Web安全基础:反序列化漏洞详解(含PHP,Python示例)

已于 2025-01-03 18:16:20 修改
阅读量728 收藏 4
点赞数 11
CC 4.0 BY-SA版权
分类专栏: Web安全基础 文章标签: web安全 php 安全 网络 web python
于 2025-01-03 18:16:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HackYourself/article/details/144915765

当系统接收和处理外部输入的数据时,可能会通过反序列化过程执行恶意代码或操作。这个漏洞的根本原因在于,系统对反序列化数据的处理不够严格,导致攻击者能够将精心构造的数据注入到反序列化流程中,进而达到远程代码执行、数据篡改、权限提升等目的。

序列化与反序列化

  • 序列化:将对象转换为字节流(例如 JSON、XML 、Protobuf等),以便存储或传输。常见的应用场景包括保存对象到文件、数据库,或将数据通过网络发送给其他系统。
  • 反序列化:将字节流转换回原始对象的过程。通过反序列化,程序可以将接收到的数据恢复为对象结构。

常见反序列化漏洞的语言

  1. Java 反序列化漏洞: 在 Java 中,许多类库(如 ObjectInputStream)允许反序列化操作。如果不对输入的数据进行验证,攻击者可以构造一个恶意的序列化数据,利用 Java 对象中存在的漏洞(如不安全的反射或方法调用)执行恶意代码。例如,Commons Collections 中的某些类可以被滥用,执行远程代码。
  2. PHP 反序列化漏洞: PHP 中的 unserialize() 函数可以将序列化字符串转回 PHP 对象。攻击者可能通过修改序列化数据中的对象属性,触发恶意代码执行或数据泄露。一个经典的 PHP 反序列化攻击就是利用 __wakeup()__destruct() 等魔术方法来触发不安全的操作。
  3. Python 反序列化漏洞: Python 也有类似的问题,特别是在使用 pickle 模块时。pickle 可以将 Python 对象序列化为字节流,但它存在远程代码执行的风险,因为它在反序列化过程中会执行某些对象的 __reduce__ 方法,恶意对象可能利用这一点执行代码。

反序列化漏洞示例

PHP
在 PHP 中,unserialize() 函数用于将一个经过序列化的字符串转换为 PHP 对象或数组。然而,unserialize() 处理的过程中,PHP 会触发以下魔术方法:

  1. __construct():在对象被反序列化后自动调用,通常用于初始化对象的状态。
  2. __wakeup():在 unserialize()
最低0.47元/天 解锁文章

