渗透测试漏洞原理之---【不安全的反序列化】

文章目录

为什么要序列化?

序列化,"将对象的状态信息转换为可以存储或传输的形式的过程",这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。简单的说,序列化就是把⼀个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进⾏通信。

1、序列化与反序列化

以PHP 语⾔为例

1.1、引入

JSON 数据是数据的⼀种表达形式,与Python ⾥的字典类似

php 复制代码
<?php
// json.php
$stu = array(
    'name' => 'JayChou',
    'age' => 18,
    'sex' => true,
    'score' => 89.9
);
// echo $stu;
// var_dump($stu);
$stu_json = json_encode($stu);
echo $stu_json;
echo "<hr />";
$stu_json = isset($_GET['stu'])?$_GET['stu']:$stu_json;
$stu = json_decode($stu_json);
var_dump($stu);
?>

验证:

php 复制代码
?stu={"name":"jaychou","age":19,"sex":true,"score":89.9}

1.2、序列化实例

1.2.1、定义一个类

php 复制代码
<?php
    
    // stu.class.php
    class Stu{
    public $name;
    public $age;
    public $sex;
    public $score;
    }
?>

1.2.2、创建 对象

创建⼀个对象,并对该对象进⾏序列化操作,将对象转化为可以存储、传输的字符串

php 复制代码
<?php
//serialize.php
include "./stu.class.php";

$stu1 = new Stu();

$stu1->name = "JayChou";   #$stu1.name
$stu1->age = 18;
$stu1->sex = true;
$stu1->score = 68.99;

//echo $stu1;   报错
// var_dump($stu1)

$_stu1 = serialize($stu1);
echo $_stu1;
?>

序列化后的字符串:

php 复制代码
O:3:"Stu":4:{s:4:"name";s:7:"JayChou";s:3:"age";i:18;s:3:"sex";b:1;s:5:"score";d:68.989999999999995;} 

1.2.3、反序列化

将字符串转化为对象

php 复制代码
<?php
    // unserialize.php
    include "./stu.class.php";
    $stu1_ser = 'O:3:"Stu":4:{s:4:"name";s:7:"JayChou";s:3:"age";i:18;s:3:"sex";b:1;s:5:"score";d:68.989999999999995;} ';
    $stu1_obj = unserialize($stu1_ser);
    var_dump($stu1_obj);
?>

1.2.4、对象注入

如果反序列化字符串,Web ⽤⼾可以控制,则造成对象注⼊。

php 复制代码
<?php
    // unserialize.php
    include "./stu.class.php";
    // $stu1_ser = 'O:3:"Stu":4:{s:4:"name";s:7:"JayChou";s:3:"age";i:18;s:3:"sex";b:1;s:5:"score";d:68.989999999999995;} ';

    $stu1_ser = $_GET['obj'];  #动态传参

    $stu1_obj = unserialize($stu1_ser);
    var_dump($stu1_obj);
?>

PHP 的反序列化漏洞也叫PHP 对象注⼊,是⼀个⾮常常⻅的漏洞,这种漏洞在某些场景下虽然有些难以利⽤,但是⼀旦利⽤成功就会造成⾮常危险的后果

2、漏洞何在

2.1、漏洞触发

2.1.2、定义一个类

php 复制代码
<?php
// vul.class.php

class Vul{
    public $str = 'JayChou';

    function __destruct()
    {
        @eval($this -> str);
    }
}
?>

2.1.3、定义一个对象

php 复制代码
<?php
// test.php
include './vul.class.php';

$s = new Vul();
echo serialize($s);
echo "<hr />";

$_s =isset($_GET['s_ser'])?$_GET['s_ser']:'O:3:"Vul":1:{s:3:"str";s:7:"JayChou";}';

$s= unserialize($_s);
var_dump($s);
?>

序列化后

php 复制代码
O:3:"Vul":1:{s:3:"str";s:7:"JayChou";}

反序列化后

php 复制代码
object(Vul)#2 (1) { ["str"]=> string(7) "JayChou" } 

2.1.3、反序列化执行代码

php 复制代码
?s_ser=O:3:"Vul":1:{s:3:"str";s:10:"phpinfo();";}

2.2 为什么会这样

__destruct(),会被对象⾃动调⽤。

__开头的函数,是PHP 中的魔术⽅法。类中的魔术⽅法,在特定情况下会⾃动调⽤。即使魔术⽅法在类中没有被定义,也是真实存在的

魔术方法 触发条件
__construct() 创建对象时⾃动调⽤,构造函数
__destruct() 销毁对象时⾃动调⽤,析构函数
php 复制代码
__call();
__callStatic();
__get();
__set();
__isset();
__unset();
__sleep();
__wakeup();                                                         创建对象之前触发。
__toString();
__invoke();
__set_state();
__clone();
__debuginfo();

漏洞形成的根本原因就是程序没有对⽤⼾输⼊的反序列化字符串进⾏检测,导致反序列化过程可以被恶意控制,进而造成代码执⾏、GetShell 等⼀系列不可控的后果。反序列化漏洞并不是PHP 特有的,也存在于JavaPython 语⾔中,其原理基本相同

3、反序列化漏洞攻防

3.1、PHP反序列化实例

博客跳转

3.2、Java反序列化实例

3.3、反序列化漏洞防御

  • 升级组件到最新版本
  • ⿊⽩名单过滤敏感字符
  • 禁⽤反序列化功能
  • 部署安全设备
相关推荐
虹科数字化与AR8 分钟前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
Hacker_Fuchen27 分钟前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星29 分钟前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
独行soc8 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc10 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee11 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash12 小时前
安全算法基础(一)
算法·安全
云云32112 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云32112 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh12 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全