PHP反序列化漏洞

最新推荐文章于 2024-04-12 01:10:06 发布
最新推荐文章于 2024-04-12 01:10:06 发布
阅读量354 收藏 1
点赞数
分类专栏: Web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Light_inthe_eyes/article/details/123582439
版权

序列化和反序列化

在PHP中有两个函数:serialize()和unserialize()函数

serialize():用于序列化对象或数组,并返回一个字符串。

unserialize():用于将通过 serialize() 函数序列化后的对象或数组进行反序
列化,并返回原始的对象结构。

serialize()

测试代码:

<?php
	class dofd{
   
    	var $test = '111';
}
$class1 = new dofd;
$class1_ser = serialize($class1);
print($class1_ser);
?>

序列化的结果:
在这里插入图片描述
对序列化的结果做个解释:

O代表存储的是对象,如果serialize()传入一个数组,就会变成字母A;
4表示对象的名称“dofd”有4个字符;
1表示有一个值;
{
   s:4:"test";s:3:"111";}:s表示参数$test,4表示该参数的长度,"test"为
参数的名称,第二个s表示参数值的字符串长度,111表示参数值。
最低0.47元/天 解锁文章
dofd
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP代码审计12—序列漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1399
PHP序列入门
PHP序列漏洞总结
热门推荐
坚持硬核
10-07 1万+
一、什么是序列? 将php中 对象、类、数组、变量、匿名函数等,转为字符串,方便保存到数据库或者文件中。而序列就是将这个过程倒过来。 当在php中创建了一个对象后,可以通过serialize()把这个对象变成一个字符串,保存对象的值方便以后传递使用。 <?php class A{ public $test = 123; } $a = new A; $a_ser=ser...
php序列漏洞(万字详解)
最新发布
2401_83947434的博客
04-12 758
序列是将对象或数组转为方便存储、传输的字符串,php使用serialize()函数将对象序列序列只作用于对象的成员属性,不序列成员方法;序列是将序列得到的字符串转为一个对象的过程;序列生成的对象的成员属性值由被序列的字符串决定,与原来类预定义的值无关;序列使用unserialize()函数将字符串转换为对象,序列使用serialize()函数将对象转为字符串;//序列phpclass tests:3:"666";s:1:"b";i:6666;}';
PHP序列序列漏洞总结(一篇懂)
qq_45521281的博客
05-03 7706
文章目录序列序列的概念与基础知识PHP序列访问控制修饰符PHP序列PHP序列漏洞(常规)__wakeup()__destruct()示例一:示例二(连菜刀、序列免杀后门):__toString()Error类ExceptionPHP中Session序列(重点)简介与基础知识Session序列漏洞利用PHP Session中的序列危害实际利用CTF例题 序列...
php序列漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
ZL_1618的博客
06-08 507
原理:PHP序列漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的序列字符串进行检测,导致序列过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。序列漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。防御:1)签名与认证。
PHP序列漏洞研究
06-17
PHP序列漏洞研究 PHP序列漏洞是指攻击者可以通过构造恶意的序列数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP中,serialize()函数...
PHP序列漏洞详解.rar
02-07
在IT安全领域,PHP序列漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
PHP序列漏洞.pdf
08-10
**PHP序列漏洞详解** PHP序列漏洞是一种常见的安全漏洞,主要出现在PHP应用程序中,当程序在处理用户可控的序列数据时,没有进行有效的验证和过滤,导致攻击者能够操纵序列的数据,从而执行任意代码...
php序列漏洞1
08-04
修改 test.php,到达命令执行来的 phpinfo 覆盖了,但是并没有传入 file 文件名覆盖原来的 file 文件名)(O 是指对象,2 是后面 AA
CTF-web_php_serialize序列
Be Smart
02-24 843
一.根据题目猜测和序列漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会序列输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其序列出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列 编写一段代码先实例我们要序列的类,这里吧fl4g.php传进去,
php序列漏洞的复现
qq_30854761的博客
04-25 2217
http://159.75.16.25:8066phpmyadmin scripts/setup.php 序列漏洞http://159.75.16.25:8065复现S2-001远程代码执行漏洞复现漏洞要求:(1)操作步骤配截图。 (2)并尝试使用S2-001远程代码执行漏洞进行挂马操作 。 代码被执行由此可见是存在漏洞,可构建payload 获取tomcat运行路径: 获取web运行路径 %{ #req=@org.apac...
漏洞复现篇——PHP序列漏洞
爱国小白帽
02-28 4314
简介 PHP序列漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的序列字符串进行检测,导致序列过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。序列漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 什么是序列和...
java Ofd 转图片_OFD文件怎么转换成图片格式
weixin_39886024的博客
03-02 1656
因为工作的需要,要帮助同事处理一些事情,同事有一些ODF格式的文件,要将OFD格式的文件转换成图片,同事不知道OFD文件是如何转换成图片的,今天小编就为大家总结几点OFD文件转换的方法,有这方面需要的小伙伴也可以学习一下。我们在转换文件之前,首先要学习一些关于OFD文件的知识。什么是OFD?OpenFixed-layoutDocument是OFD的缩写,又意为开放文件,是我国的板式文档格式标准。这...
从一道CTF题学习PHP序列漏洞
Fly_鹏程万里
09-17 6290
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP序列漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
php序列漏洞习题
09-06
关于PHP序列漏洞的习题,可以使用GlobIterator类和ArrayObject类来进行练习。其中,GlobIterator类的题目是被遗忘的序列,ArrayObject类的题目是easy_phpPHP序列漏洞是一种安全漏洞,其中一个具体的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值