反序列化漏洞

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量143 收藏
点赞数
分类专栏: web漏洞 文章标签: 安全 安全漏洞 php java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46085232/article/details/115427721
版权

反序列化漏洞

漏洞原理

什么是序列化和反序列化

序列化:将对象转化成字节流,方便持久化储存
反序列化:将字节流还原成对象
在这里插入图片描述

下面这个是PHP中经过序列化后的数据:
在这里插入图片描述
JAVAWEB中经过序列化后的数据:一般以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段java序列化的16进制。

漏洞函数

PHP:
serialize()
unserialize()

JAVA:
Java.io.ObjectOutputStream
java.io.ObjectInputStream
Serializable Externalizable接口

漏洞产生

PHP:
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

JAVA:
如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。区别于PHP反序列化,JAVA没有魔术方法。

漏洞利用和发现

PHP:

  1. 反序列化漏洞绝大部分是白盒审计出来的
  2. 黑盒的话,就参考先前爆出的漏洞加以利用

JAVA:

  1. 黑盒:http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等
    Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed)
    xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)
    json(jackson,fastjson)http请求中包含

  2. 白盒:看函数接口

  3. 利用:ysoserial&单点利用脚本工具生成PlayLoad

漏洞危害

反序列化本身并不存在安全漏洞,他只是一种数据格式的转化,只是在接收数据进行反序列化的过程中,会触发对象中的魔术方法,而这些魔术方法中如果存在像SQL操作,命令执行等功能,且接收攻击者的playload,就会导致安全漏洞。如:

class unser{
	public $cmd='ipconfig';
    function __destruct(){
		system($this->cmd);
    }
	function __construct(){
		echo 'xiaodisec'.'<br>';
	}
}
//函数引用,无对象创建触发魔术方法自定义变量
//?c=O:5:"unser":1:{s:3:"cmd";s:3:"ver";}
unserialize($_GET[c]);

这就是一个反序列化导致的命令执行漏洞。

漏洞拓展

两道ctf练练手

  1. http://123.206.87.240:8002/flagphp/?hint=
  2. [网鼎杯2020青龙组]AreUSerialz
把小海蒂的名字还给我(师从小迪渗透)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shiro反序列化漏洞
2403_82795493的博客
02-19 943
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
rmi 反序列化漏洞_反序列化漏洞整理
weixin_36123285的博客
12-23 394
群里总有人问反序列漏洞是啥啊,学不明白啊,从来没听明白过, 面试有人问,闲聊也有人问;1个月前有人问,1个月后还有人在问今天就来整理一下个人对反序列化漏洞理解和这个洞涉及的一些知识点各种语言都有反序列化漏洞序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化与反序列化看到过一个通...
【小迪安全第37天】反序列化
weixin_54252904的博客
06-20 587
PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 演示一把 上代码 改代码中接受以get方式传过来的str参数的值,并且如果该值经过反序列化之后的值如果等于$key(xiaodi)时就输出flag 因此我
web漏洞“小迪安全课堂笔记”反序列化PHP&JAVA
weixin_42902126的博客
03-28 3425
小迪安全课堂笔记反序列化思维导图 思维导图
小迪安全笔记(web安全)
m0_57191657的博客
04-20 2078
雀雨网址1.https://www.yuque.com/glan/xiaodisec 2.https://www.yuque.com/weiker/xiaodi
渗透测试--安全开发
2301_76346422的博客
04-13 215
数据库操作 – mysql增删改查。
phar反序列化漏洞
csjjjd的博客
01-27 1359
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar 文件标识,格式为xxx; manifest 压缩文件的属性等信息,以序列化存储;
反序列化漏洞-02】PHP反序列化漏洞原理测试及魔术方法总结
m0_64378913的博客
07-22 999
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。(1)理解PHP反序列化漏洞的触发原理;(2)了解PHP相关的魔术方法及调用情况。...
反序列化漏洞漏洞复现
来日可期的博客
09-05 3368
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1057
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
人工智能:大语言模型提示注入攻击安全风险分析报告下载
cybtec的博客
07-25 1097
大语言模型提示注入攻击安全风险分析报告下载
大语言模型(LLM)安全测评基准V1.0 发布版下载
cybtec的博客
07-25 847
大语言模型(LLM)安全测评基准V1.0 发布版下载
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 703
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
RMI反序列化漏洞 修复
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化漏洞需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些反序列化漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列化对象过滤:过滤掉不受信任的序列化对象,只反序列化可信任的对象,这样可以有效减少攻击面。 3. 自定义序列化/反序列化机制:使用自定义的序列化/反序列化机制,不使用Java默认的序列化/反序列化机制,可以避免一些常见的反序列化漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI反序列化漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值