当前位置: 首页 > article >正文

【Pikachu】PHP反序列化RCE实战

痛是你活着的证明

1.PHP反序列化概述

在理解 PHP 中 serialize()unserialize() 这两个函数的工作原理之前,我们需要先了解它们各自的功能及其潜在的安全隐患。接下来,我会对相关概念做更详细的扩展解释。

1. 序列化 serialize()

序列化(serialization)是指将一个对象或数据结构转换为字符串的过程,使其能够被存储、传输或存取。通俗来说,序列化就是将一个复杂的对象(如类实例)转换成一种可以存储或传输的形式(例如字符串或二进制数据)。这使得对象数据可以在网络上传输,或者保存在文件中,以后再还原成原来的对象。

假设有一个 PHP 类如下:

class S {
    public $test = "皮卡丘";
}

$s = new S();  // 创建一个对象

现在,我们调用 serialize($s) 来将该对象转换为字符串:

$serialized = serialize($s);

这时,$serialized 的内容将是:

O:1:"S":1:{s:4:"test";s:7:"皮卡丘";}

解释:

  • O: 表示这是一个对象。
  • 1: 表示该对象的类名长度为 1。
  • "S" 是该对象的类名。
  • 1: 表示该对象包含一个属性。
  • {s:4:"test";s:7:"皮卡丘";} 是该对象属性的描述:
    • s:4:"test"; 表示属性名称为 test,长度为 4 字符。
    • s:7:"皮卡丘"; 表示属性值为 “皮卡丘”,长度为 7 字符。

序列化后的字符串可以被安全地存储或传输。然后在需要时,通过 unserialize() 函数将其还原为原来的对象。

2. 反序列化 unserialize()

反序列化(unserialization)是将一个经过序列化的字符串重新转换为原始对象的过程。unserialize() 函数接收一个序列化的字符串作为输入,并将其转换为一个对象,使得我们可以继续在代码中使用这个对象。

示例代码:

$serialized = 'O:1:"S":1:{s:4:"test";s:7:"皮卡丘";}';
$unserialized = unserialize($serialized);
echo $unserialized->test;  // 输出:皮卡丘

通过 unserialize(),我们将序列化的字符串还原为对象 $unserialized,然后可以像操作普通对象一样使用它。上面的例子中,输出结果是 皮卡丘,因为这是对象的 test 属性值。

3. 安全隐患:当反序列化的数据是用户可控的

序列化和反序列化本身是非常常见且有用的操作,但它们带来的一大安全风险就是反序列化不安全的数据。特别是当反序列化的内容是由用户控制时,如果不进行严格的验证和过滤,可能会导致 PHP 漏洞 的产生。这类漏洞通常是通过反序列化数据触发的 对象注入攻击(Object Injection Attack),并且通过精心构造的序列化数据,攻击者可能执行恶意代码,导致系统被攻陷。

4. PHP 魔法方法(Magic Methods)

在 PHP 中,魔法方法是类中的特殊方法,这些方法可以自动触发某些特定操作。常见的魔法方法包括:

  • __construct():当对象创建时被调用。
  • __destruct():当对象销毁时被调用。
  • __toString():当对象被当作字符串使用时被调用。
  • __sleep():在对象序列化之前调用。
  • __wakeup():在对象反序列化之后调用。

其中,__destruct()__sleep()__wakeup() 可能会在反序列化过程中被触发,如果这些方法的行为没有得到适当的保护,就可能被攻击者利用。

5. 反序列化漏洞的利用

让我们看一个具体的例子,展示如何通过反序列化漏洞执行恶意代码。假设有以下代码:

class S {
    var $test = "皮卡丘";
    
    function __destruct() {
        echo $this->test;
    }
}

$s = $_GET['test'];  // 假设攻击者通过 GET 参数传入序列化数据
@$unser = unserialize($s);  // 反序列化用户输入的数据
攻击者构造的 payload:

假设攻击者通过 HTTP 请求传入以下序列化数据:

