反序列化漏洞的入门知识总结

1.概念定义

序列化与反序列化的目的是让数据在传输和处理的时候更简单,更快,反序列化出现在多种同面向对象语言所开发的网站和软件上,比如java,php,python等等,如果有语言一个都没学的,可以先去补一下面向对象编程的概念

序列化:把对象转化成字节流(java),或者字符串(php,python)和数组(php)

反序列:把字节流,字符串,数组转换成对象

2.反序列漏洞出现的根本原因

我们可以通过给变量赋值序列化内容去定义一个对象,比如变量a赋值成了类A的对象的序列化内容,则变量a是类A的一个对象

这里可以看我的代码:初学php反序列化漏洞使用的代码-CSDN博客

于此同时,如果我们可以提交这个被反序列化的内容,我们可以通过序列化内容去定义某个对象的属性,通过魔术方法和接口去触发这个对象的方法,如果这个对象的某个方法或者魔术方法中出现了漏洞,我们就可以直接使用,当然触发魔术方法可能更简单,这里也可以看上方我的代码。

3.针对于三种语言常用的方法

1.php

魔术方法;原生类;语言自身的漏洞

魔术方法可以在我的代码中看见,可以自己调整代码,查看魔术方法的触发条件

原生类:php环境自带的类,这个很大程度依赖于网站的环境,我的代码中有检测固定魔术方法的类的代码,当然是运行在本地的,我们可以去设置贴近于网站的环境和php版本去尝试

语言自身漏洞:在某些版本下语言自身可能产生漏洞,比如php报过wakeup魔术方法的绕过漏洞

2.java

主要出现在第三方组件和引用库和接口上面

3.python

魔术方法:之后我会去补一下代码

而且由于python不需要一定和网站本身具有的类相同才可以创建对象的特性,所以造成的漏洞往往更加严重

3.三个语言序列化的函数与库

php:serialize序列化,unserialize反序列化

java:

java.io.ObjectOutputStream:表示对象输出流 它的writeObject(Object obj)方法可以对参数指定的obj对象进行序列化,把得到的字节序列写到一个目标输出流中。

java.io.ObjectInputStream:表示对象输入流 它的readObject()方法从源输入流中读取字节序列,再把它们反序列化成为一个对象,并将其返回。

这里的不全的,要用的时候直接搜,java中序列化和反序列的接口很多

python:pickle.loads pickle.load 反序列化

pickle.dumps pickle.dump 序列化

带s的是直接转换成,不带s的是要指定输出的文件

4.三个语言序列化之后的特点

php:这个可以直接看我的php反序列代码,和前面的链接是一样的

java:16进制后开头为AC ED base64加密之后 rO0AB

python:没有特殊的特点

5.黑盒白盒

黑盒:比较难挖掘到,一般都是在数据传输的位置

白盒:功能追踪,重点函数,类名的追踪

6.案例

PHP:

1.ctfshow(对不起还是没钱买,大家可以自己复制代码到电脑上做)看看大佬的:ctfshow web 反序列化(web254-278)_ctfshow php反序列化-CSDN博客

2.ctf赛题:极客大挑战2019 php(直接在平台上搜索就可以做了,我做完之后没截图):

BUUCTF在线评测 (buuoj.cn)

思路总体上:通过wakeup的绕过去突破

3.typecho:先看看大佬的CVE-2018-18753 Typecho 反序列化漏洞 分析复现 - FreeK0x00 - 博客园 (cnblogs.com)

java:

CTF网鼎杯2020朱雀组 thinkjava思路记录-CSDN博客

python:

CTFCISCN2019华北Day1 ikun 思路记录-CSDN博客

相关推荐
虹科数字化与AR2 小时前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
Hacker_Fuchen3 小时前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星3 小时前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
独行soc11 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc12 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee13 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash14 小时前
安全算法基础(一)
算法·安全
云云32114 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云32114 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh14 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全