PHP反序列化漏洞(入门1)

admin 2024年3月22日10:06:40评论12 views字数 1296阅读4分19秒阅读模式

漏洞产生原理

没有对用户输入的序列化字符串做检测,导致攻击者可以控制反序列化过程。

序列化(serialize()//将一个对象转换成一个字符串

反序列化(unserialize()//将字符串还原成一个对象

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题。

漏洞利用

利用条件:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法。

魔术方法:

__construct(): //构造函数,当对象new的时候会自动调用

__destruct()://析构函数当对象被销毁时会被自动调用

__wakeup(): //unserialize()时会被自动调用

__invoke(): //当尝试以调用函数的方法调用一个对象时,会被自动调用

__call(): //在对象上下文中调用不可访问的方法时触发

__callStatci(): //在静态上下文中调用不可访问的方法时触发

__get(): //用于从不可访问的属性读取数据

__set(): //用于将数据写入不可访问的属性

__isset(): //在不可访问的属性上调用isset()或empty()触发

__unset(): //在不可访问的属性上使用unset()时触发

__toString(): //把类当作字符串使用时触发

__sleep(): //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用

序列化字符串解释:

PHP反序列化漏洞(入门1)

漏洞形成案例:

代码:

<?php

class C{

public $cmd='ipconfig';

public function __destruct(){

system($this->cmd);

}

public function __construct(){

echo '__construct()魔术方法被执行:xiaoheizi'.'<br><br>';

}

}

//函数引用,无对象创建触发魔术方法自定义变量

$c=new C();

//echo '序列化对象为字符串:'.serialize($c).'<br><br>';

//?c=O:1:"C":1:{s:3:"cmd";s:3:"ipconfig";}

//unserialize($_GET[c]);

?>

new对象时,里面的__construct()方法就会执行,代码执行结束自动销毁时__destruct()方法就会执行

PHP反序列化漏洞(入门1)

执行结果

PHP反序列化漏洞(入门1)

将对象序列化为字符串:

PHP反序列化漏洞(入门1)

序列化结果:O:1:"C":1:{s:3:"cmd";s:8:"ipconfig";}

PHP反序列化漏洞(入门1)

即使不在new对象,使用反序列化函数,传递参数值为对象的序列化字符串时

PHP反序列化漏洞(入门1)

依然会触发对象中的‘__destruct()‘魔术方法

PHP反序列化漏洞(入门1)

控制序列化字符串内的变量值为”ver:O:1:"C":1:{s:3:"cmd";s:3:"ver";}成功执行命令

PHP反序列化漏洞(入门1)

案例:typecho cms 存在反序列化漏洞

代码审计思路看:https://www.anquanke.com/post/id/155306

原文始发于微信公众号(小黑子安全):PHP反序列化漏洞(入门1)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月22日10:06:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PHP反序列化漏洞(入门1)https://cn-sec.com/archives/2592767.html

发表评论

匿名网友 填写信息