【渗透入门】反序列化


反序列化漏洞

反序列化漏洞(Deserialization Vulnerability)是一种安全漏洞,它发生在应用程序将序列化的数据(通常是从不可信的源接收的数据)反序列化成对象时。序列化是将对象状态转换为可以存储或传输的格式的过程,而反序列化则是相反的过程,即将这些格式转换回对象。

这种漏洞通常发生在以下情况:

  1. 不安全的反序列化:应用程序接受序列化的数据,但没有进行适当的验证或限制,允许恶意数据被反序列化。
  2. 不信任的数据源:如果应用程序从不可信任的源接收数据,并将其反序列化,那么攻击者可以利用这一点来执行恶意代码。
  3. 类型混淆:攻击者可以构造特定的序列化数据,使得反序列化过程中的对象类型与预期不符,导致应用程序行为异常。

反序列化漏洞可能导致多种安全问题,包括但不限于:

  • 远程代码执行(RCE):攻击者可以利用漏洞执行远程代码。
  • 拒绝服务(DoS):攻击者可以发送恶意数据,导致应用程序崩溃或资源耗尽。
  • 数据泄露:攻击者可以利用漏洞访问或修改应用程序中的数据。
  • 权限提升:攻击者可以利用漏洞获得比预期更高的权限。

反序列化漏洞举例

反序列化漏洞通常发生在PHP应用中,当不可信的数据被用于对象的反序列化时,可能会导致安全问题。下面是一个简单的例子,展示了一个存在反序列化漏洞的PHP代码片段,以及如何利用这个漏洞。

  • 示例代码

    <?php
    class User {
        public $username;
        public $role;
    
        public function __construct($username, $role) {
            $this->username = $username;
            $this->role = $role;
        }
    
        public function __toString() {
            return "User: {$this->username} ({$this->role})";
        }
    }
    
    function deserializeUser($data) {
        $user = unserialize($data);
        echo $user . "\n";
    }
    
    $data = $_GET['data']; // 这里从GET参数获取数据,非常危险
    deserializeUser($data);
    ?>
    
  • 漏洞分析

    1. 不安全的反序列化: unserialize() 函数被用来将序列化的字符串转换回PHP值或对象。如果输入的字符串来自不受信任的源(如HTTP请求),这可能引发安全问题。

    2. 构造函数和属性直接访问: User 类的构造函数和属性可以被任意设置,这意味着攻击者可以通过精心构造的序列化字符串来控制这些值。

    3. 魔术方法的滥用: __toString() 方法在对象被转化为字符串时自动调用。虽然在这个例子中它只用于输出,但在某些情况下,魔术方法可以被恶意利用来执行任意代码。

  • 利用方法

    假设我们想让用户的角色变为admin,我们可以构造一个序列化字符串如下:

    O:4:"User":2:{s:8:"username";s:5:"hacker";s:4:"role";s:5:"admin";}
    

    将这个字符串作为data参数发送到上面的PHP脚本中,例如通过URL:

    http://example.com/vulnerable.php?data=O%3A4%3A%22User%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%22hacker%22%3Bs%3A4%3A%22role%22%3Bs%3A5%3A%22admin%22%3B%7D
    

    这将创建一个User对象,其用户名为hacker,角色为admin,然后输出这个信息。

存在命令执行的反序列化漏洞

在PHP中,反序列化漏洞可以被利用来执行任意命令,尤其是在对象的魔术方法(如__wakeup, __toString, __destruct等)中包含系统调用的情况下。下面是一个具体的示例,展示了这种漏洞如何发生,以及攻击者如何利用它。

  • 示例代码

    假设我们有一个ShellCommand类,它的__wakeup方法中包含了执行系统命令的逻辑:

    class ShellCommand {
        public $cmd;
    
        public function __construct($command) {
            $this->cmd = $command;
        }
    
        public function __wakeup() {
            system($this->cmd);
        }
    }
    
    function deserializeCommand($data) {
        $commandObj = unserialize($data);
        // 注意这里没有对$commandObj做任何操作,但__wakeup已经被调用了
    }
    
    // 正常使用
    $command = new ShellCommand('ls');
    $serializedCommand = serialize($command);
    deserializeCommand($serializedCommand);
    
    // 不安全的使用,直接从用户输入反序列化
    if (isset($_GET['data'])) {
        deserializeCommand($_GET['data']);
    }
    
  • 漏洞分析

    在这个示例中,ShellCommand类的__wakeup方法在反序列化后会被自动调用,其中执行了system($this->cmd),这会尝试执行存储在$this->cmd变量中的命令。如果攻击者能够控制序列化数据,他们就可以设置$cmd属性,从而执行任意命令。

