个人总结

参考：https://portswigger.net/web-security/deserialization

- name: 个人总结
  desc: 参考：https://portswigger.net/web-security/deserialization
  bgColor: '#F0DFB1'
  textColor: 'green'

不安全的反序列化笔记

1不安全的反序列化基本知识

1、什么是序列化？

答案

序列化是将复杂的数据结构（如对象及其字段）转换为 “更扁平” 格式的过程，该格式可以作为顺序字节流发送和接收。序列化数据使以下操作变得更加简单：

• 将复杂数据写入进程间内存、文件或数据库
• 例如，通过网络、在应用程序的不同组件之间或在 API 调用中发送复杂数据

至关重要的是，在序列化对象时，其状态也会持久化。换言之，对象的属性及其对应的值都将得到保留。

2、序列化有哪些格式？

答案

根据语言的不同，可以分为：

1. 二进制格式
2. 字符串格式（因语言而异），具有不同程度的人类可读性

3、有一些私有字段不需要序列化，如何设置？

答案

若要防止字段被序列化，必须在类声明中将其显式标记为 “transient”（例如Java中的transient关键字 (opens new window)）。

4、什么是反序列化？

答案

反序列化是将经过序列化的字节流 还原到原始对象的全功能副本的过程，还原后的状态与序列化时的状态完全相同。然后，网站的逻辑可以与这个反序列化对象进行交互，就像它与任何其他对象一样。

5、什么是不安全的反序列化？

答案

用户可控数据被网站反序列化。这使得攻击者能够操纵序列化对象，以便将有害数据传递到应用程序代码中。有时也被称为 “对象注入” 漏洞。

6、反序列化攻击一定要 完成整个反序列化过程 才能攻击成功吗？

答案

许多基于反序列化的攻击，在反序列化结束之前就已经完成攻击。这意味着反序列化过程本身也可以用于发起攻击，即使网站自身的功能 不会直接与恶意对象交互。

7、不安全的反序列化漏洞是如何产生的？

答案

1. 人们普遍缺乏 对用户可控数据进行反序列化 的危险性的理解。理想情况下，用户输入永远不应该被反序列化
2. 人们以为实现了检查（过滤）功能即可高枕无忧，但这不能应对每一种突发情况。某些检查功能甚至在 反序列化之后 才开始进行检查，这无法起到防护效果
3. 在使用 二进制格式 的序列化对象时，人们以为攻击者无法操纵二进制格式的数据，但其实攻击者照样可以生成、读取和操纵二进制格式的序列化对象
4. 现代网站的依赖项太多，庞大的代码库难以安全管理。因此无法预测恶意数据的流动方向，并堵塞每一个潜在的漏洞

不可信输入 + 反序列化 = 不安全的反序列化

8、不安全的反序列化有什么影响？

答案

它为大量攻击面提供了入口点，允许攻击者以有害的方式重用现有应用程序代码，从而导致许多其他漏洞，这通常是远程代码执行。

即使是在无法远程代码执行的情况下，也可能导致权限提升、任意文件访问和拒绝服务攻击。

9、PHP序列化格式以及特征

答案

PHP 使用字符串格式来表示经过序列化的内容，例如：

• 该对象创建自 4 个字符的类名User，且具有 2 个属性
• 第一个属性的键为 4 个字符且是 string 类型的"name"
• 第一个属性的值为 6 个字符且是 string 类型的"carlos"
• 第二个属性的键为 10 个字符且是 string 类型的isLoggedIn
• 第二个属性的值为 bool 类型的true（0 表示false，1 表示true）

O:4:"User":2:{s:4:"name":s:6:"carlos"; s:10:"isLoggedIn":b:1;}

PHP 的反序列化方法为unserialize()，在源代码中查找unserialize()并进一步审查。

10、Java序列化格式以及特征

答案

Java 使用二进制格式来表示经过序列化的内容，这些内容始终以相同的字节开头：

• 在十六进制中，这些相同的字节被编码为ac ed
• 在 Bsae64 中，这些相同的字节被编码为rO0

Java 的readObject()方法用于从输入流中读取和反序列化数据，在源代码中查找readObject()并进一步审查。

2利用不安全的反序列化漏洞

1、如何利用不安全的反序列化漏洞？

答案

1. 操纵序列化对象

• 修改对象属性
• 修改对象数据类型

2. 利用网站功能对序列化对象进行危险操作
3. 注入任意对象
4. 使用预构建的小工具链

• Java 通用小工具链
• PHP 通用小工具链
• 收录在案的小工具链

5. 创建你自己的漏洞载荷

• 研究源代码，确定一个类，以及类中的某个魔术方法。
• 评估这个魔术方法，检查它是否对 用户可控数据 进行了任何危险操作。如果该魔术方法无法直接利用，则可以尝试将其作为 “小工具链” 链式结构的一部分。重复此过程，跟踪你可以访问的每一个值，直到死胡同，或成功识别出一个危险方法为止。
• 最后，根据你识别出的 “小工具链”，构造一个恶意序列化对象并传入网站
• 在构造自己的小工具链时，留意额外攻击面，不要放过触发次要漏洞的机会

