------已搬运-------关于GET方式传入PHP反序列化的字符串时private和protected的注意点

最新推荐文章于 2025-01-15 18:45:31 发布
最新推荐文章于 2025-01-15 18:45:31 发布
阅读量977 收藏 3
点赞数
文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/113145854
版权
本文探讨了在PHP中通过GET方式传递反序列化字符串时,处理private和protected属性的注意事项。作者对比了PHP 5.4.45和7.1.13版本的不同行为,发现空格通常是表示不可见字符的最佳选择,而在某些情况下,%00或%20也可用于表示。总结建议,在不需要base64编码时,使用空格代替不可见字符。
摘要由CSDN通过智能技术生成

目录:


如果大佬们没时间看分析的化,直接看那个 总结一下 就好。

还是直接看这个吧。。。 得了,别重磅了,看这个结论把:。。。吐了,,,

一、2021.2.16补充:当时没有深入研究,这次研究一下:

关于那个private。protected的不可见字符问题,序列化好说。那么反序列化呢。你反序列化的时候,提交的字符串,怎么表示不可见字符呢

这着实是一个问题啊。。。

我总共试了两个版本的PHP一个是5.4.45另一个是7.1.13

这里先只讨论 私有属性 private这个东西:
1. PHP7.1.13情况下的:

先说一个有趣的事件:

var_dump(serialize($a));//string(48) "O:6:"people":1:{s:12:"\000people\000name";s:4:"adam";}"
echo (serialize($a));//O:6:"people":1:{s:12:" people name";s:4:"adam";}

