29_反序列化漏洞、反序列化概念、反序列化原理、反序列化漏洞防御、序列化

最新推荐文章于 2024-09-13 23:32:49 发布
最新推荐文章于 2024-09-13 23:32:49 发布
阅读量621 收藏 10
点赞数 11
分类专栏: 渗透类 文章标签: 前端 网络 安全 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54591045/article/details/141026304
版权

概念

 

序列化和反序列化

序列化

  • 将对象型转换成字符串的过程。

反序列化

  • 将字符串还原成对象型的过程。

反序列化漏洞(了解)

  • 便于传输和存储

 接下来上代码进行测试,先搞个类,

<?php
    header("content-type:text/html;charset=utf8");

    // 序列化  反序列化

    // 创建一个类
    class Person{
        // 属性
        var $name ;
        var $age ;
        // 方法
        function hello(){
            echo "你好";
        }
        // 构造方法
        function __construct($n,$a){
            $this->name = $n;
            $this->age = $a;
        }
    }

    // 实例化一个对象
    $p1 = new Person("zhangsan",18);
    var_dump($p1);
    echo "<br>";

    // 将 对象 序列化成 字符串
    $res = serialize($p1);
    echo $res; // O:6:"Person":2:{s:4:"name";s:8:"zhangsan";s:3:"age";i:18;}
    echo "<br>";

    // 把字符串 反序列化为 对象
    $p11 = unserialize($res);
    var_dump($p11);
    echo "<br>-------------------<br>";

    // 自定义字符串,进行反序列化
    $str1 = 'O:6:"Person":2:{s:4:"name";s:8:"zhangsan";s:3:"age";i:18;}';
    $p2 = unserialize($str1);
    var_dump($p2);

    echo "<br>-------------------<br>";
    $str3 = 'O:6:"Person":2:{s:4:"name";s:4:"lisi";s:3:"age";i:18;}';
    $p3 = unserialize($str3);
    var_dump($p3);

    echo "<br>-------------------<br>";
    $str4 = 'O:6:"Person":3:{s:4:"name";s:4:"lisi";s:3:"age";i:18;s:4:"abcd";s:4:"1234";}';
    $p4 = unserialize($str4);
    var_dump($p4);

?>

 解析:

O:6:"Person":1:{s:4:"name";s:6:"张三";}
// O:object
// 6:类名的长度
// "Person"  :类名
// 1:属性的个数
// s:string类型

 

<?php
    class S{
        // 属性
        var $test = "<script>alert(1);</script>";
        }
	echo(serialize(new S()));
?>

测试后反序列化成功,那么可想到这个界面是否跟XSS有关,试着往里插一下弹框("<script>alert(1);</script>")的数据看看,嫌麻烦用工具可以去菜鸟工具的在线php的序列化输出一下弹框("<script>alert(1);</script>")的字符串格式是怎样的,如下图右,已输出。手敲也行,得数,麻烦

这是反序列化结合XSS的风险

这样不就OK了,弹框出现,说明

试试别的

常见魔法函数

一般两个下划线开头的函数都是魔术方法,所谓魔术无非就是会自动调用而已。

1.__construct()当一个对象创建时被调用(构造函数)<不需要返回值>

2.__destruct()当一个对象销毁时被调用(析构函数)<不需要返回值>

3.__toString()当一个对象被当作一个字符串使用被调用<需要有返回值return>

4.__sleep()在对象在被序列化之前被调用<需要有返回值return,返回需要序列化的变量数组>

5.__wakeup()在反序列化之后立刻被调用<不需要返回值>

<?php
  header("Content-type:text/html;charset=utf8");

  // 定义一个类
  class Persion{
    var $name;
    var $age;

    // __construct构造函数,实例化对象的时候自动调用
    function __construct($n,$a){
        $this->name = $n;
        $this->age = $a;
        echo "<br>__construct函数执行了<br>";
    }

    // __destruct,对象被销毁时自动调用
    function __destruct(){
        echo "<br>__destruct函数执行了,对象销毁了<br>";
    }

    // __toString,当对象被当做字符串处理时自动调用
    function __toString(){
        echo "<br>__toString函数执行了~<br>";
        return "__toString返回了~";
    }

    // __sleep(),对象在序列化之前被调用
    function __sleep(){
        echo "<br>__sleep函数执行了~<br>";
        return array("name","age");  // 哪个属性可以被序列化
    }

    // __wakeup(),在反序列化之后调用
    function __wakeup(){
        echo "<br>__wakeup函数执行了~<br>";
    }

