反序列化漏洞

最新推荐文章于 2024-07-25 09:37:56 发布
最新推荐文章于 2024-07-25 09:37:56 发布
阅读量2.6k 收藏 4
点赞数 2
分类专栏: 系统安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46447549/article/details/121295361
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一、什么是反序列化漏洞?

1.序列化与反序列化

序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象。也就是说,把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化与反序列化。
比如,买一个柜子,从北京运到上海,由于柜子形状怪异,不方便运输,先把它拆成板子,再装到箱子里(序列化),顺丰邮到买家手里,把板子拼装回柜子(反序列化)。

2.反序列化漏洞

①反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。
②各种语言都有反序列化漏洞。

二、PHP反序列化漏洞

1.php中必须出现反序列化的原因

①大型网站中类创建的对象多的时候会占用大量的空间
②部分配置文件通过序列化进行文件存储或者传递,然后再进行对象化会比较方便,一次采用序列化存储数据。

2.序列化和反序列化的函数

①.serialize()
当在PHP中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值之后方便之后的传递与使用
②.unserialize()
与serialize()对应,unserialize()可以从已存储的表示中创建PHP的值,可以从序列化后的结果中恢复对象(object)
例如:

<?php
$a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut');
 
//序列化数组
$s = serialize($a);
echo "序列化:",$s,"<br>";
//反序列化数组
$aa = unserialize($s);
echo "反序列化:",$aa,"<br>";
print_r($aa);
?>

运行结果为:
a:3:{s:1:“a”;s:5:“Apple”;s:1:“b”;s:6:“banana”;s:1:“c”;s:7:“Coconut”;}
数组:3个对象:{1个字符串类型a;5个字符串类型Apple;以此类推}
在这里插入图片描述

3.php反序列化漏洞示例(PHP对象注入漏洞)

①存在文件1.php如下:

<?php  

class Test{
    var $test = "123";
	//__wakeup() 如果有,在反序列化之前调用
    function __wakeup(){
        $fp = fopen("test.php", 'w');
        fwrite($fp, $this -> test);//把test变量写入test.php文件中
        fclose($fp);
    }
}
 
$test1 = $_GET['test'];//页面url传参
print_r($test1);//输出参数
echo "<br />";
$seri = unserialize($test1);//反序列化参数

require "test.php";  //运行写入的文件
?>

②构造payload
一个Test类,有一个test参数,test="<?php phpinfo();?>":

O:4:"Test":1:{s:4:"test";s:18:"<?php%20phpinfo();?>";}

③打开php页面时在地址栏传入参数:

1.php?test=O:4:"Test":1:{s:4:"test";s:18:"<?php%20phpinfo();?>";}

可以创建一个test.php文件,并把Test类中的test变量的值即"<?php phpinfo();?>" 写进了test.php文件,最后运行:
在这里插入图片描述

再比如:

<?php 
class Test1{
    function __construct($test){
        $fp = fopen("shell.php", "w");
        fwrite($fp, $test);
        fclose($fp);
    }
}

class Test2{
    var $test = "123";
    function __wakeup(){
        $obj = new Test1($this -> test);
    }
}

$test = $_GET['test'];
unserialize($test);

require "shell.php";
?>

4.PHP反序列化漏洞分析

1.出现的原因:
①unserialize()传入参数可控
②存在某些魔术方法可用
__construct()当一个对象创建时被调用
__destruct()当一个对象销毁时被调用
__toString()当一个对象被当作一个字符串时使用
__sleep() 在对象在被序列化之前运行
__wakeup() 如果有,在反序列化之前调用
③没有过滤或者过滤不完善
2.防御:
在反序列化函数内部添加正则过滤,以防构造payload进行攻击

5.补充

https://www.cnblogs.com/bmjoker/p/13742666.html
https://www.cnblogs.com/bmjoker/p/13831713.html

二、Java反序列化漏洞

1.引发

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

2.原因

类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法

3.根源

Apache Commons Collections允许链式的任意的类函数反射调用
问题函数:org.apache.commons.collections.Transformer接口

学习资料

https://www.cnblogs.com/ssooking/p/5875215.html

三、反序列化漏洞的防御?

对于反序列化漏洞的防御,我们主要考虑两个方面:认证和检测。对于面向内部的接口和服务,我们可以采取认证的方式,杜绝它们被黑客利用的可能。另外,我们也需要对反序列化数据中的调用链进行黑白名单检测。成熟的第三方序列化插件都已经包含了这个功能,暂时可以不需要考虑。最后,如果没有过多的性能考量,我们可以通过 RASP 的方式,来进行一个更全面的检测和防护。

国际知名观众
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化漏洞汇总
hackzkaq的博客
12-08 5120
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
shiro反序列化漏洞
2403_82795493的博客
02-19 941
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
phar反序列化漏洞
csjjjd的博客
01-27 1357
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar 文件标识,格式为xxx; manifest 压缩文件的属性等信息,以序列化存储;
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
qingkahui24689的博客
06-01 960
反序列化漏洞是一种安全漏洞,它允许攻击者将恶意代码注入到应用程序中。这种漏洞通常发生在应用程序从不安全的来源反序列化数据时。当应用程序反序列化数据时,它将数据从一种格式(例如JSON或XML)转换为另一种格式(例如对象或列表)。如果应用程序不检查数据的安全性,攻击者就可以将恶意代码注入到数据中。当应用程序反序列化数据时,恶意代码就会被执行,这可能导致应用程序被攻陷。
反序列化漏洞-02】PHP反序列化漏洞原理测试及魔术方法总结
m0_64378913的博客
07-22 993
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。(1)理解PHP反序列化漏洞的触发原理;(2)了解PHP相关的魔术方法及调用情况。...
反序列化漏洞漏洞复现
来日可期的博客
09-05 3326
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
rmi 反序列化漏洞_反序列化漏洞整理
weixin_36123285的博客
12-23 393
群里总有人问反序列漏洞是啥啊,学不明白啊,从来没听明白过, 面试有人问,闲聊也有人问;1个月前有人问,1个月后还有人在问今天就来整理一下个人对反序列化漏洞理解和这个洞涉及的一些知识点各种语言都有反序列化漏洞序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化与反序列化看到过一个通...
fastjson反序列化漏洞
qq_63980959的博客
03-01 1303
​ Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。​ fastjson反序列化weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
Java 反序列化漏洞
qq_61553520的博客
05-24 4820
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
网络安全筑基篇——反序列化漏洞
weixin_55762309的博客
06-27 1206
反序列化漏洞原理详解
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 414
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 492
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
2024安全大模型技术与市场研究报告
最新发布
cybtec的博客
07-25 436
2024安全大模型技术与市场研究报告
RMI反序列化漏洞 修复
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化漏洞,需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些反序列化漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列化对象过滤:过滤掉不受信任的序列化对象,只反序列化可信任的对象,这样可以有效减少攻击面。 3. 自定义序列化/反序列化机制:使用自定义的序列化/反序列化机制,不使用Java默认的序列化/反序列化机制,可以避免一些常见的反序列化漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI反序列化漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值