6. PHAR 反序列化
7. 通过内存破坏利用反序列化

2、PHP中有哪些常用的魔术方法？

答案

• __construct()：当一个类被实例化为对象时，自动调用该方法
• __destruct()：在销毁一个对象之前（对象从内存中删除之前），自动调用该方法
• __toString()：当一个类对象被当作 字符串 来使用时，自动调用该方法
• __sleep()：在开始序列化之前自动调用。该方法常用于提交未提交的数据，或类似的清理操作
• __wakeup()：在开始反序列化之前自动调用。该方法一般用于预先准备对象需要的资源，例如重新建立数据库连接，或执行其它初始化操作
• __serialize()：和__sleep()类似，定义该方法后将覆盖__sleep()方法
• __unserialize()：和__wakeup()类似，定义该方法后将覆盖__wakeup()方法
• 读取不可访问（protected / private）或不存在的属性值时，__get()会被调用。

更加详细的信息可参阅PHP官方文档-魔术方法 (opens new window)

学习更多

魔术方法

3、有哪些现成的反序列化预构建小工具？如果没有现成的工具怎么办？

答案

• java：ysoserial (opens new window)
• PHP：phpggc (opens new window)

如果没有现成的专用工具，可以到网络上进行搜索相关漏洞信息，看看是否有任何收录在案的漏洞载荷。然后自己手动调整该载荷，以构造一个适用于当前场景的新载荷。

4、PHAR反序列化？

教程中并没有对 PHAR 展开详细讲解......

可以参阅这两篇文章：

• PHP 开发常识：什么是 PHAR? (opens new window)
• PHAR 反序列化学习 (opens new window)
• 利用 phar 拓展 php 反序列化漏洞攻击面 (opens new window)

简单来讲：

• 在 Java 中你可以将一整个项目打包成.jar文件（另一种形式的压缩包），然后通过java -jar等方式来运行该文件
• 而在 PHP 中你可以将一整个项目打包成.phar文件（另一种形式的压缩包），然后通过phar://伪协议来获取其中的某个文件

若想要访问 PHAR 文件：

• 可以用require_once phar://<PHAR文件>文件包含的方式直接引入整个.phar项目代码。
• 又或是通过phar://<PHAR文件>/<子文件>来访问其中的单个文件。

笔记

值得注意的是，伪协议phar://并不是通过文件扩展名来识别 PHAR 文件的，而是文件头部的关键字<?php __HALT_COMPILER();?>。所以 PHAR 文件可以拥有任意的扩展名。

5、PHAR文件的两种生成方式

提示

生成 phar 文件需要修改php.ini中的配置，将phar.readonly设置为Off

第一种，使用对象方法，以字符串形式来添加文件名称 和 文件内容

<?php
  class User{
    var $name;
  }
  $user = new User();
  $user->name = 'ZhangSan';

  $phar_file = new Phar('this-is.phar');                // 新建 PHAR 文件对象
  $phar_file->startBuffering();                         // 开始往压缩包中写入内容

  $phar_file->setStub('<?php __HALT_COMPILER(); ?>');   // 写入 PHAR 文件标识 (必要)
  $phar_file->setMetadata($user);                       // 往 PHAR 中添加一个对象
  $phar_file->addFromString('test.txt', 'Hello World'); // 往 PHAR 中添加一个文件

  $phar_file->stopBuffering();                          // 停止写入内容
?>

第二种，提前编辑好所需的文件，然后使用file_get_contents向对象中添加文件

• new Phar()的第 1 个参数是 PHAR 的本地文件名称
• new Phar()的第 2 个参数是 PHAR 对象应该如何处理文件（文件处理标识符）
• new Phar()的第 3 个参数是 PHAR 文件的别名，后续引用 PHAR 文件时都应该使用这个别名

<?php
  $phar_file = new Phar(
    'myapp.phar',
    FilesystemIterator::CURRENT_AS_FILEINFO | FilesystemIterator::KEY_AS_FILENAME,
    "myapp.phar"
  );

  $phar_file["index.php"] = file_get_contents('./src/index.php');
  $phar_file["common.php"] = file_get_contents('./src/common.php');
  $phar_file->setStub($phar_file->createDefaultStub('index.php'));    // 将 index.php 作为 PHAR 的初始化文件（入口点）
?>

3如何防范不安全的反序列化漏洞

答案

1. 避免对用户可控输入进行反序列化
2. 如果确实需要对 “不受信任的数据” 进行反序列化，可通过实现 数字签名 等功能来检查数据的完整性，以确保数据未被篡改
3. 所有的检查和过滤操作，都必须在反序列化开始之前进行
4. 避免使用泛型反序列化
5. 针对特定的类，创建自己的反序列化方法，将敏感的属性设置为 “私有” 字段
6. 反序列化漏洞是由 “对用户可控输入进行反序列化” 造成的，不要试图堵塞网站中的小工具链，这不切实际，因为小工具链本身并无危害