当前位置:网站首页>PHP反序列化漏洞
PHP反序列化漏洞
2022-08-02 03:25:00 【CHIAJ176】
什么是序列化和反序列化
序列化 serialize()
将对象转换成字符串
当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。
反序列化 unserialize()
将特定格式的字符串转换成对象
与serialize()对应的,unserialize()可以从已存储的表示中创建PHP的值,单就本次所关心的环境而言,可以从序列化后的结果中恢复对象(object)。
魔术方法
__construct() #类的构造函数。但在unserialize()时是不会自动调用的。
__destruct() #类的析构函数,在对象被销毁时执行该函数
__call() #在对象中调用一个不可访问方法时调用
__callStatic() #用静态方式中调用一个不可访问方法时调用
__get() #获得一个类的成员变量时调用
__set() #设置一个类的成员变量时调用
__isset() #当对不可访问属性调用isset()或empty()时调用
__unset() #当对不可访问属性调用unset()时被调用。
__sleep() #执行serialize()时,先会调用这个函数
__wakeup() #执行unserialize()时,先会调用这个函数
__toString() #类被当成字符串时的回应方法
__invoke() #调用函数的方式调用一个对象时的回应方法
__set_state() #调用var_export()导出类时,此静态方法会被调用。
__clone() #当对象复制完成时调用
__autoload() #尝试加载未定义的类
__debugInfo() #打印所需调试信息序列化结构
漏洞原理
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。
在反序列化的过程中自动触发了某些魔术方法。
触发条件
unserialize函数的变量可控,php文件中存在可利用的类,类中有魔法函数
漏洞利用方式
__wakeup()
对应的CVE编号:CVE-2016-7124
存在的php版本: PHP5.6.25之前版本和7.0.10之前的7.x版本
漏洞成因:当对象的属性(变量)数大于实际的个数时,
__wakeup可以被被绕过
PHP session反序列化
漏洞成因:其主要原理就是利用序列化的引擎和反序列化的引擎不一致时,引擎之间的差异产生序列化注入漏洞。
php 存储session的三种模式
| php_serialize | 经过serialize()函数序列化数组 |
|---|---|
| php | 键名+|+经过serialize()序列化处理后的值 |
| php_binary | 键名长度对应ASCII字符+键名+serialize()序列化的值 |
三种存储模式的区别
<?php
ini_set("session.serialize_handler", "php"); //修改session存储类型为php类型
//ini_set("session.serialize_handler", "php_serialize");
//ini_set("session.serialize_handler", "php_binary");
session_start(); //访问页面时会返回session
$_SESSION['ykingh'] = $_GET['ykingh'];
echo $_SESSION['ykingh'];
?>
第一种,php类型生成的session文件为:ykingh|s:3:"123";
第二种,php_serialize类型生成的session文件为:a:1:{s:6:"ykingh";s:3:"123";}
第三种,php_binary类型生成的session文件为:ykinghs:3:"123";
phar 反序列化
phar在网上已经有很多解释了,这里就不过多赘述,简单来说phar就是php压缩文档,不经过解压就能被 php 访问并执行
前提条件
php.ini中设置为phar.readonly=Off
php version>=5.3.0漏洞成因:phar存储的meta-data信息以序列化方式存储,当文件操作函数(file_exists()、is_dir()等)通过phar://伪协议解析phar文件时就会将数据反序列化,并且可以不依赖unserialize()直接进行反序列化操作。
字符逃逸
PHP 在反序列化时,底层代码是以
;作为字段的分隔,以}作为结尾(字符串除外),并且是根据长度判断内容的 .当长度不对应的时候会出现报错
可以反序列化类中不存在的元素
漏洞成因:利用序列化后的数据经过过滤后出现字符变多或变少,导致字符串逃逸
根据漏洞类型分为两大类:
- 字符串变多
- 字符串变少
Pop chain
后序补充......
边栏推荐
猜你喜欢
Smart Tips for Frida Scripting in Kali Environment
MySql Advanced -- Constraints
PHP8.2中字符串变量解析的新用法
(7) 浅学 “爬虫” 过程 (概念+练习)
DVWA靶机安装教程
CTF-网鼎杯往届题目
The roll call system and array elements find maximum and minimum values for sorting of objects
PHP8.2的版本发布管理员和发布计划
New usage of string variable parsing in PHP8.2
![[league/climate] A robust command-line function manipulation library](/img/ce/39114b1c74af649223db97e5b0e29c.png)
[league/climate] A robust command-line function manipulation library
随机推荐
TypeScript error error TS2469, error TS2731 solution
(2)Thinkphp6模板引擎**标签
Shuriken: 1 vulnhub walkthrough
DarkHole: 2 vulnhub walkthrough
使用PHPMailer发送邮件
1.初识PHP
4.表单与输入
MySql高级 -- 约束
MySql Advanced -- Constraints
Orasi: 1 vulnhub walkthrough
数组的高级操作
hackmyvm-bunny walkthrough
2.PHP变量、输出、EOF、条件语句
14.JS语句和注释,变量和数据类型
PHP的几个有趣的打开方式:从基本到变态
(3) 字符串
12. What is JS
PHP 给图片添加全图水印
3.PHP数据类型、常量、字符串和运算符
What are the PHP framework?