ok php漏洞,php反序列化漏洞复现过程

最新推荐文章于 2024-08-06 00:00:00 发布
最新推荐文章于 2024-08-06 00:00:00 发布
阅读量230 收藏
点赞数
文章标签: ok php漏洞

PHP反序列化漏洞复现

测试代码

ad90495fd418c86b65f703b088519168.png

我们运行以上代码文件,来证明函数被调用:

cae42862c5e8db2738873b9d9bb85ff4.png

应为没有创建对象,所以构造函数__construct()不会被调用,但是__wakeup()跟__destruct()函数都被调用,如果这些函数里面包含的是恶意代码会怎么样呢?

利用场景

__wakeup() 或__destruct()

由前可以看到,unserialize()后会导致__wakeup() 或__destruct()的直接调用,中间无需其他过程。因此最理想的情况就是一些漏洞/危害代码在__wakeup() 或__destruct()中,从而当我们控制序列化字符串时可以去直接触发它们。这里针对 __wakeup() 场景做个实验。

基本的思路是,本地搭建好环境,通过 serialize() 得到我们要的序列化字符串,之后再传进去。通过源代码知,把对象中的test值赋为 “<?php phpinfo(); ?>”,再调用unserialize()时会通过__wakeup()把$test的写入到shell.php中。为此我们写个php脚本:

757cdf480a9e1d0c0b4c1579784dad04.png

运行结果:

cb4cd886e261873ec497bdc00f9de5cb.png

我们再来看shell1.php:

63ac31b80c32acb5111302f69be8f321.png

成功的利用反序列化漏洞来得到phpinfo()信息

不过具体的环境多是像下面代码这样,我们的test是我们可控的参数

8cde58e0dae5de6da8f0d3b594bee350.png

我们传入参数test=O:7:"bmjoker":1:{s:4:"test";s:18:"<?php phpinfo();?>";}

8066d1080dff913b0be6399fe516e685.png

同时shell.php也成功写入

57deb29a0025bae6cd12221e2387cb72.png

成功利用php反序列化漏洞

其他Magic function的利用

但如果一次unserialize()中并不会直接调用的魔术函数,比如前面提到的__construct(),是不是就没有利用价值呢?非也。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadget”找到漏洞点。

18d5cbcabe014f02e28caa3a5ca01109.png

这里我们给test传入构造好的序列化字符串后,进行反序列化时自动调用 __wakeup()函数,从而在new joker()会自动调用对象joker中的__construct()方法,从而把<?php phpinfo();?>写入到shell.php中:

我们传入参数  test=O:7:"bmjoker":1:{s:4:"test";s:18:"<?php phpinfo();?>";}

8ba0877290344af19d5290e3356d02cf.png

同时she.php也成功写入:

f3f0247f107ec89bb9aff32bb38ad585.png

利用普通成员方法

前面谈到的利用都是基于“自动调用”的magic function。但当漏洞/危险代码存在类的普通方法中,就不能指望通过“自动调用”来达到目的了。这时的利用方法如下,寻找相同的函数名,把敏感函数和类联系在一起。

f6f42f25d73443cc1454f61c1b7d4d23.png

本意上,new一个新的lmjoker对象后,调用__construct(),其中又new了bmjoker对象。在结束后会调用__destruct(),其中会调用action(),从而输出 bmjoker

0ee38ba3255303c0bb6603b1be3936d7.png

下面是利用过程。构造序列化

00c7d973afa6874e1a77834102176063.png

得到:

