PHP反序列化漏洞

最新推荐文章于 2023-08-23 10:18:13 发布
最新推荐文章于 2023-08-23 10:18:13 发布
阅读量366 收藏 1
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43305301/article/details/104172818
版权

疫情严重,在家也要保持学习
先简单介绍一下序列化和反序列化。

序列化与反序列化

序列化是指将对象的状态信息转换为存储和传输的形式的过程。
在PHP中,其指的是将变量和对象转换为某种制式字符串的形式,主要用到的是下面两个函数。

Serialize和Unserialize函数

现有一个类:

class YGDX{
    public $pub = 'pubstr';
    private $pri = 'pristr';
    protected $pro = 'prostr';
}
//对其进行序列化
$obj= new YGDX();
$obj_se = serialize($obj);

此时字符串$obj_se的值即序列化后的值如下:

O:4:"YGDX":3:{s:3:"pub";s:6:"pubstr";s:9:"YGDXpri";s:6:"pristr";s:6:"*pro";s:6:"prostr";}

常见元素(即表中element)格式:

字母类型格式
OclassO:strlen(obj_name):obj_name:size:{element1;element2;...}
aarraya:size:{element1;element2;...}
sstrings:size:value;
iintegeri:value;
NnullN;
bbooleanb:value;

将一个序列化后的字符串反序列化:

$obj2_se = 'O:4:"YGDX":3:{s:3:"pub";s:6:"pubstr";S:9:"\00YGDX\00pri";s:6:"pristr";S:6:"\00*\00pro";s:6:"prostr";}';
$obj2 = unserialize($obj2_se);
var_dump($obj2);

得到:

object(YGDX)#1 (3) {["pub"]=>string(6) "pubstr" ["pri":"YGDX":private]=>string(6) "pristr"["pro":protected]=>string(6) "prostr" }

注意到其实每个元素的value与声明它的类型有关。以上面的类为例,具体如下:

类型参数形式
Publics:3:"pub"
PrivateS:9:"\00YGDX\00pri"ors:13:\00YGDX\00pri"
ProtectedS:6:"\00*\00pro"ors:10:"\00*\00pro"

注:类型为s时,\00被视为3个字符;类型为S时,\00被视为1个字符。
更具体的信息可以参考这篇博客,写的很详细。

反序列化漏洞

反序列化漏洞存在的必要条件为:存在可以利用的类,且类中存在魔术方法。

常见魔术方法
方法描述
__construct()当一个对象创建时被调用。
__destruct()当一个对象销毁时或者php代码执行完毕时被调用。
__toString()当一个对象被当作一个字符串使用
__sleep()在对象在被序列化之前运行
__wakeup()将在反序列化之后立即被调用
0x00 __wakeup可被绕过

(CVE-2016-7124)
反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup()的执行。
反序列化时进行的对象属性数量检查如果出现异常,则不会调用__wakeup方法,但是这个时候对象已经被创建,且创建后会被销毁,于是导致__destruct直接执行。

我的PHP版本过高,暂时不能复现这个漏洞,回头补上。

存在该漏洞的PHP版本
version<5.6.25
version=7.0.0
0x01 对象注入

举例说明。
构造代码:

<?php
class f1{
    var $kaleido;
    function __construct(){
        $this->kaleido = new f2;
    }
    function __destruct(){
        $this->kaleido->func();
    }
}
class f2{
    function func(){
        echo "now using class_f2's function";
    }
}
class f3{
    function func(){
        echo "now using class_f3's function";
    }
}
unserialize($_GET['input']);

理论上讲,f1kaleido参数为f2的一个对象,如果创建一个f1对象,将输出now using class_f2's function,但我们构造如下payload:

http://xxxxxx?input=O:2:"f1":1:{s:7:"kaleido";O:2:"f3":0:{}}

输出了now using class_f3's function,即通过注入对象的方式实现了其他同名方法的执行。

0x02 session反序列化漏洞

在一般情况下,Session是以一个文件的形式保存的。一个Session对应的是一系列键值对,要存储下来,首先会进行序列化处理。PHP存在一个配置项session.serialize_handler,定义了序列化默认使用的处理器名字,默认值为php
上面介绍的序列化方式所对应的处理器为php_serialize,与php方法是不同的。
所谓Session反序列化漏洞即利用了不同处理器的格式差别,使用精心构造过的数据,导致一些意料之外的情形发生。
下举例说明。
构造代码:

