不安全的反序列化

最新推荐文章于 2024-04-10 23:08:26 发布
置顶 最新推荐文章于 2024-04-10 23:08:26 发布
阅读量460 收藏
点赞数 7
文章标签: 安全 android 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45953122/article/details/133282166
版权

文章目录


A8:2017-不安全的反序列化

A08:2021-Software and Data Integrity Failures

对象(真实存在) ----通过序列化 --> 字符串、Json —通过反序列化—>对象

为什么要序列化?

序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”,这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进⾏通信。

一、 序列化与反序列化

1.1 引例

JSON 数据是数据的一种表达形式,与Python ⾥的字典类似。

// json.php

$stu = array(
'name'   => 'ghui', 'age'	=> 18,
'sex'	=> true, 'score' => 89.9
);

// echo $stu; //echo不能输出数组,可以使用var_dump()进行输出
//var_dump($stu);

$stu_json = json_encode($stu); //进行json编码
echo $stu_json; //json编码能够用echo输出,说明json数据能够存储和传输

echo "<hr />";

$stu_json = isset($_GET['stu'])?$_GET['stu']:$stu_json;
$stu = json_decode($stu_json); //将ghui数据重新还原成对象
var_dump($stu); #强制转换成字符串

json编码结果

{"name":"ghui","age":18,"sex":true,"score":89.9}

结果很像python中的字典

isset() 函数用于检测变量是否已设置并且非 NULL。如果为空,则返回false,否则返回true.

验证:

?stu={"name":"ghui","age":19,"sex":true,"score":89.9}

补充:

echo 只能输出文本字符串,不能输出数组

输出数组可以使用var_dump 进行输出。

var_dump() 函数用于输出变量的相关信息。

var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。

image-20230905171818535

1.2 序列化实例

1.2.1 定义一个类

//   stu.class.php

class Stu{  //定义了一个类,类的名字为Stu
public $name; 
public $age; 
public $sex; 
public $score;
}

解释:

PHP 提供了四个文件包含的语句,四个语句之间略有不同。

语句区别
include()多次包含,多次执行;
如果包含失败,脚本产生警告,继续运行。
include_once()多次包含,一次执行;
如果包含失败,脚本产生警告,继续运行。
require()多次包含,多次执行;
如果包含失败,脚本产生错误,结束执行.
require_once()多次包含,一次执行;
如果包含失败,脚本产生错误,结束执行。

1.2.2 创建对象

创建一个对象,并对该对象进⾏序列化操作,将对象转化为可以存储、传输的字符串。

// serialize.php

include   "./stu.class.php"; //包含一下stu.class.php文件,主要是让能够使用里面的Stu类

$stu1 = new Stu();

$stu1 -> name	= "zhangsan"; //$stu1.name

$stu1 -> age	= 24;
$stu1 -> sex	= true;
$stu1 -> score   = 99.9;

// echo $stu1; //echo输出不了字符串
// var_dump($stu1); 

$_stu1 = serialize($stu1); //要想输出,必须将对象stu1进行序列化-->字符串
echo $_stu1; //输出序列化后的字符串

serialize() 函数用于序列化对象或数组,并返回一个字符串。

serialize() 函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。

如果想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()

序列化后的字符串:

O:3:"Stu":4:{s:4:"name";s:8:"zhangsan";s:3:"age";s:2:"24";s:3:"sex";N;s:5:"score";d:99.900000000000006;}

解释:

O :代表object

3 :代表类名的字符数,Stu,三个字符,所以是3

4 :代表有4个变量

image-20230905174458756

1.2.3 反序列化

将字符串转化为对象。

//   unserialize.php

include "./stu.class.php"; //文件包含

$stu1_ser = 'O:3:"Stu":4:{s:4:"name";s:8:"zhangsan";s:3:"age";s:2:"24";s:3:"sex";N;s:5:"score";d:99.900000000000006;}'; //定义一个变量,放入序列化后的字符串。

$stu1_obj = unserialize($stu1_ser); 
var_dump($stu1_obj);

unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。

image-20230905192513153

1.2.4 对象注入

如果反序列化字符串,Web ⽤⼾可以控制,则造成对象注⼊。

// $stu1_seria = 'O:3:"Stu":4:{s:4:"name";s:8:"zhangsan";s:3:"age";s:2:"24";s:3:"sex";N;s:5:"score";d:99.900000000000006;}';

//将stu_ser通过GET来获取序列化后的数据:
$stu1_ser = $_GET['stu1_ser'];

