php反序列化漏洞基础入门

最新推荐文章于 2024-06-18 16:51:45 发布
最新推荐文章于 2024-06-18 16:51:45 发布
阅读量999 收藏 17
点赞数 1
分类专栏: web安全 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41079177/article/details/102944405
版权

反序列化详解

什么是php反序列化

序列化是php用来打包传输数据的一种方式,就像是货物运输时将大的货物拆卸成小的货物,然后传输到了规定的地点之后在进行拼装的过程,反序列化就是从小物件来进行拼装的过程,整体围绕着serialize()以及unseralize()两个函数进行.在php应用之中序列化已知作为缓存使用,比如session,cookie等,常见的序列化格式有:二进制字符串    字节数组    json字符串    xml字符串,一般序列化问题的形成都是因为php中魔法函数导致比如:
vodi_wakeup() //unserialize() 会检查是否存在一个此方法,如果存在,就会先进行_wakeup方法的调用,预先准备对象需要的资源.
void__construct()    //具有构造函数的类在每次创建新对象的时候先调用这个方法.
void__destruct()    //析构函数会在到某个对象的所有引用都被删除或者当对象被销毁时执行.
string__toString (void)    //方法常用于一个类被当成字符串时应怎么样回应,例如 echo $obj;应该显示些什么.此方法必须返回一个字符串,否则将发出一条E_RECOVERABLE_ERROR级别的致命错误.

举个例子:

json,json的传输形式就是一种序列化,json将数据进行转化为数组然后进行专门的传输.比如json_encode()    json_decode()    这两个函数
image.png
我们在这里把这个book进行了一种数组的序列化,从而产生了一种序列化之后的数据:
image.png
序列化之后就会变成一种键值对的方式,从而便于传输,这就是json传输的方式.

serialize()

那么关于php中对象的序列化就要用到serialize()函数了,传递信息都必须时重要并且用于存储特征字符,比如对象的名称所以我们用freebuf上一位师傅的图来了解一下序列化后的对象存储的方式.
image.png
源码运行之后便是:
image.png
那么这些组合是怎么来的呢?

存贮过程就是这个样子,要注意的是序列化代码的时候由于属性的设置会导致绕过.由于一些魔法方法,服务器能够接收我们反序列化过后的字符串并且未经过滤的变量放到魔术方法中就会产生漏洞

漏洞

源码:

<?php
class A{
	var $test= "demo";
  function __destruct() //在本类被删除的时候会进行函数调用
  {
    echo $this->test;
  }
$a = $_GET['test'];
$a_unser = unserialize($a);
}

如果你手动序列化了 CLASS A , 那么,这里unserialize()函数就会将序列化的信息反制从而导致对象的产生,当对象消除时就会导致//    $this->test    //     的执行,所以从而看到如图:

$a_unser = new A;

image.png
这样我们通过控制A中的成员内容就可以成功达到任意输出的情况。

例题

举个ctf中的反序列化的例题:jarvisoj 神盾局
我们直接上源码:
    根据题目提示,我们知道flag存放在 pctf.php中,而我们要读取pctf.php我们就需要第一张图片的反序列化,之后就能够利用反序列化中的函数来进行读取文件,而变量名就是file    类名是Shield,这样我们便能确定了如何构造payload了:

O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}		//构造成功,我们只需要get('class')将参数传进去即可

http://web.jarvisoj.com:32768/index.php?class=O:6:%22Shield%22:1:{s:4:%22file%22;s:8:%22pctf.php%22;}
查看源代码即可获得flag
   
相信通过例题你对反序列化有了更深层次的理解,但是如果类中的变量进行了保护属性或者是私有属性从而无法通过直接的序列化来进行传值,那么我们会有其他的办法.

__wakeup的绕过

(cve-2016-7124)
反序列化时如果表示对象属性个数的值大于真实属性个数时,就会自动默认跳过__wakeup()的执行.

影响版本:
PHP before 5.6.25
7.x before 7.0.10

绕过源码:

<?php
class A{
        var $test = "demo";
        function __destruct()
        {
            echo $this->test;// TODO: Implement __destruct() method.
        }
        function __wakeup()
        {
            echo "wakeup!"."<br/>";// TODO: Implement __wakeup() method.
        }
}
$a = $_GET['test'];
$a_unser = unserialize($a);
?>

运行结果如下:
image.png
此时__wakeup()会在对象实例化之前运行所以先输出了wakeup!,如果我们需要绕过只需要将对象中的属性值修改即可
image.png
可以看到成功执行了我们输入的命令.

