5.17反序列化
1、原理
序列化:对象状态-可存储或传输形式的过程,将状态信息保存为字符串;
反序列化:序列化的字符串-对象;
恶意代码注入到应用程序中,程序从不安全来源反序列化数据时,数据从一种格式(json、xml)转化为(对象或列表),如果不检查安全性,则攻击者构造恶意代码在数据,程序反序列化时,恶意代码执行(RCE远程代码执行);
2、魔法函数
| 魔法函数 | 调用的时机 |
|---|---|
| __construct() | 初始化类的时候,一般对于变量进行赋值 |
| __destruct() | 和构造函数相反,在对象不再被使用时(将所有该对象的引用设为null)或者程序退出时自动调用 |
| __toString() | 当一个对象被当作一个字符串被调用,把类当作字符串使用时触发,返回值需要为字符串 |
| __wakeup() | 使用unserialize时触发,反序列化恢复对象之前调用该方法 |
| __sleep() | 使用serialize时触发.该函数需要返回以类成员变量名作为元素的数组(该数组里的元素会影响类成员变量是否被序列化。只有出现在该数组元素里的类成员变量才会被序列化 |
| __destruct() | 对象被销毁时触发 |
| __invoke() | 当脚本尝试将对象调用为函数时触发 |
3、防御
- 避免使用不知源外部数据序列化
- 输入序列化字符串验证
- 白名单
4、php反序列化
serialize() 对象转化字符串
unserialize() 字符串转化对象
思路:字符串转对象,复制对象中的数据,在编译;
5、JAVA反序列化
xiaodi-->txt乱码 序列化 wirteobject
txt乱码数据-->xiaodi 反序列化 readobject
序列化标志参考:数据以rO0AB开头,基本为java序列化之后base64编码后数据;aced开头,即为java序列化16进制数据;
6、payload
反弹shell解决无回显问题;
ipconfig= >序列化->base64=rO0AB格式字符串 最终payload
ysoserial工具生成payload;
登录用户返回数据包:"data":"rO0ABddsadahudqwhoodwhwdnssabndabnbnsabmdnakjqowhoi"
,解密先用base64解码之后用SerializationDumper解析数据
查看当前用户信息:
请求数据包:rO0ABddsadahudqwhoodwhwdnssabndabnbnsabmdnakjqowhoi
返回是ctfhub
发现思路:登录回显数据包时,数据为序列化结果数据,而查看用户信息时,将序列化数据输出回显了正常数据,构成了序列化和反序列化(关键);
