CVE-2016-7124漏洞复现

CVE-2016-7124

实验环境

操作机:Windows 10

数据库:MySQL5.0.96

PHP版本:5.4.45

漏洞影响版本

PHP5 < 5.6.25

PHP7 < 7.0.10

漏洞产生原因

如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行

了解序列化与反序列化

首先要了解序列化和反序列化操作,序列化就是使用serialize()将对象用字符串的方式进行表示并赋值给变量,反序列化是使用unserialize()将序列化的后字符串(这里的的字符串就是对象序列化之后的产物)构成相应的对象,反序列化是序列化的逆过程。

序列化serialize()操作

serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。

简单来讲,就是将对象转化为可以传输的字符串,字符串中存储着对象的变量、类型等。

 

反序列化unserialize ()操作

将序列化后的字符串转化为PHP的值。

__wakeup()方法

PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。

__construct(),__destruct(),__call(),__callStatic(),__get(), __set(), __isset(),__unset(),__sleep(),__wakeup(),__toString(),__invoke(),__set_state(),__clone()和__debugInfo() 等方法在 PHP 中被称为"魔术方法"(Magic methods)。

__wakeup():unserialize() 会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。

漏洞复现

如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行

点击确定后页面完成后自动执行__destruct方法

实验结果

将传入的序列化数据的对象变量个数由1更改为2,页面只执行了__destruct方法,而且输出name属性时报错,是由于反序列化数据时失败无法创建对象。所以序列化字符串中表示对象属性个数的值大于 真实的属性个数时就会跳过__wakeup的执行而直接执行__destruct方法。

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值