反序列化漏洞【1】

1.不安全的反序列化漏洞介绍

序列化：将对象转换成字符串，目的是方便传输，关键词serialize

a代表数组，数组里有三个元素，第一个元素下标为0，长度为7，内容为porsche；第二个元素下标为1，长度为3，内容为BMW；第三个元素下标为2，长度为5，内容为Volvo。

反序列化：将特定的字符串转换对象，关键词unserialize

反序列化成功

反序列过程可以进行xss、代码执行eval、文件包含include

2.类和对象概念

类：抽象的东西，归类

对象：具体的东西==把类 实例化就是对象

类型：类名的长度：‘类名‘：属性的数量：{s:4:"属性1 ";s:6:"值1";}

3.php类区别

类	介绍
public	表示全局，类内部外部子类都可以访问【随便改】
private	表示私有的，只有本类内部可以使用【不能继承】
protected	表示受保护的，只有本类或子类或父类中可以访问【只能使用不能修改】

类可以继承【父类子类】和覆盖，继承关键词extends，覆盖关键词public

4.魔法函数PHP

construct()：在创建一个对象时自动调用的构造函数。可以用来初始化对象的属性或执行其他必要的操作。

destruct()：在一个对象被销毁之前自动调用的析构函数。可以用来执行一些清理操作，如关闭数据库连接或释放资源。

get：在访问一个对象的属性不存在或不可访问时自动调用。可以用来动态获取或计算属性的值。

set()：在给一个对象的属性值时自动调用。可以用来对属性进行过滤或验证，或执行其他必要的操作。

isset()：在使用isset()函数判断一个对象的属性是否存在时自动调用。可以用来检测属性是否存在或是否具有特定的值。

unset()：在使用unset()函数销毁一个对象的属性时自动调用。可以用来执行一些清理操作，如释放内存或删除临时文件。

call()：在调用一个对象的不存在或不可访问的方法时自动调用。可以用来实现对象的动方法调用。

callStatic()：在调用一个类的不存在或不可访问的静态方法时自动调用。可以用来实现类的动态方法调用。

toString()：在将一个对象转换为字符串时自动调用。可以用来定义对象的字符串表示形式。

invoke()：在将一个对象作为函数调用时自动调用。可以用来将对象作可调用的函数使用。

clone()：在克隆一个对象时自动调用。可以用来执行一些必要的操作，如复制对象的属性或初始化新对象。

sleep()：在将一个对象序列化为字符串时自动调用。可以用来决定对象序列化时需要保存哪些。

wakeup()：在将一个字符串反序列化为对象时自动调用。可以用来恢复对象的状态或执行其他必要的操作。

set_state()：在使用var_export()导出一个对象时自动调用。可以用来定义对象的导出行为。

debugInfo()：在使用var_dump()或print_r()打印一个对象时自动调用。可以用来定义对象的调试信息。

5.php反序列化应用-文件包含

获取payload可先序列化后获得

源代码获取payload

若代码var后面是echo，可进行xss，若代码是写文件或包含效果，如require ,可进行文件包含，若代码存在eval，可进行函数调用

6.Java 反序列化漏洞--工具

php反序列化漏洞看代码，java反序列化漏洞需利用工具

7.反序列化漏洞防范