$stu1_obj = unserialize($stu1_ser); 
var_dump($stu1_obj);

PHP 的反序列化漏洞也叫PHP 对象注⼊,是一个⾮常常⻅的漏洞,这种漏洞在某些场景下虽然有些难以利⽤,但是一旦利⽤成功就会造成⾮常危险的后果。

image-20230905193740403

我们这时可以将zhangsan改为phpinfo(); 来试着执行以下,注意:这里修改的时候还要修改它的长度,zhangsan的字符长度为8,而phpinfo();的长度为10

image-20230905194451754

我们发现输出了字符phpinfo();,而没有执行phpinfo();,那么漏洞在哪里呢?

二、 漏洞何在

2.1 漏洞触发

2.1.1 有一个类

//   vul.class.php

class Vul{
public $str = "lisi";

function __destruct(){
//echo "This is function __destruct()"; 
@eval($this -> str);

}
}

解释:

eval 是一个危险语句,因为它可以将字符串当作PHP代码来执行。

​ 例如:

​ 如果编辑php代码为:

<?php
    $str="phpinfo();";  
    echo $str;   //只会输出字符串:  phpinfo();
?>

​ 而如果将echo改为eval:

<?php
    $str="phpinfo();";  
    eval($str);  //执行phpinfo();
?>

结果:

image-20230905195606674

2.1.2 有一个对象

// test.php

include './vul.class.php';

$s = new Vul(); 
echo serialize($s);  //序列化操作
echo "<hr />";

$_s = $_GET['s_ser'];
$s = unserialize($_s);  //反序列化操作
var_dump($s);

序列化后:

O:3:"Vul":1:{s:3:"str";s:4:"lisi";}

2.1.3 反序列化执行代码

?obj=O:3:"Vul":1:{s:3:"str";s:10:"phpinfo();";}

image-20230905201110074

我们现在将lisi 换成phpinfo(); 来执行一下试试:

image-20230905201439205

怎么执行的呢?

​ 其实是因为危险函数eval,我们发现eval在__destruct() 函数里面,而我们没有调用这个函数啊,怎么就触发这个函数了呢。

2.2 为什么会这样

__destruct(),会被对象⾃动调⽤。

以 __ 开头的函数,是PHP 中的魔术⽅法。类中的魔术⽅法,在特定情况下会⾃动调⽤。即使魔术⽅法在类中没有被定义,也是真实存在的。

魔术方式触发条件
__construct()在创建对象时⾃动调⽤,构造函数
__destruct()在销毁对象时⾃动调⽤,析构函数
__call();
__callStatic();
__get();
__set();
__isset();
__unset();
__sleep();
__wakeup();
toString();
__invoke();
__set_state();
__clone();
__debuginfo();		创建对象之前触发

漏洞形成的根本原因就是程序没有对⽤⼾输⼊的反序列化字符串进⾏检测,导致反序列化过程可以被恶意控制,进而造成代码执⾏、GetShell 等一系列不可控的后果。反序列化漏洞并不是PHP 特有的,也存在于Java、Python 语⾔中,其原理基本相同。

三、反序列化漏洞攻防

3.1 PHP反序列化实例

typecho 反序列化漏洞

3.2 Java 反序列化实例

Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞

S2-045 Remote Code Execution Vulnerablity

JBoss 5.x/6.x 反序列化漏洞

fastjson 1.2.24 反序列化导致任意命令执⾏漏洞Fastjson 1.2.47 远程命令执⾏漏洞

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

3.3 反序列化漏洞防御

  • 升级组件到最新版本;
  • ⿊⽩名单过滤敏感字符;
  • 禁⽤反序列化功能;
    149/)

