不安全的反序列化

最新推荐文章于 2024-05-13 09:54:26 发布
最新推荐文章于 2024-05-13 09:54:26 发布
阅读量621 收藏
点赞数
分类专栏: WEB漏洞 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60052233/article/details/120272506
版权

01 为什么要序列化

 

        序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”。在序列化期间内,将对象当前状态 写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。

        简单的说,序列化就是把⼀个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的 进⾏通信。

02 PHP 中的序列化与反序列化

        PHP 的反序列化漏洞也叫PHP 对象注⼊,是⼀个⾮常常⻅的漏洞,这种漏洞在某些场景下虽然有些难 以利⽤,但是⼀旦利⽤成功就会造成⾮常危险的后果。

        漏洞形成的根本原因就是程序没有对⽤户输⼊的反序列化字符串进⾏检测,导致反序列化过程可以被恶 意控制,进⽽造成代码执⾏、GetShell 等⼀系列不可控的后果。反序列化漏洞并不是PHP 特有的,也存 在与Java、Python 语⾔中。其原理基本相同。

serialize();
unserialize();

        简单的例⼦ - JSON 数据

        JSON 是数据的⼀种表达形式,与Python ⾥的字典类似。

// json.php
//?name=ajest&age=18&sex=true&score=89.9
$stu = array(
 'name' => 'AJEST',
 'age' => 18,
 'sex' => true,
 'score' => 89.9
);
echo $stu;
echo "<hr />";
$stu_json=json_encode($stu);
echo $stu_json;
$stu_json_decode = json_decode($stu_json);
echo "<hr />";
var_dump($stu_json_decode);
echo "<hr />";
echo $stu_json_decode -> name;

        序列化Demo    

        #序列化与反序列化

                #  主要是针对对象

                抽象的数据结构 --序列化--> 字符串 --反序列化--> 抽象的数据结构

       #创建⼀个类

// stu.class.php
class Stu{
 public $name;
 public $age;
 public $sex;
 public $score;
}

        #创建对象

<?php
// serialize.php
include "stu.class.php";
$stu1 = new Stu();
$stu1 -> name = "AJEST";
$stu1 -> age = 24;
$stu1 -> sex = true;
$stu1 -> score = 99.9;
//var_dump($stu1);
//echo $stu1;
$stu1_ser = serialize($stu1);
echo $stu1_ser;
?>

          #序列化后的字符串

O:3:"Stu":4: {s:4:"name";s:5:"AJEST";s:3:"age";i:24;s:3:"sex";b:1;s:5:"score";d:99.90000 0000000006;}

         #反序列化

<?php
// unserialize.php
include "./stu.class.php";
if(!empty($_GET['obj'])){
 $str = $_GET['obj'];
}else{
 $str = 'O:3:"Stu":4:
{s:4:"name";s:5:"AJEST";s:3:"age";i:18;s:3:"sex";b:1;s:5:"score";d:89.9000
00000000006;}';
}
echo $str;
echo "<hr />";
$stu1 = unserialize($str);
//echo $stu1;
var_dump($stu1);
?>

3 漏洞何在?

        

<?php
// stu.class.php
class Stu{
 public $name;
 public $age;
 public $sex;
 public $score;
}
?>
<?php
 //vul.php
include "vul.class.php";
$test = new Test();
echo serialize($test);
echo "<hr />";
$test = unserialize(@$_GET['obj']);
var_dump($test);
?>

反序列化执⾏代码

O:4:"Test":1:{s:3:"str";s:5:"AJEST";}
O:4:"Test":1:{s:3:"str";s:12:"dnsec.com.cn";}
O:4:"Test":1:{s:3:"str";s:10:"phpinfo();";}

 

