【网络安全】反序列化漏洞研究

最新推荐文章于 2024-04-29 22:04:39 发布
VIP文章 最新推荐文章于 2024-04-29 22:04:39 发布
阅读量151 收藏
点赞数
文章标签: web安全 安全 网络 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ta737/article/details/133790603
版权

一、反序列化的入口与条件

1.hash验证数据

我们在cookie处提交的参数,被送到了这个validateData方法处,在这里$data的内容会被拆分。在期间其经历了一次hash值校验。我们只要用它提供的加密算法和密钥进行加密,生成数据,就能通过所有的校验,然后进入我们期望的return $pureData;环节。

在这里插入图片描述

1695352559_650d06efa152204f4d3f6.png!small?1695352557969

源代码如下:

public function validateData($data, $key, $rawHash = false)
    {
        $test = @hash_hmac($this->macHash, '', '', $rawHash);
        if (!$test) {
            throw new InvalidConfigException('Failed to generate HMAC with hash algorithm: ' . $this->macHash);
        }
        $hashLength = StringHelper::byteLength($test);
        if (StringHelper::byteLength($data) >= $hashLength) {
            $hash = StringHelper::byteSubstr($data, 0, $hashLength);
            $pureData = StringHelper::byteSubstr($data, $hashLength, null);

            $calculatedHash = hash_hmac($this->macHash, $pureData, $key, $rawHash);

            if ($this->compareString($hash, $calculatedHash)) {
                return $pureData;
            }
        }

        return false;
    }

2.php版本限制

上面的validateData方法,返回结果后,就回到了loadCookies方法。这里存在一个反序列化入口,就是下图else分支的内容,我们上一方法得到的反序列化数据会进入我们的反序列化入口(注意,allowed_classes 被设置为 false,则在反序列化过程中不会创建对象,只会还原基本数据类型,例如字符串、整数、数组等)。所以我们可以发现,在Yii2框架默认的环境下要进行这个反序列化操作,对php的版本是有所限制的,如下图,可以发现我们的版本中PHP_VERSION_ID 要小于70000才能到达我们期望的反序列化入口。

在这里插入图片描述
1695352569_650d06f971f242e402384.png!small?1695352568206

源代码如下:

protected function loadCookies()
    {
        $cookies = [];
        if ($this->enableCookieValidation) {
            if ($this->cookieValidationKey == '') {
                throw new InvalidConfigException(get_class($this) . '::cookieValidationKey must be configured with a secret key.');
            }
            foreach ($_COOKIE as $name => $value) {
                if (!is_string($value)) {
                    continue;
                }
                $data = Yii::$app->getSecurity()->validateData($value, $this->cookieValidationKey);
                if ($data === false) {
                    continue;
                }
                if (defined('PHP_VERSION_ID') && PHP_VERSION_ID >= 70000) {
                    $data = @unserialize($data, ['allowed_classes' => false]);
                } else {
                    $data = @unserialize($data);
                }
                ......
            }
        } else {
            ......
        }

        return $cookies;
    }

下面我们先直接展示漏洞利用结果。我们可以从调用栈看到已经在进行我们的反序列化过程了。最终弹出计算机验证确实存在此漏洞。

在这里插入图片描述

1695352583_650d070734cedae52437f.png!small?1695352581916

run方法如下:

public function run()
{
    if ($this->checkAccess) {
        call_user_func($this->checkAccess, $this->id);
}

二、config/web.php中的cookieValidationKey值

入口我们观察到了,在validateData方法里我们对需要对自己的反序列数据要进行一次hash计算,然后将hash值拼接到我们url编码后的反序列化数据前,然后附在cookie中发送。这里计算hash就需要用到我们的cookieValidationKey值,我们需要在config/web.php中搜索cookieValidationKey值。

例如下图中的"demo2":

