. 理解PHP反序列化漏洞的触发原理;
  2. 了解PHP相关的魔术方法及调用情况。
Fighting_hawk
关注
专栏目录
php反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
DXfighting_的博客
04-15 2878
原理PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 防御: 1)签名与认证。 如果序列化的内容没有用户可控参数,仅仅是服务端存储和应用,则可以通过签名认证,来避免应用接受黑客的
反序列化漏洞-02PHP反序列化漏洞实验详解
cc
03-02 2861
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
PHP反序列化漏洞原理浅谈
wednesday的博客
07-12 826
序列化与反序列化 序列化就是指将数据结构或者对象状态转换成可取用的格式,以便在相同或者不同的计算机中进行数据的传输。 个人理解 就是将一个对象用一串字符表示出来用来进行通信和传输,一个类,里面包含很多方法和变量,不能直接以类这种格式进行传输,不然会传输很多的字符而且也不好识别。所以将类转换成一种固定的格式传输再进行逆向的转换这就是序列化与反序列化。 类比 淘宝上买个桌子,然后怎么送到你手里呢?如果将桌子整个送过来未免也太麻烦了,所以聪明的商家将桌子拆成很多个零部件进行运输,等到了目的地再将其进行组
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
HUANGXIN9898的博客
08-23 365
反序列化漏洞是一种安全漏洞,它允许攻击者将恶意代码注入到应用程序中。这种漏洞通常发生在应用程序从不安全的来源反序列化数据时。当应用程序反序列化数据时,它将数据从一种格式(例如JSON或XML)转换为另一种格式(例如对象或列表)。如果应用程序不检查数据的安全性,攻击者就可以将恶意代码注入到数据中。当应用程序反序列化数据时,恶意代码就会被执行,这可能导致应用程序被攻陷。首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法。
WEB安全-PHP反序列化漏洞原理
qq_59350385的博客
04-11 1767
一、漏洞原理 在提及漏洞前,首先要先理解PHP中的serialize()和unserialize()两个函数(由于没有PHP开发基础,请各位大哥指出小弟本文中的错误),serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储,再通过unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的magic function(魔术方法)来构造特定的语句,从而达到控制整个反
Web安全 PHP反序列化漏洞测试.(可以 防止恶意用户利用漏洞
网络安全领域___专研者.
03-25 4559
PHP反序列化漏洞的 概括: 开发的程序员 没有对用户输入的序列化字符串做一个严格检测,导致恶意的用户可以控制反序列化的一个过程,因此导致XSS漏洞,代码执行,SQT注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。在进行反序列化的时候就有可能触发对象中的一些魔术方法
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
反序列化漏洞原理和靶场实践
09-26
反序列化漏洞原理和靶场实践 序列化和反序列化PHP 中两个基本概念。序列化是将对象的状态信息转换为可以存储或传输的形式的过程,而反序列化是将存储的状态信息重新转换为对象的过程。 序列化的过程可以将对象...
反序列化漏洞总结
dreamthe的博客
11-24 3438
1.了解序列化和反序列化 在学习反序列化漏洞之前,需要了解什么是反序列化和序列化,我看到了一个很好的比喻,觉得很适合帮助大家对于两者理解,相信大家都在淘宝买过东西,不知道有没有买过那种小型家具,我有买过鞋柜,商家发货的时候不会将一个完好的鞋柜寄给你,第一因为中途可能会损坏,第二呢就是增加包装成本。所以商家都会将鞋柜所有部件打包寄过来,顾客拿到快递在自己根据安装教程安装好鞋柜。那么这里面就有两个过程,一个是商家将所以部件打包发走,一个是你拿到安装还原。那么序列化就是商家打包过程,反序列化就是将商品还原过程。
PHP反序列化漏洞研究
06-17
PHP反序列化漏洞研究 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来执行恶意... PHP反序列化漏洞是一个需要认真对待的安全漏洞,开发者应该了解这种漏洞原理和危害,并采取适当的防御机制来防止攻击。
php反序列化漏洞原理,PHP反序列化原理漏洞解析
weixin_29057237的博客
03-17 529
什么是PHP序列化PHP序列化与反序列化的过程一个反序列化漏洞的例子CVE-2016-7124一. 什么是PHP序列化与反序列化1. PHP序列化PHP序列化是指把变量转化成可保存或传输的字符串的过程,PHP序列化函数有serialize、json_encode。以下例子可以实现PHP序列化12345678910111213...
PHP反序列化漏洞原理(附带pikachu靶场演示)
m0_69043895的博客
04-18 1174
可以理解为程序在执行unserialize()函数是,自动执行了某些魔术方法(magic method),而魔术方法的参数被用户所控制(通过控制属性来控制参数),这就会产生安全问题。:也叫对象注入,就是当程序在进行反序列化时,会自动调用一些函数,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。要利用反序列化漏洞,必须向unserialize()函数传入构造的序列化数据(定义合适的属性值)。
Shiro反序列化漏洞检测及修复(工具分享)
热门推荐
weixin_46418540的博客
10-12 1万+
写在前面 这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。 我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 在此特别感谢其作者 feihong飞鸿。 下载地址 https://github.com/feihong-cs/S
php反序列化原理漏洞
rnn0921的博客
08-23 347
PHP 反序列化漏洞是指在 PHP 代码中存在的对用户输入数据进行反序列化操作时,未对输入数据进行充分验证和过滤,导致攻击者可以构造恶意的序列化数据,从而在服务器端执行任意代码或进行其他恶意操作的安全漏洞
php反序列化 魔术方法,浅析PHP反序列化漏洞PHP常见魔术方法(一)
weixin_31688167的博客
03-20 324
作为一个学习web安全的菜鸟,前段时间被人问到PHP反序列化相关的问题,以前的博客中是有这样一篇反序列化漏洞的利用文章的。但是好久过去了,好多的东西已经记得不是很清楚。所以这里尽可能写一篇详细点的文章来做一下记录。我们来参考这里:https://secure.php.net/manual/zh/language.oop5.magic.php我们根据官方文档中的解释,一个一个来进行测试。__cons...
浅谈PHP反序列化漏洞原理
ting2909的博客
09-25 710
序列化用途:方便于对象在网络中的传输和存储 1|10x01 php反序列化漏洞PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 序列化就是将对象转换为流,利于储存和传输的格式 反序列化与序列化相反,将流转换为对象 例如:json序列化、XML序列化、二进制序列化、SOAP序列化 而php...
[web安全原理]PHP反序列化漏洞
笑花大王
01-26 172
前言 这几天一直在关注新管状病毒,从微博到各大公众号朋友圈了解感觉挺严重的看微博感觉特别严重看官方说法感觉还行那就取中间的吧 自己要会对这个东西要有理性的判断。关注了好两天所以耽搁了学习emmm 希望病毒早点过去吧! 反序列化漏洞 序列化和反序列化 为了有效地存储或传递数据,同时不丢失其类型和结构,经常需要利用序列化和反序列化函数对数据进行处理。 反序列化函数返回字符串,此字符串包含了...
PHP反序列化漏洞——漏洞原理及防御措施
cldimd的博客
03-20 6860
序列化 将对象转换成字符串 反序列化 将特定格式的字符串转换成对象 什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可...
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值