白芳草
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
java反序列化工具
11-21
然而,这个过程也可能引入安全风险,因为不安全反序列化可能导致远程代码执行(RCE)漏洞。 在给定的标题和描述中,提到了几个关键的服务器端应用平台:JBoss、WebLogic和WebSphere。这些都是流行的Java企业级...
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
应用安全系列之二十五:不安全反序列化
jimmyleeee的专栏
04-07 1420
序列化过程是将一个对象转换成一种数据格式以有利于存储或者传输。而反序列化则是一个相反的过程,把一定格式的数据转变成一个对象。比较流行的数据格式包括:XML,JSON。 这种反序列化过程,当出现输入的数据可以被篡改或者控制时,他可以用于发起攻击,攻击的结果包括但不限于:DOS、访问控制、以及RCE等。 DOS攻击 以Java语言为例,如果构造的一个对象里有一个数组对象,而数组对象的大小被改为整形的最大值,就会导致在反序列化时,分配一个超大的数组,进而导致OutOfMemoryError 错误。 访问控
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复(1)
最新发布
2401_84132565的博客
05-13 891
在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致。将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!
FastJson中AutoType反序列化漏洞
qq_53058639的博客
02-20 1255
在Fastjson
程序员都需要懂的10种常见安全漏洞
lixinkuan的博客
05-27 4275
1. SQL 注入 1.1 什么是SQL注入? 1.2 SQL注入是如何攻击的? 1.3 如何预防SQL注入问题 2. JSON反序列化漏洞——如Fastjson安全漏洞 2.1 什么是JSON序列化,JSON发序列化 2.2 JSON 反序列化漏洞是如何被攻击? 3. XSS 攻击 3.1 什么是XSS? 3.2 XSS是如何攻击的? 3.3 如何解决XSS攻击问题 4. CSRF 攻击 4.1 什么是CSRF 攻击? 4.2 ...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
shiro反序列化脚本.zip
07-28
当不安全反序列化发生时,恶意用户可能会提供一个特制的序列化流,导致在反序列化过程中执行非预期的代码。 综上所述,这个压缩包包含的资源可以帮助我们理解和利用Apache Shiro的反序列化漏洞。首先,我们需要...
反序列化工具
11-14
然而,反序列化也可能带来安全风险,因为恶意用户可以构造特殊的序列化数据来触发未预期的行为,甚至执行任意代码。 标题中的“反序列化工具”通常是指用于检测和测试这些安全漏洞的软件。例如,`Burpsuite Pro`是...
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。
json直接转动态类型,反序列化避免新建实体类。
07-14
json直接转动态类型,反序列化避免新建实体类。
【WEB安全】不安全反序列化
weixin_43025534的博客
05-23 1508
序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。**序列化是指将对象或数据结构转换为字节流的过程。**在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来,以后可以通过反序列化操作重新构建对象并恢复其状态和数据。**反序列化是指将序列化后的字节流转换回对象或数据结构的过程。
安全反序列化_漏洞预警 | Jackson 多个反序列化安全漏洞
weixin_39814925的博客
12-11 235
0x00 漏洞编号CVE-2020-246160x01 危险等级中危0x02 漏洞概述Fasterxml Jackson 是美国 Fasterxml 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。Fasterxml jackson-databind 2.9.10.6之前的版本中存在安全漏洞,该漏洞源于进行了不安全的反序...
关于反序列化漏洞的一些理解
才不是小弱鸡的博客
09-16 9470
  php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的...
关于JSON反序列化的坑(JAVA)
Ying的博客
07-12 2638
RestTemplate的getForObject() public void test() { // 使用方法一,不带参数 String url = "https:/://xxx/xx/x?id=666106231640"; Data data = restTemplate.getForObject(url, InnerRes.class); System.out.println(data...
OWASP Top 10 2017 中文版2
08-03
发布于2017年的这一版本,相较于前作,新增了两个关键的关注领域:A8 - 不安全反序列化和不足的日志记录和监控。这些新增的风险反映了随着技术进步,攻击者可能利用的新兴漏洞。 "开源Web应用安全项目" (OWASP) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值