param.class.php 漏洞,Pikachu漏洞练习平台实验——php反序列化、XXE、SSRF(九)

最新推荐文章于 2023-12-28 15:02:23 发布
最新推荐文章于 2023-12-28 15:02:23 发布
阅读量209 收藏
点赞数
文章标签: param.class.php 漏洞

1.序列化和反序列化

1.1.概述

在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。

序列化serialize()

序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:

classS{public $test="pikachu";

}$s=new S(); //创建一个对象

serialize($s); //把这个对象进行序列化

序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";}

O:代表object1:代表对象名字长度为一个字符

S:对象的名称1:代表对象里面有一个变量

s:数据类型4:变量名称的长度

test:变量名称

s:数据类型7:变量值的长度

pikachu:变量值

反序列化unserialize()

就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。

$u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");echo $u->test; //得到的结果为pikachu

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题

常见的魔法:

__construct():当一个对象创建时被调用

__destruct():当一个对象销毁时被调用

__toString():当一个对象被当作一个字符串使用

__sleep() :在对象在被序列化之前运行

__wakeup:将在序列化之后立即被调用

漏洞举例

classS{var $test = "pikachu";function__destruct(){echo $this->test;

}

}$s = $_GET['test'];

@$unser = unserialize($a);

payload如下 O:1:"S":1:{s:4:"test";s:29:"";}

1.2.实验

43e45564bc89fad82c9f30217f6c9a3e.png

这里有个接口可以接受一个反序列化的对象,下面是后端代码

426f3d25dff6fa3bb8ea6cc511d2882e.png

我们可以利用相似的代码生成一个反序列化的字符串

反序列化一般通过代码审计的方式发现

<?phpclassS {var $test = "

}echo '
';$a = newS();echo serialize($a);?>

访问上面的 php 文件,查看源码,复制 echo 的内容

e7cdb114bf3ca8c789596ab39444dd4f.png

提交下面的 payload

O:1:"S":1:{s:4:"test";s:29:"";}

反序列化的结果是一个 JS 的弹窗,我们提交后就能进行 XSS 攻击

254790f7e374ef1e5a0b9b0d68ec2092.png

2.XXE

2.1.概述

XXE,"xml external entity injection",即"xml外部实体注入漏洞"。

攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题

也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

具体的关于xml实体的介绍,可以在网上先查一下。XML语法结构大致如下

第一部分:XML声明部分<?xml version="1.0"?>第二部分:文档类型定义 DTD

]>

第三部分:文档元素

Dave

Tom

其中,DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

① 内部申明DTD格式元素申明]>② 外部引用DTD格式③ 引用公共DTD格式识名" "公共DTD的URI">

外部实体引用 Payload

]>&f;

2.2.实验

PHP中有一个函数 simplexml_load_string() 将形式良好的 xml 字符串转换为 SimpleXMLElement 对象

在PHP里面解析xml用的是libxml,其在 ≥2.9.0 的版本中,默认是禁止解析xml外部实体内容的。

本章提供的案例中,为了模拟漏洞,Pikachu平台手动指定 LIBXML_NOENT 选项开启了xml外部实体解析。

7b59ab935ee2341a9905a4705b9c55ad.png

在 Pikachu 平台上,我们先提交一个正常的 xml 数据

]>&hacker;

它将我们定义的实体内容打印在了前端

3a4cdde4dfa7e7c0d6d2cd028191f2f7.png

如果我们提交下面这样的payload,就能看到服务器上的文件内容

]>&f;

bbf0671e456cfac824cf93ade3f3697a.png

3.SSRF

3.1.概述

SSRF(Server-Side Request Forgery,服务器端请求伪造)

其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制

导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。

即以存在SSRF漏洞的服务器为跳板取得其他应用服务器的信息。

数据流:攻击者 -----> 服务器 ----> 目标地址

根据后台使用的函数的不同,对应的影响和利用方法又有不一样

PHP中下面函数的使用不当会导致SSRF:

file_get_contents()

fsockopen()

curl_exec()