  }

  // 实例化一个对象
  $p1 = new Persion("zhangsan",18);
  var_dump($p1);
  echo $p1;  // 将对象当做字符串处理

  // 序列化
  $data  = serialize($p1);
  echo $data;

  // 反序列化
  $obj = unserialize($data);
 

?>

反序列化漏洞

class S{
    var $test = "pikachu";
    function __construct(){
        echo $this->test;
    }
}

自己构造字节流:

  • 类名不能变,属性名不能变,值可以变化(由用户控制)
O:1:"S":1:{s:4:"test";s:8:"zhangsan";}

构造恶意的字节流

O:1:"S":1:{s:4:"test";s:26:"<script>alert(1);</script>";}

 反序列化小案例

 PHP 在线工具 | 菜鸟工具 (jyshare.com)

shell_exec($this->name);   不同的写法有不同的风险,这样的写法有RCE远程代码执行的风险,这次这个是反序列化结合RCE

<?php
    header("content-type:text/html;charset=utf8");

    class Person{
        var $name;
        var $age;
        // 构造函数,在new一个对象时会自动调用
        function __construct($n,$a){
            $this->name = $n;
            $this->age = $a;
        }

        // wakeup()在反序列化之后立刻被调用
        function __wakeup(){
            shell_exec($this->name);
        }

    }
    $data = $_GET['a'];
    $p2 = unserialize($data);


?>

反序列化漏洞防御

Ange 宇
关注
专栏目录
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2839
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2805
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
fastjson 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)
杨小熊学习笔记
05-29 7514
fasjton 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)
java rmi反序列化靶场_反序列化漏洞学习笔记+靶场实战
weixin_34170028的博客
02-25 1048
反序列化漏洞学习笔记+靶场实战反序列化漏洞相关知识点:(引自 i春秋网络安全学院文章)什么是反序列化:摘自维基百科:序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。概念很容易理解,其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫...
序列化反序列化漏洞详解
m0_55854679的博客
03-13 9214
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化 :unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识 weblogic反序列化漏洞漏洞挖掘较难。 与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。 === 【比较 数值相等、类型相等】 == 【比较,数值相等】 = 【赋值 赋予数值】 => 【键值分离】 -> 【类里面的方法调用或者传参】 漏洞原理 序列化: 游戏的
网络安全筑基篇——反序列化漏洞
weixin_55762309的博客
06-27 1395
反序列化漏洞原理详解
反序列化漏洞-02】PHP反序列化漏洞原理测试及魔术方法总结
m0_64378913的博客
07-22 1061
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。(1)理解PHP反序列化漏洞的触发原理;(2)了解PHP相关的魔术方法及调用情况。...
shiro反序列化漏洞原理与分析
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-12 554
原理 AES加密的密钥Key被硬编码在代码里,每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终就会造成反序列化漏洞
Fastjson反序列化漏洞原理漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 3781
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
反序列化漏洞及PHP魔法函数
Welcome To Myon'Blog !
04-11 1682
1、漏洞原理 2、序列化(以PHP语言为例) 3、反序列化 4、PHP魔法函数 (1)__wakeup() (2)__destruct() (3)__construct() (4)__toString() (5)__get() (6)__call()
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1....
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
java反序列化漏洞-验证.rar
06-25
1. **Java反序列化漏洞**:当不信任的数据源提供的序列化对象被反序列化时,如果对象的类包含危险的方法(如`ObjectInputStream.readObject()`),攻击者可以构造特殊的序列化数据来触发这些方法,执行任意代码。...
前端用html写excel文件直接打开
全易
09-10 693
html文件直接用excel打开
-webkit-box-reflect属性与倒影效果的实现
最新发布
读心悦
09-13 415
是一个非标准的 CSS 属性,主要用于在 WebKit 浏览器(如 Chrome 和 Safari)中创建元素的倒影效果。这个属性并不是 CSS 规范的一部分,但在实践中经常被用来实现简单而有趣的视觉效果。
Vue使用query传参Boolean类型,刷新之后转换为String问题
q879936814的博客
09-12 410
要解决这个问题,不能直接Boolean处理,因为如果传入false,那么转换成字符串,Boolean(‘false’)会变成true;做项目时发现第一次进入页面时传参是正常的Boolean类型,刷新之后变成了String,这是浏览器进行的一次强制转换;解决方法:使用JSON.parse处理参数。
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" ...5. 在反序列化之前,对输入进行白名单过滤或使用安全反序列化库。 理解Java和Jackson反序列化原理并采取适当的防御措施,对于保障应用程序的安全性至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值