php反序列化魔术方法

已于 2024-05-13 14:42:44 修改
阅读量1k 收藏 16
点赞数 23
文章标签: php
于 2024-03-26 15:22:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80913334/article/details/136880866
版权

目录

系列文章

1、php面向对象基本概念、类与对象:http://t.csdnimg.cn/5fRcg

2、序列化与反序列化基础:http://t.csdnimg.cn/cZOZv

一、魔术方法

二、__construct()和__destruct()

1、__construct()

 2、__destruct()

三、__sleep()和__wakeup()

1、__sleep()

2、__wakeup()

四、__toString()和__invoke()

1、__toString()

2、__invoke()

五、错误调用相关魔术方法

1、__call()

2、__callStatic()

3、__get()

4、__set()

5、__isset()

6、__unset()

7、__clone()

总结

靶场地址:GitHub - mcc0624/php_ser_Class: php反序列化靶场课程,基于课程制作的靶场

系列文章

1、php面向对象基本概念、类与对象:http://t.csdnimg.cn/5fRcg

2、序列化与反序列化基础:http://t.csdnimg.cn/cZOZv

一、魔术方法

  • 定义:在php类保留方法中以 “__”两个下划线开头的函数称为魔术方法,是一个预定义好的,在特定情况下自动触发的行为方法。
  • 作用:魔术方法在特定条件下自动调用相关方法,最终导致触发代码
  • 类型:
__construct()    //类的构造函数
__destruct()    //类的析构函数
__call()    //在对象中调用一个不可访问方法时调用
__callStatic()    //用静态方式中调用一个不可访问方法时调用
__get()    //获得一个类的成员变量时调用
__set()    //设置一个类的成员变量时调用
__isset()    //当对不可访问属性调用isset()或empty()时调用
__unset()    //当对不可访问属性调用unset()时被调用
__sleep()    //执行serialize()时,先会调用这个函数
__wakeup()    //执行unserialize()时,先会调用这个函数
__toString()    //类被当成字符串时的回应方法
__invoke()    //调用函数的方式调用一个对象时的回应方法
__set_state()    //调用var_export()导出类时,此静态方法会被调用
__clone()    //当对象复制完成时调用
__autoload()    //尝试加载未定义的类
__debugInfo()    //打印所需调试信息

二、__construct()和__destruct()

1、__construct()

构造函数,在实例化一个对象的时候,首先会去自动执行的一个方法;在序列化和反序列化过程中不会触发;

触发时机:实例化对象        功能:提前清理不必要内容        参数:非必要        返回值:无

<?php
highlight_file(__FILE__);
class User {
    public $username;
    public function __construct($username) {
        $this->username = $username;
        echo "触发了构造函数1次" ;
    }
}
$test = new User("benben");    //触发
$ser = serialize($test);    //不触发
unserialize($ser);    //不触发

?>
-----------------------------------------------
触发了构造函数1次

 2、__destruct()

析构函数,在对象的所有引用被删除或者当对象被显示销毁时执行的魔术方法;在序列化过程中不会触发,在反序列化过程中会触发

注意:反序列化的动作本身是不会触发__destruct()的,会触发第二次的原因是反序列化生成的对象在最后释放时触发了__destruct()

触发时机:对象引用完成,反序列化之后        功能:非必要        参数:无        返回值:无

<?php
highlight_file(__FILE__);
class User {
    public function __destruct()
    {
        echo "触发了析构函数1次"."<br />" ;
    }
}
$test = new User("benben");    //触发
$ser = serialize($test);    //不触发
unserialize($ser);    //触发

?>
-------------------------------------------
触发了析构函数1次
触发了析构函数1次

__destruct()漏洞利用

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    var $cmd = "echo 'dazhuang666!!';" ;
    //__destruct()执行eval()
    public function __destruct()    
    {
        eval ($this->cmd);    //eval()触发代码
    }
}
$ser = $_GET["benben"];
unserialize($ser);    //unserialize()触发__destruct()

