反序列化漏洞

漏洞原理

什么是序列化和反序列化

序列化:将对象转化成字节流,方便持久化储存
反序列化:将字节流还原成对象
在这里插入图片描述

下面这个是PHP中经过序列化后的数据:
在这里插入图片描述
JAVAWEB中经过序列化后的数据:一般以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段java序列化的16进制。

漏洞函数

PHP:
serialize()
unserialize()

JAVA:
Java.io.ObjectOutputStream
java.io.ObjectInputStream
Serializable Externalizable接口

漏洞产生

PHP:
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

JAVA:
如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。区别于PHP反序列化,JAVA没有魔术方法。

漏洞利用和发现

PHP:

  1. 反序列化漏洞绝大部分是白盒审计出来的
  2. 黑盒的话,就参考先前爆出的漏洞加以利用

JAVA:

  1. 黑盒:http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等
    Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed)
    xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)
    json(jackson,fastjson)http请求中包含

  2. 白盒:看函数接口

  3. 利用:ysoserial&单点利用脚本工具生成PlayLoad

漏洞危害

反序列化本身并不存在安全漏洞,他只是一种数据格式的转化,只是在接收数据进行反序列化的过程中,会触发对象中的魔术方法,而这些魔术方法中如果存在像SQL操作,命令执行等功能,且接收攻击者的playload,就会导致安全漏洞。如:

class unser{
	public $cmd='ipconfig';
    function __destruct(){
		system($this->cmd);
    }
	function __construct(){
		echo 'xiaodisec'.'<br>';
	}
}
//函数引用,无对象创建触发魔术方法自定义变量
//?c=O:5:"unser":1:{s:3:"cmd";s:3:"ver";}
unserialize($_GET[c]);

这就是一个反序列化导致的命令执行漏洞。

漏洞拓展

两道ctf练练手

  1. http://123.206.87.240:8002/flagphp/?hint=
  2. [网鼎杯2020青龙组]AreUSerialz
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值