面试php反序列化、java反序列化原理和常见函数

最新推荐文章于 2024-07-28 08:43:29 发布
最新推荐文章于 2024-07-28 08:43:29 发布
阅读量3.2k 收藏 9
点赞数 1
分类专栏: owasp top10 文章标签: php java web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52556798/article/details/123568125
版权

关于反序列化,我更多的只是针对php和Java,把原理看懂了点,后面还会对反序列化进行详细总结
1.什么是序列化和反序列化?
序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象
也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化与反序列化

用途:
  1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;
  2) 在网络上传送对象的字节序列。

php反序列化:

序列化的函数:string serialize ( mixed $value )
当调用serialize()函数序列化对象时,该函数会检查类中是否存在一个魔术方法__sleep()。
如果存在,该方法会先被调用,然后才执行序列化操作。可以通过重载这个方法,从而自定义序列化行为。
该方法原型如下:
public array __sleep ( void )
该方法返回一个包含对象中所有应被序列化的变量名称的数组
该方法未返回任何内容,则 NULL 被序列化,并产生一个E_NOTICE级别的错误
__sleep()不能返回父类的私有成员的名字。这样做会产生一个E_NOTICE级别的错误。这时只能用Serializable接口来替代。
常用于保存那些大对象时的清理工作,避免保存过多冗余数据

**反序列化的函数:mixed unserialize ( string KaTeX parse error: Expected group after '_' at position 179: …之后,PHP会自动地试图去调用_̲_wakeup()成员函数(如…this->username的值不为空
反序列化时,会尽量将变量值进行匹配并复制给序列化后的对象

php的魔法函数:
  _construct() 当一个对象被创建时调用
  _destruct() 当一个对象被销毁时调用
  _toString() 当一个对象被当作一个字符串使用
  _sleep() 在对象再别序列化之前运行
  _wakeup() 将在序列化之后调用

对象注入
当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就会产生漏洞。
因为PHP允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数,最终导致一个在该应用范围内的任意PHP对象注入。
对象漏洞出现得满足两个前提:
一、unserialize的参数可控。
二、 代码里有定义一个含有魔术方法的类,并且该方法里出现一些使用类成员变量作为参数的存在安全问题的函数。
例子:

<?php class A{ var $test = "demo"; function __destruct(){ echo $this->test; } } $a = $_GET['test']; $a_unser = unserialize($a); ?>

比如这个列子,直接是用户生成的内容传递给unserialize()函数,那就可以构造这样的语句
?test=O:1:“A”:1:{s:4:“test”;s:5:“lemon”;}
在脚本运行结束后便会调用_destruct函数,同时会覆盖test变量输出lemon。

java反序列化
Java中的API实现:
  位置: Java.io.ObjectOutputStream   java.io.ObjectInputStream
  序列化:  ObjectOutputStream类 --> writeObject()
        注:该方法对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中
          按Java的标准约定是给文件一个.ser扩展名
  反序列化: ObjectInputStream类 --> readObject()   
        注:该方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

1****.漏洞触发场景****
在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:
  1)HTTP请求中的参数,cookies以及Parameters。
  2)RMI协议,被广泛使用的RMI协议完全基于序列化
  4)JMX 同样用于处理序列化对象
  5)自定义协议 用来接收与发送原始的java对象

  1. 漏洞挖掘
      (1)确定反序列化输入点
        首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
         1)源码审计:寻找可以利用的“靶点”,即确定调用反序列化函数readObject的调用地点。
       2)对该应用进行网络行为抓包,寻找序列化数据,如wireshark,tcpdump等
        注: java序列化的数据一般会以标记(ac ed 00 05)开头,base64编码后的特征为rO0AB。
      (2)再考察应用的Class Path中是否包含Apache Commons Collections库
      (3)生成反序列化的payload
      (4)提交我们的payload数据

如何发现java反序列化漏洞
通过检索源码中对反序列化函数的调用来静态寻找反序列化的输入点
可以搜索以下函数:
ObjectInputStream.readObject
ObjectInputStream.readUnshared
XMLDecoder.readObject
Yaml.load
XStream.fromXML
ObjectMapper.readValue
JSON.parseObject

在实战过程中,我们可以通过抓包来检测请求中可能存在的序列化数据。
序列化数据通常以AC ED开始,之后的两个字节是版本号,版本号一般是00 05但在某些情况下可能是更高的数字。