同样的序列化,echo和var_dump出来的竟然对不可见字符的表示样式不一样。是不是大吃一惊啊 ,,,,我测试的时候快绝望了都。。

不过好消息是,没什么影响,大家做的时候,用echo的那个就好。不用管

最低0.47元/天 解锁文章
Zero_Adam
关注
------搬运-------PHP反序列化之字符逃逸入门笔记
Zero_Adam的博客
02-02 659
放在最前面: 这是我拿来复习用的。您要是想学的话,请从 基础知识一些特性 那里开始看起。 字符数变多的套路 解释 增多:。我们输入的候少,加工后他会变多。 那么我们就在输入的候再加上构造的。然后 变多之后,就把我们构造的给挤出来。从而实现 详细解释 一个字符串数量会变多的话,就把我们要构造的那一串序列化之后的字符串接到该变量的最后(记得那个序列化的字符串,该闭合的都给闭合了)。然后添加了几个字符的数量 再加上他减少之后剩下的字符的数量要 === 他增多之后的总的数量,从而把我们构造的那些给 挤出去
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1748
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
php反序列化
最新发布
volcanic_erupt的博客
01-15 842
序列化(serialize)是将对象转化为字符串的过程,即为把对象的属性信息转换为可以存储运输的字符串形式。:O(object变量类型):4(类名长度):"test"(类名):1(变量数量):{s:4(变量名字长度):"name"(变量名字);s:4(值的长度):"Jack";
protected反序列化
qq_48511129的博客
12-13 1148
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel
PHP反序列化
L0g1c的博客
10-22 1430
反序列是指把对象转换为字符串的过程,便于在内存、文件、数据库中保存、传输,PHP中使用serialize函数进行序列化。 运行结果为 各个字符的意义:字母O代表Object,a代表array,s代表string,i 表示数字 O代表Object对象,6代表类名(Person)的长度是6,3代表类中的属性有3个。{}内就是类的属性信息,每个属性以分号;结束。 s代表string类型,4代表属性名(name)的长度,name后面是属性值,string类型,数值长度为3,数值为php。若类属性值未初始化,则默认值
【技术分享】JAVA反序列化安全实例解析
weixin_34292402的博客
10-31 310
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP反序列化&魔术方法详细解析及实例&公私有属性对比
ran的博客
04-12 2517
2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。
【JAVA基础知识】-过往笔记搬运存档
fhzmWJ的博客
05-08 1083
大一的笔记,当是记在word里的,给搬过来了
八股面经总结-C++
qq_40808423的博客
04-21 5074
C++ [C++基础] 关键字与运算符 指针与引用 1. 指针存放某个对象的地址,其本身是变量(命名了的对象),本身就有地址,所以可以有指向指针的指针;可变,包括其所指向地址的改变棋指向的地址中所存放的数据的改变 2. 引用就是变量的别名,从一而终,不可变,必须初始化 3.不存在指向空的值的引用,但是存在指向空值的指针 define typedef 的区别 define: 1. 只是简单的字符串替换,没有类型检查 2. 是在编译的预处理阶段起作用 3. 可以用来防止头文件重复引用
对网上一些Java笔试题的总结,答案与自我理解(400道)
微信1654282979的博客
08-30 7462
对网上一些Java笔试题的总结,答案与自我理解 1… https://www.nowcoder.com/questionTerminal/48db39d722894c08907a8f613858672e 在Java中,对于不再使用的内存资源,如调用完成的方法,“垃圾回收器”会自动将其释放。( b ) 正确 错误 GC垃圾回收器会自动识别无用的内存 2… https://www.nowcoder.c...
Java知识概要
TU_JCN的博客
07-06 1187
java
private反序列化
qq_48511129的博客
12-13 1193
<?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $pa
[极客大挑战 2019]PHP反序列化漏洞中存在private变量)
weixin_45844670的博客
10-06 3125
根据题目提示“我经常备份”,推测可能是网站备份在某个路径下 使用dirmap扫描得到 下载得到一个压缩包,里面是网站的源码 里面的flag是假的 我们分析index.phpclass.php index.php里面的php代码 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> 这里是引用了class.php文件,用get方法传入一个sel
CTF——php反序列化
m0_46317063的博客
11-26 414
记一次CTF解题
Day46 PHP反序列化&原生类&漏洞绕过&公私有属性
wanjia01的博客
01-17 828
当对不可访问属性调用 isset() 或 empty() ,__isset() 会被调用。// __isset():当对不可访问属性调用 isset() 或 empty() ,__isset() 会被调用。/*__get() 魔术方法 读取一个对象的属性,若属性存在,则直接返回属性值;/*__unset():在不可访问的属性上使用unset()触发 销毁对象的某个属性执行此函数。// _invoke():以调用函数的方式调用一个对象,__invoke() 方法会被自动调用。
2022/3/28 PHP反序列化
weixin_44532761的博客
03-28 3560
小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=36&spm_id_from=333.880.my_history.page.click PHP反序列化 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历登不可控后果。在反序列化的过程中自动触发了某些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 无类的情况
php反序列化总结
wbqww_的博客
10-15 963
public 表示全局,类内部外部子类都可以访问;protected表示受保护的,只有本类或子类或父类中可以访问;IMPORTANT]protected受保护属性序列化在变量名前加"%00*%00"private表示私有的,只有本类内部可以使用;IMPORTANT]private私有属性序列化在变量名前加"%00类名%00"数组:a array:3参数数量:{i:0编号;i:1;i:2;O object:4类名长度:"test"类名:1变量数量:{s:3变量名字长度:"pub"变量名字;
php反序列化漏洞详解
apple_74953689的博客
07-26 1052
以上代码在反序列化之后,会触发__destruct()魔术方法,该方法中有命令执行函数eval(),又因为反序列化生成的对象里的值,由反序列化里的值提供;**注意:**序列化之后长度s获取的字符串的长度一定为s,否则会继续往后读,并且unserialize会把多余的字符串当垃圾处理,在{}内的就是正确的,{}后面的就都被丢弃。3、而调用__call方法的前提是在对象上下文中调用不存在的方法,刚好__destruct方法调用了一个不存在的函数,而__destruct方法在对象被销毁触发。
php反序列化漏洞(万字详解)
永不落的梦想
07-26 6468
php反序列化万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session反序列化、phar反序列化、原生类的利用以及各种绕过方式
S7-200SMART四轴搬运控制应用:完整使用说明与示例程序
3. 搬运应用的场景重要性:在自动化生产线上,搬运应用广泛存在于各种场景中,包括物品的拣选、放置、分拣、排序等。高效的搬运技术能够显著提升生产效率,减少人工成本,提高作业精度。 4. 使用说明的价值:详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值