?>

unserialize()触发__destruct(); __destruct()执行eval();eval()触发代码

 

三、__sleep()和__wakeup()

1、__sleep()

serialize()函数会检查类中是否存在__sleep();如果存在,__sleep()先被调用,然后才执行序列化操作;此方法可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组;如果该方法未返回任何内容,则NULL被序列化,并产生一个E_NOTICE级别的错误。

*E_NOTICE级别参考资料链接:http://t.csdnimg.cn/3QjtQ

触发时机:序列化serialize()之前;       

功能:对象被序列化之前触发,返回需要被序列化存储的成员属性,删除不必要的属性;

参数:成员属性

返回值:需要被序列化储存的成员属性

<?php
highlight_file(__FILE__);
class User {
    const SITE = 'uusama';    //通常使用const修饰符号限定变量,使得其不能被更改
    public $username;    //username=a
    public $nickname;    //nickname=b
    private $password;    //password=c
    public function __construct($username, $nickname, $password)    {
        $this->username = $username;
        $this->nickname = $nickname;
        $this->password = $password;
    }
    public function __sleep() {
        //参数:return array;返回值:'username','nickname'
        return array('username', 'nickname');    //__sleep()执行返回需要序列化的变量名,过滤掉password变量                                                                              
        //return array('username');                
    }
}
$user = new User('a', 'b', 'c');
var_dump($user);
echo serialize($user);    //serialize()只序列化__sleep()返回的变量
?>
-----------------------------------------------------------------------
object(User)#1 (3) {
    ["username"]=>
    string(1) "a"
    ["nickname"]=>
    string(1) "b"
    ["password":"User":private]=>
    string(1) "c"
}
O:4:"User":2:{s:8:"username";s:1:"a";s:8:"nickname";s:1:"b";} 
//O:4:"User":2:{s:8:"username";s:1:"a";}

2、__wakeup()

serialize()函数会检查类中是否存在__wakeup();如果存在,则先调用__wakeup()方法,预先准备对象需要的资源;预先准备对象资源,返回void,常用于反序列化操作中重新建立数据库连接或执行其他初始化操作。

触发时机:反序列化unserialize之前

对比:

__wakeup()在反序列化unserialize()之前;

__destruct()在反序列化unserialize()之后;

__sleep()在序列化serialize()之前。

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    const SITE = 'uusama';
    public $username;
    public $nickname;
    private $password;
    private $order;
    public function __wakeup() {
        $this->password = $this->username;    //反序列化之前触发wakeup,给password赋值
    }
}
$user_ser = 'O:4:"User":2:{s:8:"username";s:1:"a";s:8:"nickname";s:1:"b";}';
var_dump(unserialize($user_ser));
?>
----------------------------------------------------------------------------
object(User)#1 (4) { 
    ["username"]=> string(1) "a" 
    ["nickname"]=> string(1) "b" 
    ["password":"User":private]=> string(1) "a" 
    ["order":"User":private]=> NULL 
}

四、__toString()和__invoke()

1、__toString()

表达方式错误导致魔术方法触发;常用于构造pop链

触发时机:把对象当成字符串调用

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    var $benben = "this is test!!";
         public function __toString()
         {
             return '格式不对,输出不了!';
          }
}
$test = new User() ;    //把类User实例化为对象
print_r($test);    //调用对象可以使用print_r或var_dump
echo "<br />";    
echo $test;    //使用echo或print只能调用字符串的方式去调用对象,把对象当成字符串使用,此时自动触发__toString()
?>
----------------------------------------------------------
User Object ( [benben] => this is test!! )
格式不对,输出不了!