200万优质内容无限畅学
Python实现JSON序列化与反序列化:多种方法与案例详解
qq_42568323的博客
10-12 2440
在编程中,序列化指的是将数据结构(如字典、列表、对象等)转换为一种格式(如JSON、XML等),以便能够存储或传输。反之,反序列化是指将存储或传输的格式化数据重新解析为原始的数据结构。序列化(Serialization):将对象转换为JSON格式。反序列化(Deserialization):将JSON格式的数据解析为Python对象。在Python中,JSON序列化和反序列化主要使用内置的json库。在某些情况下,我们可能需要对JSON数据进行自定义的编码和解码。
Python Pickle反序列化漏洞
Lemon's blog
11-15 4853
前言: 刷题的候做了一道[CISCN2019]ikun的题目,提示考察的知识点是Python Pickle,之前接触的都是有关PHP反序列化,这次就来好好学习一下Python Pickle反序列化漏洞基础知识 0x00:Pickle库及函数 pickle是python语言的一个标准模块,实现了基本的数据序列化和反序列化。 pickle模块是以二进制的形式序列化后保存到文件中(保存文件的后缀为.pkl),不能直接打开进行预览。 函数 说明 dumps 对象反序列化为bytes对象
Python反序列化漏洞(入门)
xiaoheizi的博客
07-02 637
_reduce__()魔术方法,魔术方法中执行了传递的参数,参数意思是:执行调用计算器的系统命令。__reduce__()和__reduce_ex__()魔术方法:对象被反序列化自动调用。__setstate__()魔术方法:对象被反序列化自动调用。__getstate__()魔术方法: 对象被序列化自动调用。读取文件, 将文件中的序列化内容反序列化为对象。安装后会在当前Python目录下script。将字符串格式的字节流反序列化为对象。安装后会在当前Python目录下。parseObject等。
渗透测试 2 --- XSS、CSRF、文件上传、文件包反序列化漏洞
墨鱼菜鸡
07-11 3597
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
python安全开发——Web2 WriteUp反序列化漏洞
m0_61506558的博客
10-08 547
我们不妨把状态码改一下,admin.py 存在反序列化pickle.loads(),看不懂代码的看这个。将生成的 payload 传给 become 传入服务器可成功回显 flag。找密钥,正是刚才注册的 id,就想着这里能不能未授权登陆管理员账号。找page,使用sleep()函数是为了防止安全狗封IP。访问181,创建了一个账号,查看余额,远远不够买 lv6。出 JWT 的 key 为 1Kun。好家伙,垂直越权,找cookie。JWT非常熟悉,上星期刚刚挖过它。前端验证,F12修改打折的数目。
python pickle反序列化漏洞_Python反序列化漏洞
weixin_39745013的博客
12-08 329
1、什么是序列化和php的序列化一样,是把string,字典,数组,类这些数据当作字节储存2、picklepickle.dumps()和pickle.loads() 分别是序列化和反序列化pickle.dump()和pickle.load是对文件的写入import picklex= 'cccccc'y = [1,2,3,4]z = {'name':'hzx','pass':'zzz'}print(...
Python Pickle 反序列化漏洞
qq_46001025的博客
10-05 443
需要注意的一点:注意:对于我们自己定义的class,如果直接以 data=‘aaa’ 的方式赋初值,则这个date不会被打包,解决方案是写一个__init__()方法。python反序列化漏洞的产生和php的魔术方法有异曲同工之处,在Python2中的 __reduce__() 方法,会在每次的反序列化开始或结束调用。字节码,如果python有写入的权限,那么会生成一个 .pyc 的字节码文件,若没有那就再内存中生成字节码,程序结束后丢弃。(以下称为机器吧)维护了两个东西:栈区和存储区。
Python】Pickle/PyTorch反序列化漏洞
兴趣使然的创作者
02-28 1599
一个漏洞
详解python pickle中的反序列化漏洞
最新发布
公众号:该用户快成仙了
06-24 1476
反序列化过程有漏洞:如果我们反序列化了一个不可信的数据源,那就可能引发反序列化攻击。攻击者可以在序列化的数据里嵌入恶意代码,当你反序列化这个数据,这些恶意代码就会被执行,可能会导致数据泄露、系统崩溃,甚至让攻击者远程控制你的系统。Pickle模块是Python自带的,它主要用来序列化和反序列化Python对象。你可以用Pickle把任何Python对象(包括复杂的数据结构)保存成字节流,然后在需要的候再加载回来。Pickle的工作原理Pickle的工作原理其实很简单。
MySQL JDBC反序列化漏洞详解 - 适合初学者
这篇文档主要介绍了MySQL JDBC反序列化漏洞基础知识以及如何进行分析。这个漏洞是在Black Hat Europe 2019会议上讨论的话题,文章作者提供了详细的步骤,适合初学者学习。 首先,JDBC(Java Database ...
