反序列化漏洞详解

最新推荐文章于 2024-09-29 09:37:20 发布
最新推荐文章于 2024-09-29 09:37:20 发布
阅读量1.5w 收藏 121
点赞数 16
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcxhzjl/article/details/121408031
版权

目录

一、反序列化漏洞原理

1、相关概念

2、序列化出现场景

3、反序列化攻击分类

4、危害

5、序列化与反序列化过程

二、常用的魔术方法

三、反序列化漏洞的防御

一、反序列化漏洞原理

1、相关概念

序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程,一般将对象转换为字节流。序列化时,对象的当前状态被写入到临时或持久性存储区(文件、内存、数据库等)。

反序列化(Deserialization):从序列化的表示形式中提取数据,即把有序字节流恢复为对象的过程

反序列化攻击:攻击者控制了序列化后的数据,将有害数据传递到应用程序代码中,发动针对应用程序的攻击。

2、序列化出现场景

●远程和进程间通信(RPC/IPC)

●连线协议、Web服务、消息代理

●缓存/持久性存储区

●数据库、缓存服务器、文件系统

●HTTP cookie、HTML表单参数、API身份验证令牌

3、反序列化攻击分类

●对象和数据结构攻击:应用中存在反序列化过程中或者之后被改变行为的类

●数据篡改攻击:使用了当前序列化的数据结构,但是内容被改编

4、危害

●远程代码执行,如:system(‘whoami’)、system(‘cat/etc/passwd’)等

●重放攻击

●注入

●特权提升

5、序列化与反序列化过程

例:

<?php
class demo {
   private $pv= 'private';
   protected $pt = 'protected'; 
   public $pb= 'public';
   public function set_pv ($pv) {
      $this->pv=$pv;
   }
   public function get_pv(){
      return $this->pv;
   }
}
$object = new demo() ;
$object->set_pv ('newprivate') ; 
$data = serialize ($object) ;   //1句
echo $data;
$object_de=unserialize ($data); //2句
?>
//serialize()和unserialize()是实现序列化和反序列化的两个函数

这段代码定义了一个demo类,并通过serialize()将其序列化。执行该段代码,1句执行后将得到如下序列化后的数据:

O:4:"demo":3:{s:8:"demopv";s:10:"newprivate";s:5:"*pt";s:9:"protected";s:2:"pb";s:6:"public";}
//O:表示这是一个对象
//4:对象名占4个字符
//"demo":对象名
//3:对象有三个属性

2句将会把序列化后的数据还原为对象。serialize()和unserialize()函数本身没有问题。反序列化漏洞之所以发生是在传给unserialize()的参数可控时,用户就可以注入精心构造的数据。当进行反序列化时就可能会触发对象的一些魔术方法,造成代码执行等危害。

二、常用的魔术方法

魔术方法(Magic Method)就是指所有以__(两个下划线)开头的类的方法。在某些条件下自动执行会导致反序列化漏洞。在PHP中常见的魔术方法有如下这些:

__sleep()	 	//使用serialize()时触发 
__destruct() 	//对象被销毁时触发,在脚本终止或对象引用计数为0时调用,通常会执行数据清除就或连接断开操作 
__call() 		//在对象上下文中调用不可访问的方法时触发 ,通常用于错误处理,防止脚本因为调用错误而终止执行
__callStatic() 	//在静态上下文中调用不可访问的方法时触发 
__get() 		//用于从不可访问的属性读取数据,通常用于设置和获取对象私有属性
__set() 		//用于将数据写入不可访问的属性,通常用于设置和获取对象私有属性
__isset() 		//在不可访问的属性上调用isset()或empty()触发 
__unset() 		//在不可访问的属性上使用unset()时触发 
__invoke() 		//当脚本尝试将对象调用为函数时触发
__clone()       //当把一个对象赋给另一个对象时自动调用
__wakeup()		//unserialize函数会检查是否存在wakeup方法,如果存在则先调用wakeup方法,做一些必要的初始化连数据库等操作
__construct() 	//PHP5允许在一个类中定义一个方法作为构造函数。具有构造函数的类会在每次创建新对象时先调用此方法
__destruct()	  //PHP5引入析构函数的概念,析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行
__toString()	  //用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误