如果一定要通过后台服务器远程去对用户指定("或者预埋在前端的请求")的地址进行资源请求,则请做好目标地址的过滤。

你可以根据"SSRF"里面的项目来搞懂问题的原因

3.2.SSRF(curl)

2e599caeeb412cf9f5204124eae30612.png在这个实验中,pikachu平台提供了一个链接,点击这个链接可以返回一首诗。

观察 url 发现它传递了一个 url 给后台

b4b35ab6892b45cb5f757603567bbae4.png我们可以把 url 中的内容改成内网的其他服务器上地址和端口,探测内网的其他信息,比如端口开放情况,下面这个例子就探测出129这台机器开放了22端口

06803dcb8eb38730b70ef8cf00d3e1cb.png

3.2.SSRF(file_get_content)

file_get_content 可以对本地和远程的文件进行读取,比如

http://192.168.171.133/pikachu/vul/ssrf/ssrf_fgc.php?file=http://192.168.171.129/index.html

http://192.168.171.133/pikachu/vul/ssrf/ssrf_fgc.php?file=file:///C://1.tx

或者使用 filter 取得页面 源码

http://192.168.171.133/pikachu/vul/ssrf/ssrf_fgc.php?file=php://filter/read=convert.base64-encode/resource=ssrf.php

b189166a53d2984c4470e2a63ff4026c.png

再进行 base64 解码 就能得到页面源码

6d741168e612d7ee8bfcb68c46934481.png

yyyshdy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jquery.param()实现数组或对象的序列方法
12-10
创建适用于URL查询字符串或Ajax请求的数组,普通对象或jQuery对象的序列表示形式。 如果jQuery对象被传递,它应该包含具有name / value属性的输入元素。 jQuery.param( obj ): obj: 类型:Array或PlainObject或...
Pikachu漏洞平台练习——PHP序列序列PHP序列漏洞
7Riven's blog
11-13 1014
1.序列serialize()与序列unserialize() 序列:把一个对象变成可以传输的字符串。 序列:把被序列的字符串还原为对象,然后在接下来的代码中继续使用。 举例说明如下: <?php Class a{ Var $test = 'test'; } $a = new a(); Echo serialize($a);//序列成为一个字符串形式 $b=uns...
序列漏洞PHP
qq_42383069的博客
05-18 6441
序列漏洞 0x01. 序列序列是什么 序列:变量转换为可保存或传输的字符串的过程; 序列:把序列的字符串再转成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列 序列用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列序列代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
手把手教你PHP序列漏洞
qq_62099202的博客
08-08 1407
什么是序列 序列是将变量转换为可保存或传输的字符串的过程 序列就是在适当的时候把这个字符串再转成原来的变量使用 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性 简单来说就是将一大段对象压缩成字符串 例如,可以序列一个对象,然后使用 HTTP 通过 Internet 在客户端和服务器之间传输该对象,或者和其它应用程序共享使用。之,序列根据流重新构造对象
php序列漏洞(万字详解)
永不落的梦想
07-26 3569
php序列万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session序列、phar序列、原生类的利用以及各种绕过方式。
php 序列漏洞
good good study
01-09 5334
什么是序列 序列即 将对象的状态信息转换为可以存储或传输的形式的过程 在序列期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或序列对象的状态,重新创建该对象 简单来说,序列就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信 。 序列分为PHP序列和java序列,下面就以PHP序列漏洞为切入点,讲述序列漏洞核心的原理,其他Java、Python等语言的序列漏洞,其原理基本相通。 PHP中的序列序列
web3.php操作以太坊
01-07
$response = $contract->methods->yourMethod('param1', 'param2')->call(); $event = $contract->events->YourEvent->bind($address); $event->on('data', function ($eventData) { // 处理事件数据 }); ``` 在...