我是李现大王
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【精选】PHP&java 序列化反序列化漏洞
人若无名,便可专心练剑
01-22 259
PHP 中的反序列化是指将序列化的数据转换回其原始的 PHP 对象或数组的过程。在 PHP 中,你可以使用 unserialize 函数来进行反序列化操作。
(37)【PHP反序列化PHP反序列化原理函数、利用过程
04-17 3692
【专题】PHP反序列化利用
java 反序列化php对象_PHP 序列化反序列化函数实例详解
weixin_28847199的博客
03-07 176
序列化反序列化把复杂的数据类型压缩到一个字符串中serialize() 把变量和它们的值编码成文本形式unserialize() 恢复原先变量1.创建一个$arr数组用于储存用户基本信息,并在浏览器中输出查看结果;$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$a...
什么是反序列化反序列化的过程,原理
热门推荐
kali_Ma的博客
12-16 1万+
本篇主要分析java序列化反序列化的过程,原理, 并且通过简化版URLDNS做案例分析利用链原理
带你了解Java序列化(Serializable)与反序列化
m0_75232472的博客
04-21 826
其实我投简历的时候,都不太敢投递阿里。因为在阿里一面前已经过了字节的三次面试,投阿里的简历一直没被捞,所以以为简历就挂了。对比我的面经和其他大佬的面经,自己真的是运气好。别人8成实力,我可能8成运气。所以对我而言,我要继续加倍努力,弥补自己技术上的不足,以及与科班大佬们基础上的差距。希望自己能继续保持学习的热情,继续努力走下去。
必须知道的两个基本Java反序列化(护网蓝初面试干货)
Welcome To Myon'Blog !
06-09 546
1、反序列化漏洞 2、Fastjson 3、Shiro 4、其他 (1)CSRF、SSRF、重放攻击的区别 (2)提权 (3)常见端口号对应的服务 (4)SQL注入写shell
hw蓝队初级面试总结_weblogic反序列化流量特征
2401_84253089的博客
04-28 664
使用@type的value字段执行反序列化的类,例如JdbcRowSetImpl这个类,接着将这个类中的成员变量datasourcename的value值设为rmi远程加载类,这样fastjson在将传入的类反序列化、实例对象后,会通过成员变量传入的value值,请求rmi服务器,最后rmi返回远程类,fastjson执行这个远程恶意类。3、修改/etc/profile的文件,在尾部添加相应显示间、日期、ip、命令脚本代码,这样输入history命令就会详细显示攻击者 ip、时间历史命令等;
Java 反序列化漏洞面试常见问题
薛定谔嘚喵博客
05-20 991
注意:Java 反序列化数据开头包含两字节的魔术数字,这两个字节始终为十六进制的0xac 0xed,接下来是两字节的版本号这里为0x00 0x05。大多数反序列化漏洞造成RCE 攻击是没有回显的,利用dnslog 平台,在RCE 的时候构造DNS 请求,如果dnslog 平台能够收到DNS 请求,说明RCE 成功,也就验证了漏洞存在性。T3 协议有自己的流量特征。反序列化标志:T3 协议中每个反序列化数据包前面都带有fe 01 00 00,而后再加上Java 反序列化标志ac ed 00 05。
网络传输: 序列化反序列化
m0_60259116的博客
07-28 818
网络传输: 序列化反序列化
2018最新BAT面试题.zip
01-30
- 文件操作:读写文件、流操作、序列化反序列化。 - 异常处理:try-except-finally结构,自定义异常。 **4. 前端** 前端开发通常涉及HTML、CSS和JavaScript,面试中可能涵盖: - HTML5:新特性、语义化标签、表单...
PHP mysql基础知识技术考题分享,用于面试,考题用
10-20
7. 使用`serialize`函数可以将类的属性序列化保存到session中,之后通过`unserialize`恢复。 【GD库】GD库是PHP中的图像处理库,用于创建、修改和操作图像,支持多种格式,如JPEG、PNG、GIF等,常用于图像处理,如...
2021Java字节跳动面试题——面向字节_Memcached.pdf
01-29
- **灵活的数据格式**:不同的客户端可以使用不同的数据序列化方法来存储数据(如Perl Storable、PHP serialize、Java Hibernate、JSON等),这提供了很大的灵活性。 #### 四、Memcached与MySQL Query Cache的比较 ...
护网面试题总结+DD安全工程师笔试问题
10-14
知识点:在 PHP 环境下,通过使用 disable_functions 来禁用一些敏感函数,但是攻击者仍然可以通过其他方式来实现任意命令执行,例如使用 PHP反序列化漏洞或使用 PHP-FPM 的漏洞。 10. Android APP 逆向分析步骤...
护网面试题总结+安全工程师笔试问题
01-06
16. OWASP Top 10漏洞:SQL注入、身份验证失效、敏感数据泄露、XXE、访问控制失效、安全配置错误、XSS、不安全反序列化、使用已知漏洞的组件、不足的日志记录和监控。 17. 正向代理与反向代理的区别:正向代理...
经典Python面试题之Python基础篇.docx
07-20
### 经典Python面试题知识点解析 #### 1. 为什么学习Python? - **易学性**: Python 的语法简洁明了,易于上手,适合初学者快速入门编程。 - **广泛应用**: 在数据科学、Web 开发、自动化脚本、网络爬虫等领域有着...
PHP笔试题-归宗
04-06
从给定的文件信息中,我们可以总结出一系列与PHP编程相关的知识点,涵盖了基本概念、面试常见问题、数据库操作、安全措施、以及高级编程技巧。以下是详细的解析: ### 1. GET与POST提交方法的区别 GET和POST是HTTP...
PHP商城案例
王世凡的技术博客
07-26 365
http://www.e9933.com/
PHP框架详解 - symfony框架
最新发布
丁爸的博客
07-28 556
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
Java对象序列化反序列化详解
了解和掌握Java对象的序列化反序列化技术对于开发涉及数据持久化和网络通信的项目至关重要。这不仅可以帮助开发者保存和恢复对象状态,还可以方便地在网络中传输对象,提高程序的效率和灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值