<?php
ini_set("session.serialize_handler", 'php_serialize');  //暂时设定处理器为上文介绍的那种
session_start();
if(isset($_GET['input'])){
    $input = $_GET['input'];
    $_SESSION['name']=$input;
}
var_dump($_SESSION);

我们输入input

xxxx?input=|s:6:"asdfgh";}

此时后台session存储的值为:

a:1:{s:4:"name";s:15:"|s:6:"asdfgh";}";}

故输出为:

array(1) { ["name"]=> string(15) "|s:6:"asdfgh";}" }

看起来没有什么问题,输入确实被当作了一个完整的字符串存储。
但如果此时存在另一个页面,其采取的序列化处理器为php而不是php_serialize,那么输出session将得到什么呢?注释掉上面代码ini_set,输出session,发现得到:

array(1) { ["a:1:{s:4:"name";s:15:""]=> string(6) "asdfgh" }

出现这个情况的原因是在序列化处理器php会将符号|当作键值的分隔符。故而|前的a:1:{s:4:"name";s:15:"被当作键,之后的asdfgh被当作值。
这样就导致了一些验证机制可能被绕过或某些本不应该被执行的对象、系统方法被执行。

0x03 phar反序列化漏洞

简介:手册传送门

phar文件结构

翻阅手册可知,一个phar文件由3~4个部分组成,如下

组件描述
Stub标识,格式为xxx<?php xxx; __HALT_COMPILER();?>
Manifest Describing the Contents描述存储的文件名,文件大小等信息
File Contents文件内容
Phar Signature可选,签名部分

PHP仅借助__HALT_COMPILER();识别是否是Phar包。(这一点可以被利用以绕过文件上传限制)

示例

构造代码:

class Test{
    function __wakeup(){
        echo "<br/>wakeup called";
    }
    function __destruct(){
        echo "<br/>destruct called";
    }
}
$phar = new Phar("test.phar");  			//指定要生成的文件
$phar -> startBuffering();
$phar -> setStub("<?php __HALT_COMPILER();");
$a = new Test();
$a -> data = 'kaleido';
$phar -> setMetadata($a);       			//将自定义的meta-data存入mainfest
$phar -> addFromString("kaleido.txt","filecontent");   //添加要压缩的文件
$phar -> stopBuffering();

运行后生成一个test.phar文件。
继续构造以下代码

<?php
class Test{
    function __wakeup(){
        echo "<br/>wakeup called";
    }
    function __destruct(){
        echo "<br/>destruct called";
    }
}
echo ("<br/>".file_get_contents('phar://test.phar/kaleido.txt'));

通过phar://解析文件,原本只是要输出我们创建的kaleido.txt,但实际上输出如下:

wakeup called
filecontent
destruct called

发现类中的两个魔术方法都被引用了。
这是因为当一个PHAR文件在第一次被phar://解析时,其中的meta-data部分(即上面我们构造的$a)会被反序列化。
这个部分如果被注入一些特殊构造,则可能导致某些方法在意料之外被引用。

(个人整理,如有错误欢迎指正)

