反序列化漏洞详解第一期从基础认知到原理拆解摘要反序列化漏洞是Web安全领域中危害极高、隐蔽性极强的漏洞类型之一也是渗透测试、安全运维中的核心重点log4j2、fastjson等知名应用的漏洞中都不乏它的身影。本系列文章分为两期第一期聚焦反序列化漏洞的基础认知、核心原理、序列化与反序列化的本质拆解Java、PHP两大主流语言的序列化机制与漏洞触发前提帮助零基础新手快速入门建立反序列化漏洞的核心认知为第二期的漏洞利用、靶场实操与防御措施做好铺垫。一、前言为什么反序列化漏洞值得重点学习在Web安全领域反序列化漏洞之所以被称为“高危漏洞之王”核心原因在于其危害范围广、利用门槛相对较低且隐蔽性极强——它不像SQL注入、XSS漏洞那样有明显的输入输出反馈往往隐藏在程序的底层逻辑中一旦被利用可能直接导致远程代码执行RCE、服务器控制权被夺取甚至引发内网横向渗透、核心数据泄露等严重后果。无论是企业安全测试、渗透测试工程师岗位还是CTF竞赛反序列化漏洞都是高频考点与必测项。很多新手在学习时容易被“序列化”“反序列化”的概念劝退其实只要理清核心逻辑从基础原理入手就能快速掌握其本质。本系列文章将分两期循序渐进讲解反序列化漏洞第一期本文基础认知 → 序列化与反序列化本质 → 主流语言Java/PHP序列化机制 → 漏洞触发核心前提第二期漏洞利用原理 → 靶场实操DVWA、Vulhub→ 常见利用工具 → 基础防御措施。建议新手先吃透第一期的基础内容再进入第二期的实操学习避免因基础薄弱导致实操困难。同时需坚守法律法规和职业道德所有技术学习仅用于合法的安全测试与防护严禁利用所学技术从事非法攻击活动。二、核心基础搞懂序列化与反序列化必学要理解反序列化漏洞首先必须明确两个核心概念序列化Serialization和反序列化Deserialization。这两个操作是程序开发中常用的数据处理方式漏洞的产生本质就是这两个操作的“不规范使用”。2.1 什么是序列化序列化简单来说就是将程序内存中的“对象”包含数据和方法转换为可存储、可传输的格式如二进制流、字符串、JSON、XML等的过程。举个通俗的例子我们在使用社交软件时发送的消息、上传的文件本质上都是程序中的“对象”这些对象无法直接在网络中传输也无法直接保存到本地文件或数据库中。此时程序会通过序列化操作将这些对象“打包”成一种通用的格式比如二进制流然后再进行传输或存储——这个“打包”的过程就是序列化。核心目的实现对象的“跨场景传递”网络传输、本地存储确保对象在不同环境、不同程序中能够被正确识别和使用。常见场景用户登录后服务器将用户信息对象序列化保存到Session中维持用户会话分布式系统中服务之间传递数据如订单信息、用户数据需先序列化程序将复杂数据如列表、对象保存到本地文件或数据库需通过序列化转换格式。2.2 什么是反序列化反序列化是序列化的“逆操作”——将序列化后的“打包数据”如二进制流、字符串还原为程序内存中原始对象的过程。继续用上面的例子社交软件接收消息时会将网络中传输的“二进制流”序列化后的数据通过反序列化操作还原为原始的消息对象然后展示给用户服务器读取Session中的序列化数据时会通过反序列化还原为用户信息对象验证用户身份。核心目的还原序列化的数据让程序能够正常使用这些数据对象实现数据的“复用”。关键注意点反序列化的过程会自动触发对象中的某些方法如Java的readObject()、PHP的__wakeup()这也是反序列化漏洞产生的核心关键——后续会详细拆解。2.3 序列化与反序列化的正常流程无漏洞正常情况下序列化与反序列化的流程是安全的核心流程如下程序A创建一个对象如用户信息对象包含用户名、密码等数据程序A对该对象进行序列化转换为可传输/存储的格式如二进制流序列化后的数据通过网络传输到程序B或保存到本地文件/数据库程序B读取序列化数据对其进行反序列化还原为原始的对象程序B正常使用还原后的对象完成业务操作如验证用户身份、展示数据。这个流程的核心安全前提是序列化的数据是“可信的”来自程序自身或合法的数据源且反序列化过程中程序会对数据进行严格校验不会执行非预期的操作。三、漏洞核心反序列化漏洞的本质的触发前提反序列化漏洞的本质很简单程序在反序列化过程中未对输入的序列化数据进行严格校验导致攻击者可以构造恶意的序列化数据诱导程序执行非预期的操作如远程代码执行、数据篡改、拒绝服务等。简单来说就是程序“信任”了不可信的序列化数据将恶意数据还原为对象后触发了对象中隐藏的恶意逻辑最终导致漏洞利用。3.1 漏洞触发的3个核心前提缺一不可反序列化漏洞并非所有程序都会存在必须同时满足以下3个前提漏洞才可能被利用这也是渗透测试中寻找反序列化漏洞的核心判断依据前提1程序存在反序列化操作程序必须有接收外部输入的序列化数据并对其进行反序列化的操作。如果程序仅进行序列化如只保存数据不读取还原或仅处理内部生成的序列化数据不接收外部输入则不会存在反序列化漏洞。常见的反序列化入口HTTP请求参数如POST请求中的参数、Cookie中的Session数据文件上传如上传包含序列化数据的文件程序读取后反序列化分布式系统中的服务间通信如RMI、Dubbo协议传递的序列化数据本地文件/数据库读取如读取包含序列化数据的日志文件、数据库字段。前提2反序列化的输入数据可被攻击者控制攻击者必须能够修改或替换反序列化的输入数据——这是漏洞利用的核心。