注入对象构造

当目标对象被protected    private时,我们可以通过特殊的方法进行构造绕过:
源码

<?php
class A{
        protected $test = "demo";
        private $test2 = "test";
        function __destruct()
        {
            echo $this->test."<br/>";// TODO: Implement __destruct() method.
            echo $this->test2;
        }
}
$a = $_GET['test'];
$a_unser = unserialize($a);
?>

此时test以及test2已经被特殊属性保护起来,我们这个时候通过传入普通的序列化的字符串无法对对象进行修改:
image.png
我们此时需要进行特殊绕过:

如果对象拥有    private属性我们可以将有此属性的变量修改为 %00A%00test2
也就是说这里我们需要将变量名加上三个字符,两个为%00,中间一个为类名 A
如果对象拥有    protected属性时我们可以将有此属性的变量修改为 %00*%00test
也就是说在原来变量名上加了三个字符,两个为%00,中间为为一个 *

对比:
原来:

http://127.0.0.1/serialze.php?test=O:1:"A":2:{s:4:"test";s:6:"sussce";s:5:"test2";s:7:"sussce2";}

现在:

http://127.0.0.1/serialze.php?test=O:1:"A":2:{s:7:"*test";s:6:"sussce";s:8:"Atest2";s:7:"sussce2";}

可以看到我们第二个在修改具有私有类型的变量时我们加了%00A%00    在修改具有保护类型的变量时我们加了%00*%00    我们得到:
image.png
所以我们成果的绕过进行了修改;

Session的反序列化构造

php中的Session经过序列化后存储,读取时在进行反序列化.
相关配置
session.save_path=""    //设置session的存储路径
session.save_handler=""    //设定用户自定义存储函数,如果想使用php内置会话存储机制之外的可以使用本函数
session.auto_start boolen    //指定绘画模块是否在请求开始时启动一个会话默认为0不启动
session.serialize_handler string    //定义用来序列化/反序列化的处理器的名字. 默认使用php
session的所有配置文件:
image.png
其中PHP中有三种序列化处理器,如下表所示:

其中如果两个页面设置的session序列化/反序列化的处理器不一样的化就会导致一些反序列化的错误
session使用的代码为:

<?php
session_start();
$_SESSION['test'] = $_GET['test'];
echo session_id();
?>

其中session的为session_id,储存内容为序列化后的session :     test|s:“test” ;
如下图:
image.png
image.png
在存储session的文件中    (这个文件路径可以通过上面phpinfo();函数来看到):
image.png    
即可以看出,在存储文件中,test = test 的内容为 test | s:4:“test”    他的session值为c5amt5am2tujj531m9f5ciqk25
所以我们可以根据不同的php序列化工具来进行攻击.
漏洞代码:

<?php
//xl.php
ini_set("session.serialize_handler","php");
session_start();
class demo3{
    var $test='test';
    function __wakeup()
    {
        echo 'wakerup!.<br/>';// TODO: Implement __wakeup() method.
    }
    function __destruct()
    {
        echo $this->test;// TODO: Implement __destruct() method.
    }
}
?>
<?php
//session.php
ini_set('session.serialize_handler',"php_serialize");
session_start();
$_SESSION['test'] = $_GET['test'];
echo session_id();
?>

这是两个不同的php文件其中xl.php中使用的session序列化处理器为php    而session中的序列化处理器为php_serialize,此时我们可以构造实例来进行任意生成实例对象:
由于我们传值时在serialize()的结果前面加上    |    ,当使用php处理器时,就会把    |    后面的内容反序列化,从而调用xl.php中的__wakeup()方法和__destruct();
示例:
image.png
image.png
这样就完成了任意的反序列化对象的构造.