b01b674348295cdaea150110a81181a9.png

传给5.php的test参数,利用成功

673731afdc9546de1a5e8369a4184d4d.png

拉面加点盐
关注
php反序列化漏洞复现
qq_30854761的博客
04-25 2254
http://159.75.16.25:8066phpmyadmin scripts/setup.php 反序列化漏洞http://159.75.16.25:8065复现S2-001远程代码执行漏洞复现漏洞要求:(1)操作步骤配截图。 (2)并尝试使用S2-001远程代码执行漏洞进行挂马操作 。 代码被执行由此可见是存在漏洞,可构建payload 获取tomcat运行路径: 获取web运行路径 %{ #req=@org.apac...
shiro反序列化漏洞复现
weixin_45682070的博客
08-21 3162
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 工作原理 Shiro的记住用户会话功能 获取RememberMe的值 —> Base64解密 —> ASE解密 –> 反序列化 漏洞原理 因为在反序列化时,不会对其进行过滤,所以如果传入恶意代码将会造成安全问题 在 1.2.4 版本前,是默认ASE秘钥,Key: kPH+bIxk5D2deZiIxcaaaA==,可以直接反序列化执行恶意代码 而在1.2.4之后,ASE秘钥就不为默认了,需要获取
漏洞复现篇——PHP反序列化漏洞
爱国小白帽
02-28 4356
简介 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 什么是序列化和...
全面解析PHP反序列化漏洞:原理、复现与防御
最新发布
2301_80064376的博客
08-06 731
在Web应用安全领域,PHP反序列化漏洞常常被视为一颗隐形的定时炸弹。它的危害在于能够让攻击者通过精心构造的恶意数据,远程执行任意代码或操作,从而掌控整个系统。随着PHP在Web开发中的广泛使用,反序列化漏洞的威胁也与日俱增。理解其工作原理,并掌握漏洞复现的技巧,对于提升我们对系统安全性的认识和防护能力至关重要。本文将深入剖析PHP反序列化漏洞的原理,展示如何在实际环境中复现漏洞,并提供详细的防御措施。无论你是网络安全的新手,还是经验丰富的开发者,都能从中获得宝贵的知识和实用的技能。
php反序列化漏洞复现
tempulcc的博客
10-05 795
前置知识 在 PHP 中主要就是通过serialize和unserialize来实现数据的序列化和反序列化 序列化:把对象转换为字节序列的过程成为对象的序列化。 反序列化:把字节序列恢复为对象的过程称为对象的反序列化。 举个例子: 代码: <?php class test{ public $who="just a test"; } $a=serialize(new test); echo $a; ?> 执行结果: O:4:"test":1:{s:3:"who";s:11:"just a
laravel5.8 反序列化漏洞复现
Zero_Adam的博客
06-22 2791
1. 前言 依旧跟着feng师傅学吧, 还是再github上下载源码:laravel5.8。往composer.json的require里面加上"symfony/symfony": “4.*”,然后composer update。 如果提示 Allowed memory size of bytes exhausted,参考这篇文章:运行 composer update,提示 Allowed memory size of bytes exhausted 如果想我这里一样:就报个error。。(弄好之后没那个报
PHP反序列化漏洞【三】
weixin_39664643的博客
05-11 1033
PHP反序列化漏洞【三】 来学习下 phar反序列化漏洞,拓展php反序列化漏洞的攻击面 特定PHP版本下__wakeup()魔术方法绕过漏洞(CVE-2016-7124) phar反序列化漏洞 通常我们在利用反序列化漏洞的时候,只能将序列化后的字符串传入unserialize(),随着代码安全性越来越高,利用难度也越来越大 在2018 Black Hat大会上,安全研究员Sam Thomas分享了议题 It’s a PHP unserialization vulnerability Jim, but
经典的Shiro反序列化漏洞复现
hackzkaq的博客
11-27 764
其实这个还是得学习学习加密解密的方法,才能进行编写poc,但是此处只是了解个思路。具体可参考其他文章;没看够~?欢迎关注!
第二十三天 phar反序列化漏洞
代码审计
04-01 2231
关于这个方法在2018年 BlackHat 大会上的 Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ,该研究员指出该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。 zip rar压缩文件包 类似 默认支持phar协议的使
phpmyadmin scripts/setup.php 反序列化漏洞复现
weixin_56513549的博客
02-23 2041
首先在password地方输入%{1+1} 发现解析成了2,说明存在该漏洞 输入 %{"tomcatBinDir{"+@java.lang.System@getProperty("user.dir")+"}"} 获取Tomcat执行路径 获取web路径 %{ #req=@org.apache.struts2.ServletActionContext@getRequest(), #response=#context.get("com.opensymphony.xwork2.dispatch..
phpok 文件上传 (CVE-2018-12491)漏洞复现
weixin_42675091的博客
09-03 1869
phpok 文件上传 (CVE-2018-12491)
PHP反序列化漏洞,或使 WordPress 遭远程攻击
weixin_34413802的博客
08-21 174
英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户...
php反序列化cve漏洞复现,CVE-2016-7124php反序列化漏洞复现
weixin_30871011的博客
04-08 466
CVE-2016-7124php反序列化漏洞复现0X00漏洞原因如果存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行0X01漏洞影响版本PHP5 < 5.6.25PHP7 < 7.0.100X02漏洞详情PHP(PHP:HypertextPreproce...
Thinkphp6.0.x反序列化漏洞复现
shinygod的博客
11-20 2301
Thinkphp6.0.x反序列化漏洞复现
php反序列化漏洞原理,PHP反序列化漏洞原理与复现
weixin_32459883的博客
03-17 282
php反序列化漏洞,又叫php对象注入漏洞序列化与反序列化serialize()当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。测试代码如下;class chybeta{var $test = '123';}$class1 = new chybeta;$class1_ser = serialize($class1);prin...
复现thinkphp5.1反序列化漏洞
桃雾雨Rain的博客
05-02 1283
首先写一个控制器: <?php namespace app\index\controller; class Index { public function index() { if(isset($_POST['data'])){ @unserialize($_POST['data']); } highlight_string(file_get_contents(__FILE__)); } }
php反序列化漏洞复现过程
aobipi2343的博客
09-03 595
PHP反序列化漏洞复现 测试代码 我们运行以上代码文件,来证明函数被调用: 应为没有创建对象,所以构造函数__construct()不会被调用,但是__wakeup()跟__destruct()函数都被调用,如果这些函数里面包含的是恶意代码会怎么样呢? 利用场景 __wakeup() 或__destruct() 由前可以看到,unserializ...
深入解析PHP反序列化漏洞
"理解PHP反序列化漏洞-berTrAM在漏洞银行大咖面对面的讲解" 在信息安全领域,PHP反序列化漏洞是一种常见的安全问题,它源于PHP的序列化和反序列化机制。首先,我们需要理解PHP中的类和对象的概念。类是编程中的一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值