fastjson 1.2.24 反序列化导致任意命令执⾏漏洞Fastjson 1.2.47 远程命令执⾏漏洞

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

g_h_i
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【代码扫描修复】不安全反序列化攻击(1),网络安全 400道面试题通关宝典助你进大厂
egregw的博客
04-06 961
在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致。将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/*** 白名单校验*/super(in);@Override// 白名单校验if (!
PHP反序列化漏洞——漏洞原理及防御措施
cldimd的博客
03-20 6778
序列化 将对象转换成字符串 反序列化 将特定格式的字符串转换成对象 什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可...
(十五)不安全反序列化
weixin_43047908的博客
04-18 2830
目录什么是序列化?序列化与反序列化什么是不安全反序列化?不安全反序列化漏洞如何产生?不安全反序列化有何影响?如何利用不安全反序列化漏洞如何识别不安全反序列化PHP序列化格式Java序列化格式操作序列化对象修改对象属性修改数据类型如何防止不安全反序列化漏洞 什么是序列化? 序列化是将复杂的数据结构(例如对象及其字段)转换为“更扁平”格式的过程,该格式可以作为顺序的字节流发送和接收。序列化数据使其更容易: 将复杂数据写入进程间内存,文件或数据库 例如,通过网络,在应用程序的不同组件之间或在API调用
安全反序列化(php&java)及漏洞复现
weixin_58954236的博客
09-06 1468
class Stu{在unserialize文件夹下新建一个stu.class.php文件,将上述代码复制进去。class(关键字:类),stu是类名。
【WEB安全】不安全反序列化
dzqxwzoe的博客
01-23 930
序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。**序列化是指将对象或数据结构转换为字节流的过程。**在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来,以后可以通过反序列化操作重新构建对象并恢复其状态和数据。**反序列化是指将序列化后的字节流转换回对象或数据结构的过程。
应用安全系列之二十五:不安全反序列化
jimmyleeee的专栏
04-07 1432
序列化过程是将一个对象转换成一种数据格式以有利于存储或者传输。而反序列化则是一个相反的过程,把一定格式的数据转变成一个对象。比较流行的数据格式包括:XML,JSON。 这种反序列化过程,当出现输入的数据可以被篡改或者控制时,他可以用于发起攻击,攻击的结果包括但不限于:DOS、访问控制、以及RCE等。 DOS攻击 以Java语言为例,如果构造的一个对象里有一个数组对象,而数组对象的大小被改为整形的最大值,就会导致在反序列化时,分配一个超大的数组,进而导致OutOfMemoryError 错误。 访问控
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
java反序列化工具
11-21
然而,这个过程也可能引入安全风险,因为不安全反序列化可能导致远程代码执行(RCE)漏洞。 在给定的标题和描述中,提到了几个关键的服务器端应用平台:JBoss、WebLogic和WebSphere。这些都是流行的Java企业级...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
shiro反序列化脚本.zip
07-28
当不安全反序列化发生时,恶意用户可能会提供一个特制的序列化流,导致在反序列化过程中执行非预期的代码。 综上所述,这个压缩包包含的资源可以帮助我们理解和利用Apache Shiro的反序列化漏洞。首先,我们需要...
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。
反序列化工具
11-14
然而,反序列化也可能带来安全风险,因为恶意用户可以构造特殊的序列化数据来触发未预期的行为,甚至执行任意代码。 标题中的“反序列化工具”通常是指用于检测和测试这些安全漏洞的软件。例如,`Burpsuite Pro`是...
A8 不安全反序列化
weixin_43355264的博客
02-11 621
反序列化的利用是有点困难,因为在不更改或调整底层可被利用代码的情况下,现成的反序列化漏洞很难被使用。 这一问题包括在TOP10的行业调查中,而不是基于可量化的数据。 有些工具可以被用于发现反序列化缺陷,但经常需要人工帮助来验证发现的问题。希望有关反序列化缺陷的普遍性数据将随着工具的开发而被更多的识别和解决。 反序列化缺陷的影响不能被低估。他们可能导致远程代码执行攻击,这是可能发生的最严重的...
【序列化】UNSAFE_DESERIALIZATION 不安全反序列化反序列化漏洞
m0_45406092的博客
08-21 6638
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
序列化与反序列化(Protocol buff 与 Java序列化协议的比较)
worn_xiao的博客
12-08 276
1. 什么是序列化与反序列化? 序列化就是将代码中的对象的某一个状态转化成字节数组的过程,也就是转化成二进制文件的过程。反序列化与之相反。 2. 为什么要进行序列化? 在将对象存储在文件中或者通过网络进行传输的时候,对象是不能直接存储和传输的,所以要将它序列化为对应的二进制代码。 3. 实现序列化的常用方式有哪些? 使用Java的序列化协议(实现Ser...
web安全安全的反序列、命令执行漏洞解析
vivlol918的博客
05-15 1350
限制可执行命令的范围和使用权限。例如,限制可执行命令的用户、权限和执行路径等参数。
【代码扫描修复】不安全反序列化攻击,2024年最新可能是全网最细的网络安全-资源加载机制剖析
最新发布
2401_84239625的博客
04-10 361
*** 白名单校验*/super(in);@Override// 白名单校验if (!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值