21-2 PHP反序列化漏洞原理

已于 2024-03-12 22:35:59 修改
阅读量675 收藏
点赞数
分类专栏: Web安全攻防全解析 文章标签: php 开发语言
于 2024-01-15 23:02:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43263566/article/details/135596770
版权
本文详细介绍了PHP反序列化漏洞的原理、产生条件、触发方式及魔术方法的作用。通过示例和靶场分析,揭示了攻击者如何利用漏洞执行恶意代码。最后,文章探讨了漏洞的危害并提出防范措施,包括输入验证、限制unserialize函数参数、避免在魔术方法中调用危险函数等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、原理:

序列化与反序列化是保证数据一致性的过程。

2、产生:

序列化与反序列化的过程中,用户可控

如果反序列化的参数受到攻击者的控制,就会产生漏洞。攻击者可以通过修改参数个数等方式来控制反序列化过程,从而导致代码执行、SQL注入、目录遍历等不可控后果。如果在反序列化过程中没有对用户输入的序列化字符串进行检测,就会导致安全漏洞。

3、触发:

unserialize()函数参数可控: 漏洞的触发点在于调用了unserialize()函数,并且该函数的参数是可被用户控制的。攻击者可以通过操纵序列化字符串中的数据来控制反序列化的过程,从而导致漏洞的触发。

PHP中存在可利用的类,且类中有魔术方法: 漏洞的触发还依赖于PHP中存在可利用的类,并且该类中实现了魔术方法。攻击者可以通过构造特定的序列化字符串来触发目标类中的魔术方法,进而执行恶意代码或者产生其他不可预期的行为。

4、魔术方法

PHP中以双下划线为前缀开头的方法,统称为魔术方法。这些方法都是系统预定义的特殊方法,在类或对象发生某个事件之前或之后,会自动调用这些方法,无需手动进行调用。如果希望根据自己的程序定制特殊功能的类,就需要对这些方法进行重写。

常见的魔术方法包括:

  • __construct: 在对象创建时(new)自动调用。
  • __de
了解本专栏 订阅专栏 解锁全文 超级会员免费看
PHP反序列化漏洞原理(附带pikachu靶场演示)
m0_69043895的博客
04-18 1550
可以理解为程序在执行unserialize()函数是,自动执行了某些魔术方法(magic method),而魔术方法的参数被用户所控制(通过控制属性来控制参数),这就会产生安全问题。:也叫对象注入,就是当程序在进行反序列化时,会自动调用一些函数,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。要利用反序列化漏洞,必须向unserialize()函数传入构造的序列化数据(定义合适的属性值)。
21-3 PHP反序列化漏洞-魔术方法绕过
weixin_43263566的博客
01-17 861
启动靶场 -> 在浏览器打开链接(这个靶场平台比较良心不用花钱,有些平台按分钟收钱,时间一到靶场不续费就自动关闭)先进行进行收集,根据页面提示网站备份,我们可以通过目录探测方式找到备份文件,并根据文件进行审计等后续操作,以达到读取flag文件的目的。在PHP中,__wakeup()是一个魔术方法,用于在反序列化对象时自动调用。来进行绕过,通过添加位置来改变类名的个数。或 搜索: “[极客大挑战 2019]PHP”:指定排除的HTTP状态码,以逗号分隔。
PHP反序列化漏洞原理
没有网络安全就没有国家安全
08-28 1112
本篇文章主要讲解PHP反序列化漏洞原理
PHP反序列化漏洞原理浅谈
wednesday的博客
07-12 894
序列化与反序列化 序列化就是指将数据结构或者对象状态转换成可取用的格式,以便在相同或者不同的计算机中进行数据的传输。 个人理解 就是将一个对象用一串字符表示出来用来进行通信和传输,一个类,里面包含很多方法和变量,不能直接以类这种格式进行传输,不然会传输很多的字符而且也不好识别。所以将类转换成一种固定的格式传输再进行逆向的转换这就是序列化与反序列化。 类比 淘宝上买个桌子,然后怎么送到你手里呢?如果将桌子整个送过来未免也太麻烦了,所以聪明的商家将桌子拆成很多个零部件进行运输,等到了目的地再将其进行组
PHP反序列化原理、类别、利用、危害和防御
最新发布
2303_80806493的博客
05-14 926
序列化是将对象或数据结构转换为字符串格式,便于存储或传输,反序列化则是将序列化字符串还原为原始对象或数据结构。序列化字符串的结构通常包括类型、长度和值,如对象、数组、字符串等。反序列化漏洞主要源于PHP反序列化时自动调用的魔术方法,如__wakeup()和__destruct(),攻击者可通过构造恶意序列化数据触发这些方法,执行危险操作如命令执行或文件操作。防御措施包括输入过滤、使用安全的数据格式如JSON、限制魔术方法、签名校验和白名单机制。实例分析展示了如何通过构造恶意对象触发漏洞,工具如PHPGGC
浅谈PHP反序列化漏洞原理
ting2909的博客
09-25 753
序列化用途:方便于对象在网络中的传输和存储 1|10x01 php反序列化漏洞PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 序列化就是将对象转换为流,利于储存和传输的格式 反序列化与序列化相反,将流转换为对象 例如:json序列化、XML序列化、二进制序列化、SOAP序列化 而php...
WEB安全-PHP反序列化漏洞原理
qq_59350385的博客
04-11 1844
一、漏洞原理 在提及漏洞前,首先要先理解PHP中的serialize()和unserialize()两个函数(由于没有PHP开发基础,请各位大哥指出小弟本文中的错误),serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储,再通过unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的magic function(魔术方法)来构造特定的语句,从而达到控制整个反
反序列化漏洞-02PHP反序列化漏洞原理测试及魔术方法总结
m0_64378913的博客
07-22 1283
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。(1)理解PHP反序列化漏洞的触发原理;(2)了解PHP相关的魔术方法及调用情况。...
反序列化漏洞-02PHP反序列化漏洞实验详解
cc
03-02 3085
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
PHP反序列化漏洞研究及原理
彼岸花苏陌的博客
11-29 531
前言: 反序列化是OWASP 2017中的一个比较大威胁的漏洞 而且一般安全类的问代码级的漏洞一般会问到这个,所以记录一下。 什么是反序列化? 首先引进两个函数,serialize(序列化函数)和unserialize(反序列化函数) 序列化与反序列化作用: 序列化: 对象转换为字符串的过程 这么讲可能有点晦涩难懂,上代码,看注释应该能看懂 <?php class student//定义类 { public $username='xiaoming';//定义对象 } $s=new stude
php反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
liuhyusb的博客
01-26 159
原理PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。防御:1)签名与认证。
PHP反序列化漏洞原理概述-FIRST
weixin_43726831的博客
11-07 936
PHP反序列化漏洞 1.产生背景 反序列化漏洞第一次众人皆知在2015年11月6日,最初出现在JAVA语言中,FoxGlove Security安全团队的Breenmachine发表了一篇博客,里面详细阐述了利用JAVA反序列化和Apache Commons Collections类库实现远程命令执行的真实案例,之后围绕着反序列化漏洞事件层出不穷,同时也出现在其他的语言中。 2.序列化与反序列化 ...
php反序列化原理漏洞
rnn0921的博客
08-23 424
PHP 反序列化漏洞是指在 PHP 代码中存在的对用户输入数据进行反序列化操作时,未对输入数据进行充分验证和过滤,导致攻击者可以构造恶意的序列化数据,从而在服务器端执行任意代码或进行其他恶意操作的安全漏洞
[web安全原理]PHP反序列化漏洞
笑花大王
01-26 225
前言 这几天一直在关注新管状病毒,从微博到各大公众号朋友圈了解感觉挺严重的看微博感觉特别严重看官方说法感觉还行那就取中间的吧 自己要会对这个东西要有理性的判断。关注了好两天所以耽搁了学习emmm 希望病毒早点过去吧! 反序列化漏洞 序列化和反序列化 为了有效地存储或传递数据,同时不丢失其类型和结构,经常需要利用序列化和反序列化函数对数据进行处理。 反序列化函数返回字符串,此字符串包含了...
PHP反序列化漏洞——漏洞原理及防御措施
cldimd的博客
03-20 7066
序列化 将对象转换成字符串 反序列化 将特定格式的字符串转换成对象 什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可...
php反序列化漏洞原理,PHP反序列化漏洞原理与复现
weixin_32459883的博客
03-17 316
php反序列化漏洞,又叫php对象注入漏洞序列化与反序列化serialize()当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。测试代码如下;class chybeta{var $test = '123';}$class1 = new chybeta;$class1_ser = serialize($class1);prin...
PHP反序列化漏洞原理与举例
W小哥
03-03 441
原理: 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。 在反序列化的过程中自动触发了某些魔术方法。 漏洞触发条件: unserialize函数的变量可控,php文件中存在可利用的类,类中有魔术方法 魔术方法: __construct()当一个对象创建时被调用 __destruct()当一个对象销毁时被调用 __toStrin...
php反序列化漏洞原理
08-09
PHP反序列化漏洞是一种安全漏洞,它利用了PHP中的反序列化函数unserialize()的特性。当我们从外部接收到一个序列化的数据,并使用unserialize()函数对其进行反序列化时,如果没有进行足够的验证和过滤,恶意用户可以构造一些特定的序列化数据,导致代码执行任意的PHP代码,从而可以进行远程代码执行、文件读写等攻击。 在引用中,演示了一个简单的反序列化漏洞的例子。通过序列化一个对象并使用echo serialize()将序列化后的字符串输出,然后使用unserialize()函数对其进行反序列化,从而恶意执行了"phpinfo();"。在引用中,展示了如何利用反序列化漏洞来执行任意代码,通过构造一个私有属性并使用urlencode()函数对序列化后的字符串进行编码。在引用中,展示了如何使用unserialize()函数对序列化的字符串进行反序列化。 综上所述,PHP反序列化漏洞原理是当我们在反序列化一个恶意构造的序列化数据时,由于缺乏足够的验证和过滤,恶意用户可以通过构造特定的序列化数据来执行任意的PHP代码,从而导致安全漏洞的产生。为了防止这种漏洞的发生,我们应该对从外部接收的序列化数据进行严格的验证和过滤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术探索

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值