kaleido76
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全--反序列化漏洞详解(php篇)
bobo_milk的博客
11-29 1126
反序列化
反序列化漏洞PHP
qq_42383069的博客
05-18 6454
反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化和反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
WEB入门——PHP反序列化漏洞
HasntStartIsOver的博客
06-08 297
PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。二进制格式字节数组json字符串xml字符串。
php反序列化漏洞
aoxiangchina的博客
07-25 260
5、不同的浏览器访问页面保存的cookie是隔离的,所以session id是不同的,那么服务端将会存储不同的session值。3、,超时,服务器已经关闭连接 2 静态表字段长度固定,自动填充,读写速度很快,便于缓存和修复,但比较占硬盘,动态表是字段长度不固定,节省硬盘,但更复杂,容易产生碎片,速度慢,出问题后不容易重建。1、该对象需要存进redis里面,序列化进去,没发现问题,但反序列化时,报如下错 经查,原来是fastjson不支持泛型,修改原有的对象即可:去掉泛形后序列化一起正常。
PHP反序列化漏洞研究
06-17
PHP反序列化漏洞研究 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP中,serialize()函数...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化漏洞1
08-04
PHP反序列化漏洞是一种安全问题,它出现在PHP代码中对序列化对象进行反序列化时,如果对象的某些属性或方法可以被恶意控制,就可能导致意外的行为,甚至执行任意系统命令。这种漏洞通常源于对反序列化过程的不正确...
PHP反序列化漏洞.pdf
08-10
**PHP反序列化漏洞详解** PHP反序列化漏洞是一种常见的安全漏洞,主要出现在PHP应用程序中,当程序在处理用户可控的序列化数据时,没有进行有效的验证和过滤,导致攻击者能够操纵序列化的数据,从而执行任意代码...
PHP序列化反序列化漏洞总结(一篇懂)
qq_45521281的博客
05-03 7721
文章目录序列化和反序列化的概念与基础知识PHP的序列化访问控制修饰符PHP反序列化PHP反序列化漏洞(常规)__wakeup()__destruct()示例一:示例二(连菜刀、反序列化免杀后门):__toString()Error类ExceptionPHP中Session反序列化(重点)简介与基础知识Session序列化漏洞利用PHP Session中的序列化危害实际利用CTF例题 序列化和反...
PHP反序列化漏洞解析
kali_Ma的博客
11-18 821
举一个最简单的例子,在C中,若要开发一个数据库,那么一定涉及到数据的存储,要将内存中的数据持久化的保存在磁盘中,这就要对数据的存储格式进行优化,比如使用结构体保存一个数据对象,结构体是存在默认对齐机制的,所以实际上结构体的大小会大于其中实际数据的大小,如果直接将结构体对象写在内存一定会造成内存空间的泄露,因此为了优化,可以将结构体存储的每个数据memcpy出,并紧凑排列并写入内存,这就是最简单的一种序列化。
PHP代码审计12—反序列化漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1405
PHP反序列化入门
php反序列化原理漏洞
rnn0921的博客
08-23 306
PHP 反序列化漏洞是指在 PHP 代码中存在的对用户输入数据进行反序列化操作时,未对输入数据进行充分验证和过滤,导致攻击者可以构造恶意的序列化数据,从而在服务器端执行任意代码或进行其他恶意操作的安全漏洞
PHP反序列化漏洞总结
u013797594的博客
06-11 2472
PHP反序列化漏洞总结
php反序列化漏洞 freebuf,Typecho反序列化漏洞导致前台getshell
weixin_39744384的博客
03-09 219
*本文原创作者:VIPKID安全团队,本文属FreeBuf原创奖励计划,未经许可禁止转载最早知道这个漏洞是在一个微信群里,说是install.php文件里面有个后门,看到别人给的截图一看就知道是个PHP反序列化漏洞,赶紧上服务器看了看自己的博客,发现自己也中招了,相关代码如下: 然后果断在文件第一行加上了die:今天下午刚好空闲下来,就赶紧拿出来代码看看。漏洞分析先从install.php开始跟,...
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6297
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
PHP 使用unserialize()反序列化报错问题
Lindong_Jen的博客
08-07 1038
1、问题描述:序列化的数组值中包含有英文下的双引号(“)、单引号(‘)、斜杆(\)等特殊字符,反序列化时会报如下错误: Notice: unserialize(): Error at offset 130 of 131 bytes in 2、问题分析:使用unserialize函数将数据反序列化时报错,后来发现是将gb2312转换成utf-8格式之后,每个中文的字节数从2个增加到3个之后导致了反序列化的时候判断字符长度出现了问题,所以需要使用正则表达式将序列化的数组中的表示字符长度的值重新计算一..
PHP源码中unserialize函数引发的漏洞分析
cnbird's blog
03-07 1568
0×01 unserialize函数的概念 首先看下官方给出的解释:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。若被解序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wak
php反序列化漏洞习题
最新发布
09-06
关于PHP反序列化漏洞的习题,可以使用GlobIterator类和ArrayObject类来进行练习。其中,GlobIterator类的题目是被遗忘的反序列化,ArrayObject类的题目是easy_phpPHP反序列化漏洞是一种安全漏洞,其中一个具体的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值