PHP反序列化漏洞代碼審計

show0p · 發(fā)表于 2019-4-11 17:27:19

PHP反序列化漏洞代碼審計1、什么是序列化

A、PHP網(wǎng)站的定義：

所有php里面的值都可以使用函數(shù)serialize()來返回一個包含字節(jié)流的字符串來表示。unserialize()函數(shù)能夠重新把字符串變回php原來的值。序列化一個對象將會保存對象的所有變量，但是不會保存對象的方法，只會保存類的名字。

按個人理解就是：

serialize()將一個對象轉(zhuǎn)換成一個字符串，unserialize()將字符串還原為一個對象。
當(dāng)然從本質(zhì)上來說，反序列化的數(shù)據(jù)本身是沒有危害的，用戶可控數(shù)據(jù)進行反序列化是存在危害的。

B、PHP反序列化

php允許保存一個對象方便以后重用，這個過程被稱為序列化。為什么要有序列化這種機制呢?在傳遞變量的過程中，有可能遇到變量值要跨腳本文件傳遞的過程。試想，如果為一個腳本中想要調(diào)用之前一個腳本的變量，但是前一個腳本已經(jīng)執(zhí)行完畢，所有的變量和內(nèi)容釋放掉了，我們要如何操作呢?難道要前一個腳本不斷的循環(huán)，等待后面腳本調(diào)用?這肯定是不現(xiàn)實的。因為這樣的操作，在小項目還好，在大項目里是極其浪費資源的。但是如果你將一個對象序列化，那么它就會變成一個字符串，等你需要的時候再通過反序列化轉(zhuǎn)換回變了變量，在進行調(diào)用就好了，在這樣就剩了資源的使用。

2、理解PHP反序列化漏洞
PHP類中有一種特殊函數(shù)體的存在叫魔法函數(shù)，magic函數(shù)命名是以符號__開頭的，比如 __construct, __destruct, __toString, __sleep, __wakeup等等。這些函數(shù)在某些情況下會自動調(diào)用，比如__construct當(dāng)一個對象創(chuàng)建時被調(diào)用，__destruct當(dāng)一個對象銷毀時被調(diào)用，__toString當(dāng)一個對象被當(dāng)作一個字符串使用。
而在反序列化時，如果反序列化對象中存在魔法函數(shù)，使用unserialize()函數(shù)同時也會觸發(fā)。這樣，一旦我們能夠控制unserialize()入口，那么就可能引發(fā)對象注入漏洞。

3、PHP反序列化漏洞利用的前提
a.unserialize()函數(shù)的參數(shù)可控；
b.php文件中存在可利用的類，類中有魔術(shù)方法

游客，如果您要查看本帖隱藏內(nèi)容請回復(fù)

Catsay · 發(fā)表于 2019-4-11 17:46:10

感謝分享正好反序列化漏洞不是很清楚

nanfangcike · 發(fā)表于 2019-5-10 17:59:59

11111111

lanni7 · 發(fā)表于 2019-5-13 10:20:34

PHP反序列化漏洞代碼審計

cjyes · 發(fā)表于 2019-5-13 10:29:56

我發(fā)現(xiàn)我一天也離不開資源共享吧了！

Linuxed · 發(fā)表于 2019-8-16 00:57:44

謝謝樓主分享

KeyboArd · 發(fā)表于 2020-3-19 23:57:53

super

5istudy · 發(fā)表于 2020-3-26 20:18:40

感謝分享

kevin · 發(fā)表于 2020-4-16 18:18:06

多謝分享

1700311361 · 發(fā)表于 2020-4-18 10:27:11

		自動登錄	找回密碼
密碼			注冊成為正式會員

[網(wǎng)絡(luò)安全/滲透測試] PHP反序列化漏洞代碼審計

終身VIP會員