PHAR利用

phar简介

phar简单来说就是php压缩文档,它可以把多个文件归档到同一个文件中,并且不用经过解压就可以被php访问执行,与file://    php:// 等类似.也是一种流包装器
所以可以用来进行上传绕过!!!新的sao姿势有没有
phar有四个部分组成:
stub phar 文件标识
这部分稍后再补充顺便带上绕过方式~~~

神林丶
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pikachu漏洞平台练习——PHP序列化与反序列化PHP反序列化漏洞
7Riven's blog
11-13 1015
1.序列化serialize()与反序列化unserialize() 序列化:把一个对象变成可以传输的字符串。 反序列化:把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。 举例说明如下: <?php Class a{ Var $test = 'test'; } $a = new a(); Echo serialize($a);//序列化成为一个字符串形式 $b=uns...
TOP10之反序列化
weixin_44255856的博客
12-09 611
前言 虽然php反序列化的文章,网上一搜一大把,但是我还是想记录下,方便以后忘了自己在回头来看。 反序列化是什么? 通俗的来说: 序列化是将变量转换为可保存或传输的字符串的过程; 反序列化就是在适当的时候把这个字符串再转化成原来的变量使用; 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性; 序列化有利于存储或传递 PHP 的值,同时不丢失其类型和结构。 通常在使用反序列化时都会...
C php反序列化,php反序列化漏洞 - anansec的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_30467861的博客
04-01 57
反序列化本身是没有漏洞的,但是当反序列化和一些魔术方法结合使用时就可能会产生安全风险。常用的魔术方法__wakeup反序列化漏洞示例(__wekeup)class A{var $test = "demo";function __wakeup(){eval($this->test);}}$b = new A();$c = serialize($b);$a = $_GET['test'];$a_...
风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示
风炫的博客
01-06 360
风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示 0x02 反序列化漏洞利用 反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个序列化的对象,而序列化的对象只含有对象的属性,那我们就要利用对对象属性的篡改实现最终的攻击。 01对象注入 当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就会产生漏洞。因为PHP允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数,最终
PHP反序列化
最新发布
q
06-18 1086
PHP & JavaEE & Python(见图)序列化:对象转换为数组或字符串等格式反序列化:将数组或字符串等格式转换成对象serialize() //将对象转换成一个字符串unserialize() //将字符串还原成一个对象。
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1708
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
PHP反序列化漏洞
Mi1k7ea
12-08 1098
序列化与反序列化 通常我们定义了一个类的对象,其中保存了一些属性值,为了方便下次可以继续使用在这个对象或者在其他的文件中可以使用该对象,于是就可以调用serialize()函数将该对象序列化为字符串的形式,将该字符串保存起来,等到需要使用该对象时只需将该字符串传过去并调用unserialize()函数对其反序列化即可。 serialize():将一个对象转成字符串形式,方便保存以便于下次再次反...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
php代码审计_代码审计|PHP反序列化初识
weixin_39960145的博客
11-25 126
第一章 写在开头在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:反序列化漏洞如何利用。从事工作也一年了,也遇到过反序列化漏洞,发现啊,反序列化漏洞真的黑盒很难发现,即使发现了也好难利用。但是有时...
(37)【PHP反序列化PHP反序列化原理、函数、利用过程
04-17 3686
【专题】PHP反序列化利用
protected函数中含有private属性,此类被继承后,此属性是否有效
系统运维
04-10 144
答案是肯定的,以下面代码为例: &lt;?php class A { private $var; protected function fun() { $this-&gt;var = 'Hello var!'; echo $this-&...
反序列化漏洞PHP
qq_42383069的博客
05-18 6454
反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化和反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
手把手教你PHP反序列化漏洞
qq_62099202的博客
08-08 1414
什么是序列化 序列化是将变量转换为可保存或传输的字符串的过程 反序列化就是在适当的时候把这个字符串再转化成原来的变量使用 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性 简单来说就是将一大段对象压缩成字符串 例如,可以序列化一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象,或者和其它应用程序共享使用。反之,反序列化根据流重新构造对象
php反序列化漏洞(万字详解)
永不落的梦想
07-26 3682
php反序列化万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session反序列化、phar反序列化、原生类的利用以及各种绕过方式。
深入解析PHP反序列化漏洞
"理解PHP反序列化漏洞-berTrAM在漏洞银行大咖面对面的讲解" 在信息安全领域,PHP反序列化漏洞是一种常见的安全问题,它源于PHP的序列化和反序列化机制。首先,我们需要理解PHP中的类和对象的概念。类是编程中的一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值