如果程序反序列化的数据是固定的、不可修改的如内部生成的序列化数据即使存在反序列化操作攻击者也无法构造恶意数据漏洞无法利用。例如程序从Cookie中读取序列化的用户信息若Cookie未加密、未签名攻击者就可以修改Cookie中的序列化数据构造恶意对象触发漏洞。前提3反序列化过程中存在可被利用的危险逻辑这是漏洞产生的“核心诱因”。反序列化过程中程序会自动触发对象中的某些方法如Java的readObject()、PHP的魔术方法如果这些方法中包含危险操作如执行系统命令、写入恶意文件、读取敏感数据且操作的参数可被攻击者控制就会导致漏洞被利用。简单来说反序列化本身不产生漏洞是“反序列化危险逻辑”的组合才导致了漏洞的产生。例如Java中某个类重写了readObject()方法该方法中包含Runtime.getRuntime().exec()执行系统命令且命令参数可被攻击者控制那么反序列化该类的恶意对象时就会执行恶意命令。3.2 反序列化漏洞的核心危害新手必知反序列化漏洞的危害程度极高仅次于缓冲区溢出漏洞核心危害主要有4类新手需重点掌握远程代码执行RCE最严重的危害攻击者可通过构造恶意序列化数据执行系统命令如反弹shell、删除文件、修改配置直接夺取服务器控制权这也是反序列化漏洞最常见的利用目标数据篡改与泄露攻击者可修改反序列化后的对象属性如将普通用户改为管理员绕过身份验证或读取服务器中的敏感数据如数据库密码、用户信息拒绝服务攻击DoS构造畸形的序列化数据导致程序反序列化时出现异常如无限循环、内存溢出使服务崩溃无法正常提供服务权限提升利用反序列化漏洞执行高权限操作突破程序的权限控制获取更高的系统权限如从普通用户提升为root用户。四、主流语言Java与PHP的序列化机制重点反序列化漏洞的利用方式与编程语言的序列化机制密切相关——不同语言的序列化格式、触发方法不同漏洞的表现形式也不同。其中Java和PHP是Web开发中最常用的两大语言也是反序列化漏洞的高发语言本期重点拆解这两种语言的核心机制为第二期实操铺垫。4.1 Java序列化与反序列化机制Java作为面向对象的编译型语言其序列化机制相对严谨序列化格式为二进制流不可直接阅读漏洞触发依赖特定的方法和利用链也是企业级应用中反序列化漏洞的主要高发场景。4.1.1 Java序列化的核心要求Java中一个类要能被序列化必须满足两个核心条件该类必须实现java.io.Serializable接口标记接口无具体方法仅用于标记该类可序列化类中所有非静态属性static、瞬态属性transient不会被序列化仅序列化对象的非静态、非瞬态属性。4.1.2 Java序列化与反序列化的核心方法Java通过两个核心类和方法实现序列化与反序列化序列化通过ObjectOutputStream类的writeObject()方法将对象转换为二进制流反序列化通过ObjectInputStream类的readObject()方法将二进制流还原为对象。关键重点如果一个类重写了readObject()方法那么反序列化该类的对象时会优先执行重写后的readObject()方法——这是Java反序列化漏洞的核心触发点。攻击者可通过重写readObject()方法植入恶意逻辑构造恶意序列化数据触发漏洞。示例代码简单理解// 实现Serializable接口可被序列化 public class User implements Serializable { private String username; private String password; // 重写readObject()方法植入恶意逻辑 private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException { // 先执行默认的反序列化操作 in.defaultReadObject(); // 恶意逻辑执行系统命令calc.exe弹出计算器 Runtime.getRuntime().exec(calc.exe); } // getter/setter方法省略 } // 序列化操作 User user new User(); user.setUsername(admin); user.setPassword(123456); ObjectOutputStream oos new ObjectOutputStream(new FileOutputStream(user.ser)); oos.writeObject(user); // 将user对象序列化保存到user.ser文件 // 反序列化操作触发恶意逻辑 ObjectInputStream ois new ObjectInputStream(new FileInputStream(user.ser)); User user2 (User) ois.readObject(); // 反序列化时执行重写的readObject()弹出计算器注上述代码仅用于演示原理实际漏洞场景中恶意逻辑会更隐蔽且命令参数可被攻击者控制。4.1.3 Java反序列化漏洞的核心特点序列化格式为二进制流无法直接修改需通过工具如ysoserial生成恶意序列化数据漏洞触发依赖readObject()方法的重写或通过“利用链Gadget Chain”串联多个类的方法最终触发恶意代码执行——Java的安全设计较严谨单个类的readObject()通常无法直接执行命令需构造利用链高发于Java框架和第三方库如Apache Commons Collections、Struts2、WebLogic典型漏洞如CVE-2015-7501Apache Commons Collections反序列化漏洞、CVE-2017-10271WebLogic T3协议反序列化漏洞。