文章目录
- 1、什么是反序列化操作? - 类型转换
- 2、常见PHP魔术方法- 对象逻辑
- 魔术方法概念
- 常见魔术方法
- 魔术方法与反序列化漏洞
- 3、反序列化安全漏洞
- 原理:
- 漏洞探针
- 漏洞危害
- 4、反序列化漏洞利用- POP链构造
- 反序列化常见起点
- 反序列化常见跳板
- 反序列化常见终点
- POP链构造练习:
1、什么是反序列化操作? - 类型转换
- PHP & JavaEE & Python
序列化:将对象转换为数组或字符串等格式
反序列化:将数组或字符串等格式转换成对象
相关函数
serialize() //将对象转换成一个字符串
unserialize() //将字符串还原成一个对象
为什么要序列化(将对象转换为字节序列字符串格式)?
- 要将对象状态保存在文件或数据库中时,无法直接保存,需要将对象进行序列化,读取时反序列化
- 要将对象进行远程传输时(如前后端交互发送数据),将字符化的数据进行传输,接收后进行反序列化
2、常见PHP魔术方法- 对象逻辑
魔术方法概念
一个类中自带的特殊的方法,可以不需要主动调用,会在程序运行的一些特殊时刻自动触发。
魔术方法名称不可更改,但是可以重写。
常见魔术方法
__construct()
: 在实例化一个对象时自动调用,用于对象的初始化操作。__destruct()
: 在对象被销毁时自动调用,用于执行清理操作。__get($property)
: 在访问一个不可访问的属性时自动调用,用于获取属性的值。__set($property, $value)
: 在给一个不可访问的属性赋值时自动调用,用于设置属性的值。__isset($property)
: 在对不可访问的属性使用 isset() 或 empty() 时自动调用,用于判断属性是否已设置。__unset($property)
: 在对不可访问的属性使用 unset() 时自动调用,用于销毁属性。__call($method, $arguments)
: 在调用一个不可访问的方法时自动调用,用于动态调用方法。__callStatic($method, $arguments)
: 在调用一个不可访问的静态方法时自动调用,用于动态调用静态方法。__toString()
: 在将对象以字符串形式输出时自动调用,用于自定义对象的字符串表示。__invoke()
: 在将对象作为函数调用时自动调用,用于将对象作为可调用的函数。__wakeup()
: 在对象被反序列化时自动调用,用于对象的重新初始化操作,与反序列化漏洞相关。__set_state($properties)
: 在使用 var_export() 导出一个对象时调用,用于自定义对象的导出。__clone()
: 在对象被克隆时自动调用,用于处理对象的深拷贝。__sleep()
: 在对象被序列化时自动调用,用于返回需要被序列化的属性列表。__autoload($class)
: 在使用未定义的类时自动调用,用于自动加载类文件。__debugInfo()
: 在调用 var_dump() 时自动调用,用于自定义对象的调试信息。
魔术方法与反序列化漏洞
在PHP中,对象的序列化和反序列化通常会触发魔术方法的调用,特别是__wakeup()
和 __destruct()
方法。
__wakeup()
: 在对象被反序列化时自动调用,用于对象的重新初始化操作。如果未正确实现,恶意用户可以在对象重新初始化时执行恶意代码,导致安全漏洞。__destruct()
: 在对象被销毁时自动调用,用于执行清理操作。如果未正确实现,恶意用户可以在对象销毁时执行恶意代码,导致安全漏洞。
因此,开发者在编写具有反序列化功能的PHP应用程序时,如果没有正确安全的实现相关魔术方法,就会被恶意用户利用反序列化漏洞来执行不受控制的代码。
3、反序列化安全漏洞
原理:
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
示例漏洞:
<?phpclass B{public $cmd='ipconfig';public function __destruct(){system($this->cmd);}}//函数引用,无对象创建触发魔术方法unserialize($_GET['x']);
漏洞探针
反序列化漏洞一般经常通过白盒审计发现,发现后可能会公开
在黑盒中几乎不可能发现未知的反序列化漏洞,只能通过目标的技术栈类型及版本来找到有公开过的反序列化漏洞,再通过工具来利用。
漏洞危害
- 远程代码执行(RCE): 恶意用户可以利用反序列化漏洞来执行任意代码,包括远程命令执行,这可能导致服务器被完全控制。
- 敏感信息泄露: 攻击者可以利用反序列化漏洞来访问和泄露应用程序中的敏感信息,例如数据库凭据、会话令牌等。
- 拒绝服务(DoS): 恶意用户可以利用反序列化漏洞来触发服务崩溃或资源耗尽,导致拒绝服务攻击,使应用程序不可用。
- 提权: 如果应用程序以特权权限运行,攻击者可以利用反序列化漏洞来提升其权限,例如从普通用户权限提升到管理员权限。
4、反序列化漏洞利用- POP链构造
POP:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,序列化攻击都在PHP魔术方法中出现可利用的漏洞,因自动调用触发漏洞,但如关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。
反序列化常见起点
-
__wakeup()
: 在对象被反序列化时自动调用,用于对象的重新初始化操作,与反序列化漏洞相关。 -
__destruct()
: 在对象被销毁时自动调用,用于执行清理操作。 -
__toString()
: 在将对象以字符串形式输出时自动调用,用于自定义对象的字符串表示。
反序列化常见跳板
__get($property)
: 在访问一个不可访问的属性时自动调用,用于获取属性的值。__set($property, $value)
: 在给一个不可访问的属性赋值时自动调用,用于设置属性的值。__isset($property)
: 在对不可访问的属性使用 isset() 或 empty() 时自动调用,用于判断属性是否已设置。
反序列化常见终点
__call($method, $arguments)
: 在调用一个不可访问的方法时自动调用,用于动态调用方法。call_user_func()
一般php代码执行会选择这里call_user_func_array()
一般php代码执行会选择这里
构造pop链时去掉不用改变或不可改变的内容,将所需修改内容保留修改即可
POP链构造练习:
CTFSHOW-反序列化题目254~258