2、__invoke()

格式表达错误导致魔术方法触发

触发时机:把对象当成函数调用

<?php
highlight_file(__FILE__);
error_reporting(0);
function lin(){
    echo '这是一个函数!';
}
class User {
    var $benben = "this is test!!";
         public function __invoke()
         {
             echo  '这不是个函数!';
          }
}
$test = new User() ;
lin();
echo "<br />";
$test();    //加()是把对象$test当成函数test()来调用,此时触发__invoke()
?>
--------------------------------------------
这是一个函数!
这不是个函数!

五、错误调用相关魔术方法

1、__call()

触发时机:调用一个不存在的方法

参数:调用的不存在的方法的名称;调用的不存在方法的参数

返回值:调用的不存在的方法的名称和参数

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    public function __call($arg1,$arg2)    
    {
        echo "$arg1,$arg2[0]";    //$arg1,调用的不存在的方法的名称
          }                       //$arg2,调用的不存在的方法的参数                     
}
$test = new User() ;
$test -> callxxx('a');    //调用的方法callxxx()不存在,触发__call()
?>
-----------------------------------------
callxxx,a    //传参$arg1,$arg2

2、__callStatic()

触发时机:静态调用或调用成员常量时使用的方法不存在

参数:调用的不存在的方法的名称;调用的不存在方法的参数

返回值:调用的不存在的方法的名称和参数

Warning: The magic method __callStatic() must have public visibility and be static in D:\phpstudy_pro\WWW\php-unserialize\class10\2.php on line 5
<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    public function __callStatic($arg1,$arg2)
    {
        echo "$arg1,$arg2[0]";
          }
}
$test = new User() ;
$test::callxxx('a');    //静态调用::时的方法callxxx()不存在
?>
----------------------------------------------------
callxxx,a

3、__get()

触发时机:调用的成员属性不存在

参数:传参不存在的方法的名称
返回值:不存在的成员属性名称

<?php
class User {
    public $var1;
    //public $var1 = 'benben';
    public function __get($arg1)
    {
        echo  $arg1;
    }
}
$test = new User() ;
$test ->var2;    //调用的成员属性var2不存在
//echo $test ->var1;
?>
-------------------------------------
var2     //触发__get()把不存在的属性名称var2赋值给$arg1
//benben

4、__set()

触发时机:给不存在的成员属性赋值

参数:传参不存在的成员属性的名称;给不存在的成员属性的赋值

返回值:不存在的成员属性的名称和赋的值

注意:先触发__get(),再触发__set()

<?php
class User {
    public $var1;
    public function __set($arg1 ,$arg2)
    {
        echo  $arg1.','.$arg2;
    }
}
$test = new User() ;
$test ->var2=1;    //给不存在的成员属性var2赋值为1
?>
-----------------------------------------
var2,1

5、__isset()

触发时机:对不可访问属性(private,protected)使用isset()或empty()时,__isset()会被调用

参数:传参不存在的成员属性的名称

返回值:不存在的成员属性名称

<?php
class User {
    private $var;
    //protected $var;
    public function __isset($arg1 )
    {
        echo  $arg1;
    }
}
$test = new User() ;
isset($test->var);    //isset()调用成员属性var不可访问或不存在
//isset($test->var1);
?>
---------------------------------------
var
//var1

6、__unset()

用法与__isset()相似

触发时机:对不可访问属性使用unset时

参数:传参不存在的成员属性的名称

返回值:不存在的成员属性名称

<?php
class User {
    private $var;
    public function __unset($arg1 )
    {
        echo  $arg1;
    }
}
$test = new User() ;
unset($test->var);    //unset()调用的成员属性var不可访问或不存在
?>
-------------------------------------
var

7、__clone()

触发时机:当使用clone关键字拷贝完成一个对象后,新对象会自动调用定义的魔术方法__clone()

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    private $var;
    public function __clone( )
    {
        echo  "__clone test";
          }
}
$test = new User() ;
$newclass = clone($test)    //使用clone()克隆对象完成后,触发魔术方法__clone()
?>
----------------------------------
__clone test

