WEB漏洞——PHP反序列化

1_Ry發表於2021-09-13

WebPHP

序列化

首先說說什麼是序列化

序列化給我們傳遞物件提供了一種簡單的方法。serialize()將一個物件轉換成一個字串，並且在轉換的過程中可以儲存當前變數的值

而反序列化unserialize()將字串還原為一個物件。

通俗來說：通過反序列化在特定條件下可以重建php物件並執行php物件中某些magic函式。

在PHP應用中，序列化和反序列化一般用做快取，比如session快取，cookie等。

舉一個簡單的例子

<?php
class people{
 public $name;
 public $age;
 public $sex;
 
 function __construct($name,$age,$sex){   //_construct：建立物件時初始化
  $this->name = $name;
  $this->age = $age;
  $this->sex = $sex;
 }
}
$people=new people("hhy",20,"boy");
echo serialize($people);
?>

輸出結果：O:6:"people":3:{s:4:"name";s:3:"hhy";s:3:"age";i:20;s:3:"sex";s:3:"boy";}

“O”表示物件，6表示物件名長度為6

“people”為物件名，3表示有3個引數

“s”表示string物件

“i”表示int物件

反序列化輸出

$unpeople='O:6:"people":3:{s:4:"name";s:3:"hhy";s:3:"age";i:20;s:3:"sex";s:3:"boy";}';
var_dump(unserialize($unpeople)); //輸出用var_dump函式

或者

$u=unserialize('O:6:"people":3:{s:4:"name";s:3:"hhy";s:3:"age";i:20;s:3:"sex";s:3:"boy";}');
echo $u->name,$u->age,$u->sex;

輸出結果：object(people)#2 (3) { ["name"]=> string(3) "hhy" ["age"]=> int(20) ["sex"]=> string(3) "boy" }

輸出結果：hhy20boy

反序列化

序列化和反序列化本身沒有問題,但是如果反序列化的內容是使用者可以控制的,且後臺不正當的使用了PHP中的魔法函式,就會導致安全問題

unserialize()函式的引數可控
php中有可以利用的類並且類中有魔術方法

常見的魔術方法

__construct()：在建立物件時候初始化物件，一般用於對變數賦初值。

__destruct()：和建構函式相反，當物件所在函式呼叫完畢後執行。

__toString()：當物件被當做一個字串使用時呼叫。

__sleep():序列化物件之前就呼叫此方法(其返回需要一個陣列)

__wakeup():反序列化恢復物件之前呼叫該方法

__call():當呼叫物件中不存在的方法會自動呼叫該方法。

__get():在呼叫私有屬性的時候會自動執行

__isset()在不可訪問的屬性上呼叫isset()或empty()觸發

__unset()在不可訪問的屬性上使用unset()時觸發

<head>
<meta charset="UTF-8">
</head>
<?php 
class T{
    public $test=1;
    function __construct(){
        echo '呼叫了_construct<br>';
    }
    function __destruct(){
        echo '呼叫了_destruct<br>';
    }
    //function __sleep(){
    //    echo '呼叫了_sleep<br>'
    //}
    function __wakeup(){
        echo '呼叫了_wakeup<br>';
    }
}
$t=new T();
echo $t->test;
echo "<br/>";
$t1=serialize($t);
echo $t1;
echo "<br/>";
$t2=unserialize($t1);
echo $t->test;
echo "<br/>";

當程式執行前，serialize() 函式會首先檢查是否存在一個魔術方法__sleep.如果存在，__sleep()方法會先被呼叫，然後才執行序列化操作。這個功能可以用於清理物件，並返回一個包含物件中所有變數名稱的陣列。如果該方法不返回任何內容，則NULL被序列化，導致一個E_NOTICE錯誤。

unserialize()會檢查是否存在一個__wakeup方法。如果存在，則會先呼叫 __wakeup方法，預先準備物件資料。

漏洞舉例:
        class S{
            var $test = "pikachu";
            function __destruct(){
                echo $this->test;
            }
        }
        $s = $_GET['test'];
        @$unser = unserialize($a);

        payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

防禦

反序列化的問題是使用者引數的控制問題引起的，所以好的預防措施就是不要把使用者的輸入或者是使用者可控的引數直接放進反序列化的操作中去。

Web安全之PHP反序列化漏洞
2021-05-18
WebPHP
php反序列化漏洞
2020-10-06
PHP
PHP審計之PHP反序列化漏洞
2021-10-11
PHP
PHP反序列化漏洞總結
2020-04-24
PHP
php xss 反序列化漏洞
2024-03-08
PHP
潛藏在PHP安全的邊緣——淺談PHP反序列化漏洞
2020-07-30
PHP
PHP 反序列化漏洞入門學習筆記
2020-07-14
PHP筆記
網站安全防護-PHP反序列化漏洞修復
2020-08-11
網站PHP
[CTF/Web] PHP 反序列化學習筆記
2023-11-19
WebPHP筆記
PHP現反序列化漏洞或使WordPress遭遠端攻擊
2018-08-22
PHP
php反序列化
2021-11-10
PHP
php中序列化與反序列化
2015-04-03
PHP
Fastjson 反序列化漏洞史
2020-05-13
ASTJSON
PHP漏洞全解————10、PHP檔案包含漏洞
2018-07-05
PHP
PHP的序列化和反序列化入門
2023-03-27
PHP
漏洞分析 | Dubbo2.7.7反序列化漏洞繞過分析
2020-07-02
WEB漏洞——SQL
2021-09-09
WebSQL
記一次php反序列化漏洞中的POPchain和POC構造實戰
2024-04-09
PHPAI
Liferay Portal Json Web Service 反序列化漏洞(CVE-2020-7961)
2020-04-01
JSONWeb
Fastjson反序列化漏洞復現
2021-05-06
ASTJSON
Apache Shiro 反序列化漏洞分析
2021-11-12
Apache
Shiro 550反序列化漏洞分析
2021-10-07
PHP反序列化鏈分析
2022-05-09
PHP
PHP反序列化字串逃逸
2021-02-19
PHP字串
php反序列化小結
2020-12-13
PHP
Java安全之Cas反序列化漏洞分析
2021-05-27
Java
WebLogic 反序列化漏洞深入分析
2022-09-29
Web
php反序列化-unserialize3
2021-07-05
PHP
【JAVA-WEB常見漏洞-XSS漏洞】
2020-11-23
JavaWeb
[BUG反饋]分類授權漏洞
2020-04-04
Nginx+PHP 配置漏洞
2010-05-21
NginxPHP
php漏洞對策 (轉)
2007-12-11
PHP
java RMI相關反序列化漏洞整合分析
2020-08-19
Java
Fastjson 反序列化漏洞分析 1.2.25-1.2.47
2022-01-25
ASTJSON
Fastjson1.2.24反序列化漏洞復現
2021-01-28
ASTJSON
Python 反序列化漏洞學習筆記
2020-12-10
Python筆記
web app 觸控反饋
2017-09-22
WebAPP
PHP web 安全
2016-02-05
PHPWeb

WEB漏洞——PHP反序列化

序列化

反序列化

防禦

相關文章