漏洞原理
什么是序列化和反序列化
序列化:将对象转化成字节流,方便持久化储存
反序列化:将字节流还原成对象
下面这个是PHP中经过序列化后的数据:
JAVAWEB中经过序列化后的数据:一般以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段java序列化的16进制。
漏洞函数
PHP:
serialize()
unserialize()
JAVA:
Java.io.ObjectOutputStream
java.io.ObjectInputStream
Serializable Externalizable接口
漏洞产生
PHP:
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
JAVA:
如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。区别于PHP反序列化,JAVA没有魔术方法。
漏洞利用和发现
PHP:
- 反序列化漏洞绝大部分是白盒审计出来的
- 黑盒的话,就参考先前爆出的漏洞加以利用
JAVA:
-
黑盒:http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等
Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed)
xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)
json(jackson,fastjson)http请求中包含 -
白盒:看函数接口
-
利用:ysoserial&单点利用脚本工具生成PlayLoad
漏洞危害
反序列化本身并不存在安全漏洞,他只是一种数据格式的转化,只是在接收数据进行反序列化的过程中,会触发对象中的魔术方法,而这些魔术方法中如果存在像SQL操作,命令执行等功能,且接收攻击者的playload,就会导致安全漏洞。如:
class unser{
public $cmd='ipconfig';
function __destruct(){
system($this->cmd);
}
function __construct(){
echo 'xiaodisec'.'<br>';
}
}
//函数引用,无对象创建触发魔术方法自定义变量
//?c=O:5:"unser":1:{s:3:"cmd";s:3:"ver";}
unserialize($_GET[c]);
这就是一个反序列化导致的命令执行漏洞。
漏洞拓展
两道ctf练练手
- http://123.206.87.240:8002/flagphp/?hint=
- [网鼎杯2020青龙组]AreUSerialz