Class_QRCode.php
06-21
require_once 'Class_QRCode.php'; $NewColor = hex2rgb($Color);//转换为RGB $errorCorrectionLevel = 'L'; //容错级别 $matrixPointSize = 6; //生成图片大小 $QRUrl = $this->path . DIRECTORY_SEPARATOR . ...
如何降低PHP远程代码执行漏洞攻击风险?.pdf
最新发布
01-06
降低 PHP 远程代码执行漏洞攻击风险 在 PHP 应用程序中,远程代码执行漏洞是一个常见的安全威胁。近期,PHP 官方发布了关于 Nginx+php-fpm 服务存在远程代码执行漏洞的公告(CVE-2019-11043)。为了降低该漏洞的...
Web安全--序列漏洞详解(php篇)
bobo_milk的博客
11-29 1115
序列
PHP序列漏洞-从入门到提升
AkangBoy的博客
11-09 1648
本文从PHP序列原理讲起,逐渐深入到PHP序列及其漏洞,几乎每个知识点都配有代码演示,十分方便理解,希望对你们有所帮助!
枚举工具类-射获取枚举类中变量的所有值
qq_34075488的博客
07-27 3416
开发背景: 在开发中需要用到枚举类中变量的所有值。如下例季节枚举类中需要获取数组["春", "夏", "秋", "冬"]。 public enum Season { SPRING("春天"), SUMMER("夏天"), AUTUMN("秋天"), WINTER("冬天"); String season; Season(String season) { this.season = season; } public Stri
PHP序列漏洞
weixin_43610673的博客
02-26 866
序列序列序列 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或序列对象的状态,重新创建该对象。 其实就是将数据转成一种可逆的数据结构,序列就是其逆向的过程。 序列的目的是方便数据的传输和存储。 在PHP应用中,序列序列一般用做缓存,比如sessio.........
PHP序列漏洞总结
未完成的歌~的博客
02-22 3607
程序未对用户输入的序列字符串进行检测,导致攻击者可以控制序列过程,通过在参数中注入一些代码,从而达到代码执行,SQL 注入,目录遍历等不可控后果,危害较大。
打卡(PHP入门&&SSRF漏洞)(笔记)
m0_62617107的博客
05-09 427
PHP入门 什么是PHPPHPPHP: Hypertext Preprocessor)即“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法学习了C语言,吸纳Java和Perl多个语言的特色发展出自己的特色语法,并根据它们的长项持续改进提升自己,例如java的面向对象编程,该语言当初创建的主要目标是让开发人员快速编写出优质的web网站。 PHP同时支持面向对象和面向过程的开发,使用上非常灵活。 经过二十多年的发展,随着php-cli相关组件的快速发展
WEB入门——PHP序列漏洞
HasntStartIsOver的博客
06-08 296
PHP应用中,序列序列一般用做缓存,比如session缓存,cookie等。二进制格式字节数组json字符串xml字符串。
php-ssrf
m0_65150886的博客
12-28 382
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)1.访问ip:port。
php序列漏洞
aoxiangchina的博客
07-25 244
5、不同的浏览器访问页面保存的cookie是隔离的,所以session id是不同的,那么服务端将会存储不同的session值。3、,超时,服务器已经关闭连接 2 静态表字段长度固定,自动填充,读写速度很快,便于缓存和修复,但比较占硬盘,动态表是字段长度不固定,节省硬盘,但更复杂,容易产生碎片,速度慢,出问题后不容易重建。1、该对象需要存进redis里面,序列进去,没发现问题,但序列时,报如下错 经查,原来是fastjson不支持泛型,修改原有的对象即可:去掉泛形后序列一起正常。
SSRF与靶场(史上最详细)
qq_34598847的博客
10-17 853
SSRF漏洞介绍:SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。SSRF漏洞原理:SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。
支持生僻字且自动识别utf-8编码的php汉字转拼音类
12-18
* @param string $word 要转换的汉字 * @return string 转换后的拼音 */ public static function convert($word) { $pinyin = ''; // 遍历汉字字符串的每一个字符 for ($i = 0; $i ($word); $i++) { $char...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值