python反序列化漏洞 任意代码执行
01-20
上一篇博客中我介绍了python的字符串,元组,列表和字典的序列化 详细请看: python序列化中的字符串,列表,字典,类的序列化解释 这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型就可以实现任意代码执行 举个例子: import pickle import os class Student(object): name = 'yuaneuro' age = '20' def __reduce__(self):
weblogic反序列化漏洞验证脚本(python版)对4.18最新漏洞检测
05-11
weblogic最新漏洞的检测,自己已经测试,可以使用,在使用之前系统要安装python和修改py文件中的ip和weblogic端口
Python脚本实现Web漏洞扫描工具
09-21
是去年毕设做的一个Web漏洞扫描小工具,主要针对简单的SQL注入漏洞、SQL盲注和XSS漏洞。下文给大家介绍了使用说明和源代码,一起看看吧
浅谈python反序列化漏洞
Lethe's Blog
11-19 2968
0x01 python序列化与反序列化 Python 的序列化和反序列化是将一个类对象向字节流转化从而进行存储和传输,然后使用的候再将字节流转化回原始的对象的一个过程。python中的序列化操作是通过pickle模块,而该模块主要包l dumps将dict转化为str格式,loads将str格式转化为dict格式。 dump和load与文件操作结合起来, pickle.dump(obj, f...
python pickle反序列化漏洞
weixin_43610673的博客
05-20 3591
前置知识 什么是pickle pickle是Python专用的一个进行序列化和反序列化的工具包,pickle能表示Python几乎所有的类型(包括自定义类型),由一系列opcode组成,模拟了类似堆栈的内存。 与PHP序列化或者JSON,这些以键值对形式存储序列化对象数据的不同,pickle 序列化(Python独有)是将一个 Python 对象及其所拥有的层次结构变成可以持久化储存的二进制数据,无法像JSON 一样直观阅读。在Python中,采用术语 封存 (pickling)和 解封 (unpickli
Python反序列化漏洞及魔术方法详细全解(链构造、自动审计工具bandit)
ran的博客
04-17 4192
魔术方法执行调用下面的代码,如果下面的代码可控的话,就可能存在反序列化漏洞。pickle.dump(obj, file) :将对象序列化后保存到文件。 pickle.load(file) :读取文件, 将文件中的序列化内容反序列化为对象。 pickle.dumps(obj) :将对象序列化成字符串格式的字节流。 pickle.loads(bytes_obj) :将字符串格式的字节流反序列化为对象。寻找LV6 -> 购买修改支付逻辑 -> 绕过admin限制需修改jwt值 -> 爆破jwt密匙 -> 重组jw
python pickle反序列化漏洞_Python反序列化安全问题
weixin_39997194的博客
12-08 541
Python 反序列化安全问题()这一段间使用flask做web开发,使用了redis存储session,阅读了flask_session源码,发现在存储session到redis过程中,利用了cPickle模块进行序列化以及反序列化;正好根据该样例学习一波Python反序列化相关的安全问题,不足之处请各位表哥指出。一、基础知识讲解1.1 cPickle模块Python中主要是用cPickle...
[python]pickle反序列化漏洞(未完结)
山可行,海可平
03-29 5583
基础知识 实现:pickle或cpickle,二者仅实现语言不同(前纯python,后C),而cPickle性能更好 pickle库 标注库,实现了数据序列化和反序列化 pickle模块是以二进制的形式序列化后保存到文件(后缀:.pkl),不能直接打开 序列化后字符串的表意、序列化的规则->PVM(python序列化和反序列化过程最根本的) PVM 解释字节码的解释引擎 执行流程 PVM将源码编译成字节码 python将编译好的字节码转发到PVM(python虚拟机),PVM循环迭代执行字节码指令
python pickle反序列化漏洞_渗透测试 - 黑客技术 | 【技术分享】记CTF比赛中发现的Python反序列化漏洞_吾爱漏洞...
weixin_39618121的博客
12-12 751
写在前面的话在前几天,我有幸参加了ToorConCTF(https://twitter.com/toorconctf),而在参加此次盛会的过程中我第一次在Python中发现了序列化漏洞。在我们的比赛过程中,有两个挑战中涉及到了能够接受序列化对象的Python库,而我们通过研究发现,这些Python库中存在的安全漏洞将有可能导致远程代码执行(RCE)。由于我发现网上关于这方面的参考资料非常散乱,查找...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fly不安全

打赏= 更新快+质量好,感谢

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值