  • 漏洞利用

    攻击者可以通过向deserializeCommand函数传递一个特制的序列化字符串来利用此漏洞。例如,他们可以尝试执行whoami命令:

    http://example.com/index.php?data=O:11:"ShellCommand":1:{s:3:"cmd";s:6:"whoami";}
    

    当服务器接收到这个请求并尝试反序列化这个字符串时,ShellCommand对象将被创建,其cmd属性设置为whoami,并且__wakeup方法将被调用,执行这个命令。

防御反序列化

修复PHP中的反序列化漏洞主要涉及到几个关键步骤:输入验证、白名单策略、最小权限原则以及使用安全的反序列化方法。以下是如何针对上述示例代码修复反序列化漏洞的具体步骤:

  1. 输入验证

    首先,确保所有来自外部的输入都经过严格的验证。对于序列化数据,这意味着检查其结构和内容是否符合预期。

    function validateSerializedData($data) {
        if (!preg_match('/^O:[0-9]+:"User":2:{s:[0-9]+:"username";s:[0-9]+:"[^"]+";s:[0-9]+:"role";s:[0-9]+:"user|admin";}$/i', $data)) {
            throw new Exception("Invalid data format");
        }
    }
    
  2. 白名单策略

    仅允许特定的类进行反序列化,避免用户能够控制反序列化过程。这通常涉及到在反序列化之前检查数据的类名。

    function deserializeUser($data) {
        $data = validateSerializedData($data); // 确保数据格式正确
        $user = @unserialize($data);
        if (!($user instanceof User)) { // 确保反序列化的是User类的实例
            throw new Exception("Invalid class type");
        }
        echo $user . "\n";
    }
    
  3. 最小权限原则

    在可能的情况下,限制反序列化对象的能力,尤其是魔术方法的使用。例如,你可以通过__sleep()方法指定哪些属性可以序列化。

    class User {
        public $username;
        private $role;
    
        public function __construct($username, $role) {
            $this->username = $username;
            $this->setRole($role);
        }
    
        public function __sleep() {
            return ['username'];
        }
    
        public function __wakeup() {
            // 可以在这里添加额外的安全检查
        }
    
        public function setRole($role) {
            if ($role !== 'user' && $role !== 'admin') {
                throw new Exception("Invalid role");
            }
            $this->role = $role;
        }
    
        public function getRole() {
            return $this->role;
        }
    
        public function __toString() {
            return "User: {$this->username} ({$this->getRole()})";
        }
    }
    
  4. 使用安全的反序列化方法

    考虑使用更安全的反序列化技术,如JSON。虽然JSON不支持完整的PHP对象模型,但对于大多数情况来说,它是足够安全的。

    function deserializeJson($data) {
        $userArray = json_decode($data, true);
        if (isset($userArray['username']) && isset($userArray['role'])) {
            $user = new User($userArray['username'], $userArray['role']);
            echo $user . "\n";
        } else {
            throw new Exception("Invalid JSON format");
        }
    }
    

通过以上步骤,显著降低应用程序受到反序列化攻击的风险。


万事到头都是梦,休休。明日黄花蝶也愁。

相关推荐

  1. 渗透入门序列

    2024-07-22 03:46:01       22 阅读
  2. WEB渗透—PHP序列(二)

    2024-07-22 03:46:01       60 阅读
  3. WEB渗透—PHP序列(七)

    2024-07-22 03:46:01       58 阅读

最近更新

  1. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-07-22 03:46:01       95 阅读
  2. Could not load dynamic library ‘cudart64_100.dll‘

    2024-07-22 03:46:01       103 阅读
  3. 在Django里面运行非项目文件

    2024-07-22 03:46:01       84 阅读
  4. Python语言-面向对象

    2024-07-22 03:46:01       93 阅读

热门阅读

  1. Windows图形界面(GUI)-DLG-C/C++ - 月历控件(MonthCalendar)

    2024-07-22 03:46:01       23 阅读
  2. Dijkstra

    2024-07-22 03:46:01       23 阅读
  3. B树:高效的数据存储结构

    2024-07-22 03:46:01       22 阅读
  4. newton算法实现的div的verilog

    2024-07-22 03:46:01       21 阅读
  5. Servlet会话跟踪基础

    2024-07-22 03:46:01       21 阅读
  6. 实变函数精解【6】

    2024-07-22 03:46:01       19 阅读
  7. springSecurity学习之springSecurity流程

    2024-07-22 03:46:01       18 阅读
  8. Symfony表单系统详解:构建强大且灵活的表单

    2024-07-22 03:46:01       21 阅读