最低0.47元/天 解锁文章
白帽用户
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具,方便我们进行漏洞利用getshell。
php5.5 反序列化利用工具_如何借助ViewState在ASP.NET中实现反序列化漏洞利用
weixin_39870092的博客
11-24 999
概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单中保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情...
【原创】ASP.NET 安全认证(三)—— 用Form 表单认证实现单点登录(Single Sign On)
热门推荐
12-06 1万+
【原创】ASP.NET 安全认证(三)——用Form 表单认证实现单点登录(Single Sign On)作者:寒羽枫(cityhunter172)第三部分 实现单点登录(Single Sign On) “等了好久终于等到今天,写了好久终于就快完结,但是网友的反应却让我有一些的伤心。盼了好久终于盼到今天,忍了好久终于把此文撰写,那些受冷落的无奈早就无所谓,累也不说累”(歌词《今天》新演绎)。看着人
【新】通达OA前台反序列化漏洞分析
C20220511的博客
08-07 1702
通达OA作为历史上出现漏洞较多的OA,在经过多轮的迭代之后已经很少前台的RCE漏洞了。对应12系列未做过多测试,本文提到的所有漏洞在最新版的通达12.4中已修复,使用此漏洞造成的任何攻击影响均与本文作者无关。在上面的方法中会对传入的Cookie值进行签名校验,校验的方法是validateData,其中$this->cookieValidationKey是签名的key。继续跟踪loadCookies方法,在这个方法中会调用unserialize方法对传入的Cookie的值进行反序列化
从某达OA到Yii2框架的cookie反序列化漏洞研究
hackzkaq的博客
10-08 1262
这里存在一个反序列化入口,就是下图else分支的内容,我们上一方法得到的反序列化数据会进入我们的反序列化入口(注意,allowed_classes 被设置为 false,则在反序列化过程中不会创建对象,只会还原基本数据类型,例如字符串、整数、数组等)。这一条路径会使用上面介绍Yii2的cookie处理方法,所以就存在Yii2的那个反序列化入口,在获取到某达oa的config/web.php中的cookieValidationKey值后,我们就可以构造我们的payload进行攻击。
反序列化漏洞原理和靶场实践
09-26
反序列化漏洞原理和靶场实践
java反序列化漏洞利用.zip
01-12
java反序列化漏洞利用-JBOSS(含payload生成的java项目,漏洞利用py脚本,shodan部分目标主机搜索结果) 软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目...
Weblogic XML反序列化漏洞检查工具CVE-2017-10271
02-22
Weblogic XML反序列化漏洞检查工具CVE-2017-10271,用于网络管理员发现网络中存在的Weblogic XML反序列化漏洞,及时进行修补
通达OA1.5SQL注入漏洞复现
weixin_51716781的博客
05-10 357
通达OA1.5漏洞复现 本文章记录初学者的笔记,仅限于渗透测试,请勿做违法操作,如出现问题与本作者无关 1:测试机上安装通达OA11.5版本:查看IP地址为:192.168.78.150 2:登录admin账号:创建一个普通职员权限 3:登录普通用户的权限,使用bp抓包:构造URL: /general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2 or sleep(0) 判断是否存在sql注入 4:图三
网络安全思考题
weixin_62304542的博客
04-27 1214
网络安全渗透思考题
网络安全与密码学--AES加密
weixin_61074128的博客
04-22 1904
1997年 NIST征集AES(Advanced Encryption Standard)2000年选中。AES分组长度为128位,密钥长度为128 192 256位。密钥长度 64位(实际使用56位 其中8位是奇偶校验位)python实现AES加密。分组加密之AES加密算法。DES 1977年被采用。
网络安全实训Day16
Yisitelz的博客
04-26 2006
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
保护您的连接:无线网络安全探究
最新发布
JAZJD的博客
04-29 1016
无线局域网(WLAN)安全是保护家庭和企业网络免受未经授权访问和攻击的关键。WLAN 安全涉及到保护无线网络的隐私、完整性和可用性,防止未经授权的访问、数据泄露和恶意攻击。
网络安全WebShell截获
为了生活,不得不努力奋斗!
04-24 991
【代码】网络安全WebShell截获。
网络安全(黑客)—2024自学
dexi113的博客
04-25 2470
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!
网络安全之文件上传漏洞(上篇)(技术进阶)
weixin_70911257的博客
04-26 1535
文件上传漏洞就是服务器端脚本没有对上传的文件进行严格的过滤和验证,导致黑客利用这个漏洞上传恶意脚本从而达到控制整个网站甚至是服务器。文件上传绕过方法不是一成不变的,我这里一关列举了一种方法,在熟练运用后会发现原来同一关可以有多个绕过方法,所以灵活运用晓其原理才能更好的玩转文件上传漏洞中篇下个星期一更!!
hessian反序列化漏洞
01-06
在应对Hessian反序列化漏洞时,开发团队应该及时更新相关的安全补丁,对可能存在漏洞的系统进行全面审查,修复潜在的安全问题,同时也应做好监控和日志记录工作,及时发现并应对可能的攻击行为。保护系统安全需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值