三、反序列化漏洞的防御

●最有效的方法是不接受来自不受信任源的序列化对象或者只使用原始数据类型的序列化,但这不容易实现。

●完整性检查,如:对序列化对象进行数字签名,以防止创建恶意对象或序列化数据被篡改。

●在创建对象前强制执行类型约束,因为用户的代码通常被期望使用一组可定义的类。

●记录反序列化的失败信息。比如传输的类型不满足预期要求或者反序列化异常情况,因为这有可能是攻击者的攻击尝试。

趣多多代言人
关注
专栏目录
反序列化漏洞
weixin_46476861的博客
03-23 8755
什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时
快速吃透反序列化漏洞的根本原理,搞懂攻击本质原理
qq_38140936的博客
07-08 1276
BadAttributeValueExpException的readObject方法任意命令行执行反射攻击链对象关系图:ClassPathXmlApplicationContext的构造方法任意命令行执行(远程加载bean配置文件)Jackson的enableDefaultTyping(默认类型处理)功能、Spring bean远程加载/依赖注入/属性动态初始化功能ScriptEngineManager的构造方法远程任意代码执行Java SPI。
网络安全常见漏洞篇——反序列化漏洞
最新发布
ewii12567的博客
09-29 1792
要了解反序列化漏洞,首先我们得知道什么是序列化和反序列化,简单来说序列化:就是将对象转化为字符串进行存储;反序列化:就是将字符串转化为对象;反序列化漏洞:就是在反序列化过程中,如果恶意者可以对将要转换的字符串进行操控,从而达到任意代码执行的操作,就是反序列化漏洞反序列化漏洞的主要原理是应用程序在反序列化过程中没有对传入的数据进行足够的验证和过滤,导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。一般情况下,应用程序在接受到序列化数据后会使用反序列化操作将数据还原成对象。
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 7483
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
Java反序列化漏洞详解
fengling59的专栏
12-26 3977
 Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化漏洞简述后,并对于Java反序列化的Poc进行详细解读。 Java反序列化漏洞简介 Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject
反序列化(Unserialize)漏洞详解
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
PHP反序列化漏洞
m0_57379855的博客
03-12 3109
PHP反序列化漏洞PHP类与对象类对象Magic函数PHP序列化与反序列化不同类型的序列化pubilc与private反序列化反序列化漏洞的出现CTF题目分析PHP反序列+文件包含攻防世界Typecho反序列化漏洞PHP反序列化漏洞防御 PHP类与对象 类 一个共享相同结构和行为的对象的集合 对象 类的实例 Magic函数 PHP序列化与反序列化 序列化:把对象转化为可传输的字节序列过程称为序列化,可以在任何地方 反序列化:把字节序列还原为对象的过程称为反序列化。 不同类型的序列化 布尔值:b:
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2903
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
java反序列化漏洞详解
m0_56578216的博客
09-15 339
PHP 的反序列化和java 的反序列化是两种不同的类型,序列化和反序列化本身没有漏洞点只是为了实现数据的完整高效的传输。PHP 反序列漏洞是由于类里面的魔术方法调用了某个函数,该危险函数又调用了别的函数最终执行到了危险函数的位置JAVA反序列化漏洞是由于开发者重写了 readObject 方法,该readObject 方法方法调用了别的方法,最终执行到了例如 Transfrom 方法的危险方法。
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
反序列化漏洞汇总
hackzkaq的博客
12-08 5200
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
weblogict3反序列化漏洞
12-05
WebLogic T3协议是WebLogic Server的默认协议,用于客户端与服务器之间的通信。WebLogic T3反序列化漏洞是一种Java反序列化漏洞,攻击者可以利用该漏洞在未授权的情况下远程执行任意代码。攻击者可以通过发送精心构造的序列化对象来利用此漏洞,从而导致服务器上的代码执行。以下是利用WebLogic T3反序列化漏洞的攻击过程: 1. 攻击者通过信息收集获取WebLogic Server的版本信息和WebLogic T3协议的端口号。 2. 攻击者使用Java反序列化漏洞利用工具构造恶意序列化对象。 3. 攻击者向WebLogic Server发送恶意序列化对象。 4. WebLogic Server接收到恶意序列化对象后,会自动反序列化该对象并执行其中的恶意代码。 为了防止WebLogic T3反序列化漏洞的攻击,建议您采取以下措施: 1. 及时更新WebLogic Server的补丁程序,以修复已知的漏洞。 2. 禁用WebLogic T3协议,或者限制WebLogic T3协议的访问权限。 3. 对WebLogic Server进行安全加固,包括但不限于限制访问权限、加强身份认证、加密通信等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

趣多多代言人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值