总结

__construct()__destruct()__sleep()__wakeup()__toString()__invoke()__clone
触发时机实例化对象对象引用完成或对象被销毁;反序列化之后序列化之前反序列化之前把对象当成字符串调用(使用echo或print)把对象当成函数调用当使用clone关键字拷贝完成一个对象
功能提前清理不必要内容对象被序列化之前触发,返回需要被序列化储存的成员属性,删除不必要的属性
参数
返回值需要被序列化的成员属性
__call()__callStatic()__get()__set()__isset()__unset()
触发时机

调用一个不存在的方法

静态调用或调用成员常量时使用的方法不存在

调用的成员属性不存在

给不存在的成员属性赋值

对不可访问属性(private,protected)使用isset()或empty()时,__isset()会被调用

对不可访问属性使用unset时

功能
参数调用的不存在的方法的名称;调用的不存在方法的参数调用的不存在的方法的名称;调用的不存在方法的参数传参不存在的方法的名称传参不存在的成员属性的名称;给不存在的成员属性的赋值传参不存在的成员属性的名称传参不存在的成员属性的名称
返回值调用的不存在的方法的名称和参数调用的不存在的方法的名称和参数不存在的成员属性名称不存在的成员属性的名称和赋的值不存在的成员属性名称不存在的成员属性名称