4.2 PHP序列化与反序列化机制PHP作为脚本语言其序列化机制相对简单序列化格式为明文可阅读的字符串漏洞触发高度依赖PHP的“魔术方法”门槛较低是新手入门反序列化漏洞的首选学习场景。4.2.1 PHP序列化的格式特点PHP中对象序列化后会生成明文字符串格式清晰便于攻击者构造恶意数据格式如下核心格式// 格式O:类名长度:类名:属性个数:{属性1类型:属性1长度:属性1值;属性2类型:属性2长度:属性2值;...} // 示例User类类名长度52个属性username、password O:5:User:2:{s:8:username;s:5:admin;s:8:password;s:6:123456;}格式解析新手必懂O表示对象Object5表示类名长度“User”长度为5“User”表示类名2表示对象的属性个数s表示字符串类型string后续数字表示字符串长度{}内表示对象的属性及对应值属性类型:属性长度:属性值。4.2.2 PHP序列化与反序列化的核心函数PHP通过两个核心函数实现序列化与反序列化序列化serialize()函数将对象转换为上述格式的字符串反序列化unserialize()函数将序列化字符串还原为对象。关键重点PHP在反序列化过程中会自动触发特定的“魔术方法”预定义方法以__开头若这些魔术方法中包含危险操作如eval()、system()、文件写入且操作参数可被攻击者控制就会触发反序列化漏洞。4.2.3 PHP反序列化漏洞的核心触发点魔术方法PHP中与反序列化漏洞相关的核心魔术方法新手重点记__wakeup()反序列化之前触发最核心的触发点之一__destruct()对象被销毁时触发反序列化后若对象无引用会自动触发__toString()对象被当作字符串使用时触发如echo $obj、字符串拼接__call()调用不存在的方法时触发__get()访问不存在的属性时触发。示例代码简单理解// 定义一个包含危险魔术方法的类 class User { private $cmd; // 魔术方法反序列化前触发 public function __wakeup() { // 危险操作执行系统命令cmd参数可控 system($this-cmd); } // 魔术方法对象销毁时触发 public function __destruct() { // 危险操作写入恶意文件 file_put_contents(shell.php, ?php eval(\$_POST[cmd]);?); } } // 序列化操作正常场景 $user new User(); $user-cmd whoami; $serialized serialize($user); // 生成序列化字符串 echo $serialized; // 反序列化操作触发漏洞 $unserialized unserialize($serialized); // 反序列化时触发__wakeup()执行whoami命令对象销毁时触发 __destruct()写入webshell注上述代码中若攻击者能控制序列化字符串中的$cmd参数即可执行任意系统命令或写入恶意webshell实现漏洞利用。4.2.4 PHP反序列化漏洞的核心特点序列化格式为明文字符串攻击者可直接修改序列化数据构造恶意对象门槛较低漏洞触发依赖魔术方法中的危险操作无需复杂的利用链新手易上手高发于PHP框架如ThinkPHP、Laravel和自定义开发的PHP程序典型漏洞如ThinkPHP5.x反序列化漏洞。五、本期总结核心知识点梳理新手必背本期作为反序列化漏洞的基础篇核心是帮助大家建立基础认知理清原理为第二期的实操学习做好铺垫核心知识点梳理如下建议新手收藏记忆核心概念序列化对象→可传输/存储格式反序列化可传输/存储格式→对象漏洞本质程序未校验反序列化的输入数据攻击者构造恶意数据触发危险逻辑触发前提存在反序列化操作 输入数据可控制 存在可利用的危险逻辑Java机制需实现Serializable接口通过readObject()触发漏洞依赖利用链格式为二进制流PHP机制通过serialize()/unserialize()函数依赖魔术方法触发漏洞格式为明文字符串。下期预告第二期将聚焦反序列化漏洞的实战利用拆解Java、PHP反序列化漏洞的具体利用方法结合DVWA、Vulhub靶场进行实操演示讲解漏洞利用工具的使用以及基础的防御措施帮助大家将本期所学的基础原理转化为实战能力。网安学习资源网上虽然也有很多的学习资源但基本上都残缺不全的这是我们和网安大厂360共同研发的的网安视频教程内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识而且包含了中级的各种渗透技术并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频100多本网安电子书最新学习路线图和工具安装包都有不用担心学不全。这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源