O:1:"S":1:{s:4:"test";s:29:"";}  // 空字符串

当 PHP 反序列化该字符串时,__destruct() 方法会被调用,并输出 $test 属性的值。如果 $test 属性为空,攻击者可以利用这种方式在销毁对象时执行一些其他的操作(如输出敏感信息、执行恶意代码等)。

潜在的安全问题:

如果攻击者能够控制 $test 属性的值或通过其他方式修改对象的状态,他们可能会触发恶意代码执行。比如,他们可能在 __destruct() 方法中放入恶意的 PHP 代码,导致服务器被攻陷。

6. 防范措施

要避免反序列化漏洞带来的风险,应该采取以下防范措施:

  • 严格验证输入数据:永远不要直接反序列化来自用户输入的数据。如果必须反序列化用户提供的数据,先进行严格的验证,确保其格式和来源是可信的。

  • 禁用不必要的魔法方法:如果不需要某些魔法方法(如 __wakeup()__destruct()),可以禁用它们,或者确保它们不会执行不安全的操作。

  • 使用 JSON 代替序列化:如果数据格式允许,使用 json_encode()json_decode() 替代 serialize()unserialize(),因为 JSON 不会触发对象的魔法方法,降低了潜在的安全风险。

  • 限制 unserialize() 的类:可以通过 allowed_classes 参数限制 unserialize() 函数可反序列化的类,防止恶意对象注入。

结语

PHP 的 serialize()unserialize() 功能为开发者提供了强大的数据持久化和传输能力,但如果不小心使用或缺乏适当的安全措施,可能会成为攻击者利用的漏洞源。通过理解这些函数的工作原理,以及它们在实际应用中的潜在安全风险,开发者可以采取更有效的防护措施,确保应用的安全性。

2.PHP反序列化漏洞实战

根据序列化的原理

首先我们在本地写一个serialize.php文件,进行序列化

代码如下

<?php
 
 class S{
     var $test = "<script>alert(/xss/)</script>";
 }
  
 $b = new S();
 echo serialize($b);
 ?>

在本地程序执行,得到序列化的结果

O:1:"S":1:{s:4:"test";s:29:"<script>alert(/xss/)</script>";}

在这里插入图片描述

将这一结果填入到具有反序列化漏洞的网站中,成功触发xss漏洞

在这里插入图片描述

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN: 
https://rdyx0.blog.csdn.net/

公众号:儒道易行
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

http://www.kler.cn/a/401890.html

相关文章:

  • vscode 快捷键生成代码
  • Label-studio-ml-backend 和YOLOV8 YOLO11自动化标注,目标检测,实例分割,图像分类,关键点估计,视频跟踪
  • C 语言标准库 - <stdlib.h>
  • WPF MVVM框架
  • 闫氏DP分析法应用
  • Springboot3.3.5 启动流程之 tomcat启动流程介绍
  • Django数据库迁移与反向迁移处理方案分析
  • C#使用App.config读写配置键值的简单示例
  • E45.【C语言】练习:输入10个整数查找找并打印不相同的数字及个数
  • 测试杂文 - linux串口打印
  • Rust宏系列教程—自定义派生宏
  • uniapp开发的陪玩系统该如何实现后端PHP语言的书写?
  • Android集成FCM(Firebace Cloud Messaging )
  • 9.《滑动窗口篇》---①长度最小的子数组(中等)
  • Elasticsearch 查看磁盘占用 查看指定索引磁盘占用
  • SpringBoot 2.2.10 无法执行Test单元测试
  • Excel数据动态获取与映射
  • MySQL SELECT 语句执行链路解析
  • C++ 容器全面剖析:掌握 STL 的奥秘,从入门到高效编程
  • 24.UE5枚举,怪物分类,龙卷风技能
  • LLaMA与ChatGLM选用比较
  • 无插件H5播放器EasyPlayer.js RTSP播放器chrome/edge等浏览器如何使用独立显卡
  • 构建安全护盾:HarmonyOS 应用的数据安全审计与日志管理实战
  • 自动驾驶系列—告别眩光烦恼:智能大灯如何守护夜间行车安全
  • Linux(命令行扩展+命令行历史 大白话+图片)
  • 查询我正在学习的课程