lin0-0_0
关注
  • 23
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP中的序列化和反序列化
09-18
此外,对于对象的序列化,PHP会在反序列化时调用对象的`__wakeup()`魔术方法,以便对象可以恢复其可能在序列化过程中丢失的状态,如重新建立数据库连接等。 总结来说,PHP的序列化和反序列化是数据持久化和交换的...
PHP中的魔术方法总结和使用实例
10-24
- `__wakeup` 在对象被反序列化(使用 `unserialize` 函数)时调用,可以进行一些对象初始化的操作。 6. **__clone** - `__clone` 当对象被复制(克隆)时调用,可以自定义克隆行为,例如,为新克隆的对象设置...
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 789
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
魔术方法总结
梦里不知身是客
12-26 9843
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
php反序列化以及相关例题
最新发布
2401_82388450的博客
04-28 1056
1.序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。简单来说就是将内存变成文件,在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。2.反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。
oop魔术方法
小码农的博客
04-21 748
魔术方法PHP面向对象中特有的特性。它们在特定的情况下被触发,都是以双下划线开头,你可以把它们理解为钩子,利用模式方法可以轻松实现PHP面向对象中重载(Overloading即动态创建类属性和方法)。魔术方法很多还是成对出现的,以下列出目前PHP中所有的模式方法。 1.__construct,__destruct __constuct构建对象的时被调用; __destruct明
PHP反序列化魔术方法
qq_60463414的博客
08-23 2332
php反序列化漏洞魔术方法
PHP反序列化&魔术方法
weixin_54882883的博客
06-17 895
php反序列化
PHP反序列化漏洞.pdf
08-10
3. **触发恶意行为**:由于反序列化过程受到攻击者控制,可以调用预期外的魔术方法或其他方法,执行任意代码。 例如,攻击者可能利用`__wakeup`或`__destruct`这样的魔术方法来触发代码执行,或者通过操纵序列化...
闭包:序列化闭包(匿名函数)
02-05
序列化任何关闭序列化任意对象不使用eval进行闭包序列化或反序列化可与支持闭包的任何PHP版本一起使用支持PHP 7语法处理在use()引用/导入的所有变量,并自动包装所有引用/导入的闭包以进行正确的序列化处理递归闭包...
php面向对象中的魔术方法中文说明
10-26
9. **__wakeup()**: 反序列化(`unserialize()`)时,`__wakeup()` 方法会被调用,用于恢复对象的状态,例如重新建立数据库连接。 10. **__isset()**: 当使用 `isset()` 函数检查对象的私有属性是否存在时,`__is...
PHP魔术方法反序列化(CVE-2016-7124)
m0_57379855的博客
03-12 1160
PHP魔术方法反序列化PHP魔术方法反序列化_wakeup源码分析php-poc PHP魔术方法反序列化 PHP5小于5.6.25或PHP7小于7.0.10 _wakeup 在对象被反序列化后被调用 源码分析 <?php // 目标:反序列化的时候绕过__wakeup以达到写文件的操作 // CVE-2016-7124 // PHP5小于5.6.25或PHP7小于7.0.10 class Test { // 私有成员变量 private $poc = ''; public fu
PHP反序列化漏洞之魔术方法
Naive的博客
07-22 1111
PHP魔术方法(Magic Methods)是一组特殊的方法,它们在特定的情况下会被自动调用,用于实现对象的特殊行为或提供额外功能。本文详细介绍每一个魔术方法的触发时机、功能、参数以及返回值。这一点是在学习 PHP 反序列化漏洞中最重要的。
php反序列化 引用,PHP反序列化入门之常见魔术方法
weixin_42300418的博客
03-17 239
在学习 PHP 反序列化知识前,我们需要先了解一下 PHP 中的常见 魔术方法PHP将所有以 __ (两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。__sleep在使用 serialize() 函数时,程序会检查类中是否存在一个 __sleep() 魔术方法。如果存在,则该方法会先被调用,然后再执行序列化操作。__wakeup在使用 u...
PHP反序列化&魔术方法详细解析及实例&公私有属性对比
ran的博客
04-12 1906
2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。
php序列化和反序列化&魔术方法
Pvr1sC的博客
02-19 780
前言 可能会需要有类的知识但这里不多赘述,和c++差不多就不多说了 序列化 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 内存数据——稍纵即逝,不可持久化。 变量所储存的数据,即内存数据,而文件是持久数据。 l 序列化: 序列化就是将内存中的变量数据,保存为文件中的持久数据的过程。将内存变成文件。 反序列化: 反序列化就是将序列化后存储到文件中的数据,恢复成php程序代码的变量表现形式的过程,将文件变成内存。 序列化函数原型如下: string serialize ( m
PHP魔术方法之序列化与反序列化技术
username_lx的博客
07-02 525
目前理解觉得序列化就是用来保存数据的,将对象或变量以字符串形式保存。反序列化无非就是序列化转化成原来的变量或对象。 1.序列化:   定义:就是将一个变量所代表的“内存”数据,转换为“字符串”形式并持久保存在硬盘中。    1.1普通变量的序列化 如:$v1 = 123;//这个变量代表内存空间的一段数据   $s1 = serialize($v1);//用serialize()方法将任
PHP反序列化
qq_63267612的博客
02-28 1243
php序列化的过程就是把数据转化成一种可逆的数据结构,逆向的过程就叫做反序列化php将数据序列化和反序列化会用到两个函数:serialize 将对象格式化成有序的字符串。unserialize 经字符串还原成原来的对象。序列化的目的是方便数据的传输和储存。a:3:{i:0;s:4:"anan";i:1;s:3:"shi";i:2;s:2:"zi";a:array代表是数组,后面的3说明有三个属性i:代表是整型数据int,后面的0是数组下标。
php反序列化pop链
10-17
PHP反序列化POP链是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP链是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用链,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。 下面是一个简单的POP链示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public $c; function __construct($c) { $this->c = $c; } function __destruct() { if (isset($this->c)) { unserialize($this->c); } } } class C { public $cmd; function __construct($cmd) { $this->cmd = $cmd; } } $cmd = 'ls -al'; $c = new C($cmd); $b = new B(serialize($c)); $a = new A(serialize($b)); $payload = serialize($a); ``` 在上面的代码中,我们构造了三个类A、B、C,其中类A包含一个成员变量$b,类B包含一个成员变量$c,类C包含一个成员变量$cmd。我们通过构造一个对象引用链,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值