您的位置:首页 > 游戏 > 手游 > [渗透测试] 反序列化漏洞

[渗透测试] 反序列化漏洞

2024/12/23 4:11:48 来源:https://blog.csdn.net/Da1NtY/article/details/140608143  浏览:    关键词:[渗透测试] 反序列化漏洞

反序列化漏洞

序列化:将对象的状态信息转换为可以传输或存储的形式的过程。简单的来说,就是将一个抽象的对象转换成可以传输的字符串 ,以特定的形式在进行之间实现跨平台的传输。

序列化大多以字节流、字符串、json串的形式来传输。将对象的某一状态写入永久或者临时存储区,在有需要的时候,就可以在存储区里读取对队形进行还原,也就是反序列化

1. 序列化与反序列化过程

例:

1.定义了一个Vul类:

<?phpclass Vul{public $str = "Dai";function __destruct(){@eval($this -> str);}
}
?>

test.php:

<?php
include "./vul.class.php";$s = new vul();
echo serialize($s);
echo "<hr />";$_s = $_GET['s_ser'];
$s = unserialize($_s);var_dump($s);?>

通过serialize( )$s 序列化,unserialize()用来反序列化

在这里插入图片描述

2. 漏洞成因

程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程有可能会被恶意利用,造成恶意代码的执行。

如在php中,__construct( ) 函数会在创建对象的时候自动调用。__destruct( )会在销毁对象时自动调用。在php中__开头的函数会被自动调用。

3. 漏洞复现

  1. java反序列化

    [CVE 2017-10271]weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞

    [CVE 2016-4437]Apache Shiro 1.2.4 反序列化漏洞

化漏洞](https://vulhub.org/#/environments/shiro/CVE-2016-4437/)

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com