反序列化漏洞-基础篇笔记

最新推荐文章于 2023-02-22 23:24:36 发布
最新推荐文章于 2023-02-22 23:24:36 发布
阅读量151 收藏
点赞数
分类专栏: 网络对抗技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lm19770429/article/details/108691239
版权

序列化与反序列化概述

serialize和unserialize就是解决这一问题的存在,serialize可以将变量转换为字符串,并且在转换中可以保存当前变量的值;而unserialize则可以将serialize生成的字符串变换回变量。

通过一个列子查看php对象序列化之后的格式

 对php对象进行反序列化

跟serialize和unserialize相关的一些magic函数

    __sleep magic方法在一个对象被序列化的时候调用。

    __wakeup magic方法在一个对象被反序列化的时候调用。

可以看到serialize的时候调用了__sleep,unserialize的时候调用了__wakeup函数,在对象销毁的时候调用了__destruct函数

    举个存在漏洞栗子。一个类用于临时将日志储存进某个文件,当__destruct被调用时,日志文件会被删除

调用这个类:test06.php

看到

    $usr = unserialize($_GET['usr_serialized']);

    $_GET['usr_serialized']是可控的,那么我们就可以构造输入删除任意文件的脚本

    如:构造输入删除目录下的1.php文件的过程

编写脚本:test07.php

访问得到序列化代码:得到序列化之后的字符串O:7:"LogFile":1:{s:8:"filename";s:5:"1.php";}

如图:

访问http://localhost/test06.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:5:"1.php";}得到如图

这时发现一个存在的1.php文件被删除了

常见的注入点以及防范方法

在上述实验中,展示了由于输入可控造成的__destruct函数删除任意文件,其实问题也可能存在于__wakeup、__sleep、__toString等其他magic函数,一切都是取决于程序逻辑。

    打个比方,某用户类定义了一个__toString为了让应用程序能够将类作为一个字符串输出(echo $obj) ,而且其他类也可能定义了一个类允许__toString读取某个文件。

获取exp,访问http://localhost/exp/test08.php

 触发漏洞,获取1.txt内容,访问http://localhost/test09.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:5:"1.txt";}

 

防范方法

Unserialize漏洞依赖几个条件

    1)unserialize函数的参数可控

    2)脚本中存在一个构造函数、析构函数、__wakeup()函数中有向php文件中写数据的操作的类

    3)所写的内容需要有对象中的成员变量的值

防范方法有:

    1)要严格控制unserialize函数的参数,坚持用户所输入的信息都是不可靠的原则

    2)要对于unserialize后的变量内容进行检查,以确定内容没有被污染

花纵酒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化漏洞汇总
hackzkaq的博客
12-08 5086
一.反序列化的基本内容 对象方法 (Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是的实例。 对象:通过定义的数据结构实例。对象包括两个数据成员(变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 型,比如人,犬; 对象是某种一个实例(实际的例子),比如身为人的你就是一个对象,你家养的狗就属于犬一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
java反序列化漏洞基础
02-22 605
近年来反序列化漏洞可谓被大家熟知,尤其是的在JAVA 程序中发现了大量的反序列化漏洞,这种漏洞危害极大,可以直接造成RCE,获取到权限,本人之前对于这个漏洞一致认识很浅薄,甚至对于利用方式和工具都不太清楚,本文是对java语言基础的序列化与反序列化行学习。
反序列化漏洞小白基础
jhfjdf的博客
09-08 132
反序列化漏洞序列化百度百科那么其中的对象是什么?反序列化 序列化 百度百科 序列化就是将对象的状态信息转化为可以存储或者传输的形式的过程。在序列化期间,对象可以将当前状态写入到临时或者持久性存储区。之后可以通过存储区来读取或者反序列化对象的状态,重新创建对象。 那么其中的对象是什么? 这里的对象肯定不是男女朋友那种“对象”。我们可以从自身出发,我们知道这个世界上存在着各种不同种的动物,猫科、鱼、猿、犬等,我们当然就是人。每种动物又都拥有着许许多多的“属性”和“方法”。 “属性”是什么?拿你自
常见的Web漏洞——反序列化漏洞
江左盟的博客
06-07 1万+
反序列化简介 序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。 反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二制数据流或文件加载到内存中还原为对象。 反序列化漏洞首次出现在2015。虽然漏洞较新,但利用十分热门。主要原因是对用户可控制的数据反序列化时,攻击者能够操纵序列化的对象,从而将精心构造的恶意数据传递到应用程序代码中
序列化与反序列化
林竹清_清清清
06-16 285
1、对象的序列化主要有用途:   1)把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2)在网络上传送对象的字节序列。 3)深克隆实现方式   在很多应用中,需要对某些对象行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象,当有10万用户并发访问,就有可能出现10万个Session对象,内存可能吃不消,于是We
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统行非法操作。 反序列化漏洞通常出现在应用程序接收到...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
小迪安全学习笔记--第37天:web漏洞--反序列化之PHP和java全解(上)
zr1213159840的博客
02-08 700
PHP反序列化 原理:未对用户输入的序列化字符串行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当反序列化的时候就有可能会触发对象中的一些魔术方法。 serialize ()//将一个对象转换成一个字符串 unseriglize ( )//将字符串还原成一个对象 触发: unserialize函数的变量可控,文件存在可利用的中有魔术方法: 参考: https://www.cnblogs.com/201752.
【小迪安全第37天】反序列化
weixin_54252904的博客
06-20 582
PHP反序列化 原理:未对用户输入的序列化字符串行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当反序列化的时候就有可能会触发对象中的一些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 演示一把 上代码 改代码中接受以get方式传过来的str参数的值,并且如果该值经过反序列化之后的值如果等于$key(xiaodi)时就输出flag 因此我
Json.Net反序列化漏洞
UKK
06-20 890
Json.Net反序列化漏洞 http://www.ifind.cc/view/229
反序列化漏洞详解
热门推荐
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
AMF反序列化/XXE/SSRF漏洞
公众号shadow sock7
12-04 3762
参考: CVE-2017-5641 Previous versions of Apache Flex BlazeDS (4.7.2 and earlier) did not restrict which types were allowed for AMF(X) object deserialization by default. Adobe/Apache Flex Java library 历史原因: Flex BlazeDS by Adobe (retired, contributed Flex
反序列化漏洞总结
dreamthe的博客
11-24 3374
1.了解序列化和反序列化 在学习反序列化漏洞之前,需要了解什么是反序列化和序列化,我看到了一个很好的比喻,觉得很适合帮助大家对于两者理解,相信大家都在淘宝买过东西,不知道有没有买过那种小型家具,我有买过鞋柜,商家发货的时候不会将一个完好的鞋柜寄给你,第一因为中途可能会损坏,第二呢就是增加包装成本。所以商家都会将鞋柜所有部件打包寄过来,顾客拿到快递在自己根据安装教程安装好鞋柜。那么这里面就有两个过程,一个是商家将所以部件打包发走,一个是你拿到安装还原。那么序列化就是商家打包过程,反序列化就是将商品还原过程。
PHP反序列化漏洞 CVE-2016-7124
最新发布
07-28
CVE-2016-7124是一种PHP反序列化漏洞,影响了PHP版本5.6.25以及之前的版本以及7.0.10以及之前的版本。这个漏洞允许攻击者通过构造恶意的序列化数据来执行任意的PHP代码。 通过利用这个漏洞,攻击者可以在受影响的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值