PHP反序列化

最新推荐文章于 2024-05-16 09:31:45 发布
最新推荐文章于 2024-05-16 09:31:45 发布
阅读量82 收藏
点赞数
文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiniaotjx/article/details/120448456
版权

PHP反序列化

概述
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。
序列化serialize()
序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:

class S{
public $test="bihuoedu";
}
$s=new S(); //创建一个对象
serialize($s);//把这个对象进行序列化
序列化后得到的结果是这个样子的:
O:1:"S":1:{s:4:"test";s:8:"bihuoedu";}
O:代表object
1:代表对象名字长度为一个字符
S:对象的名称
1:代表对象里面有一个变量
s:数据类型
4:变量名称的长度
test:变量名称
s:数据类型
7:变量值的长度
bihuoedu:变量值

反序列化unserialize()

就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。

$u=unserialize("O:1:"S":1:{s:4:"test";s:8:"bihuoedu";}"); echo $u->test; //得到的结果为bihuoedu

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题
常见的几个魔法函数:

__construct()当一个对象创建时被调用

__destruct()当一个对象销毁时被调用

__toString()当一个对象被当作一个字符串使用

__sleep() 在对象在被序列化之前运行

__wakeup将在序列化之后立即被调用

执行反序列化输出xssO:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
在这里插入图片描述在这里插入图片描述反序列化读取文件O:9:"FileClass":1:{s:8:"filename";s:9:"bihuo.txt";}
在这里插入图片描述得到内容
在这里插入图片描述

F。N 嘿嘿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全--反序列化漏洞详解(php篇)
bobo_milk的博客
11-29 1134
反序列化
详解php反序列化
12-17
PHP反序列化是一种将之前通过序列化保存的字符串还原成原始数据结构的技术。在PHP中,`serialize()`函数用于将变量转化为可存储或传输的字符串形式,而`unserialize()`函数则相反,它将字符串还原为原来的变量。这两...
Pikachu漏洞靶场 PHP反序列化
柠檬i的博客
04-08 615
序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串。 反序列化unserialize() 就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。
反序列化漏洞靶场
leah126的博客
02-11 1694
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。此外,还将收集网上一些其他常用框架的反序列化链,对收录的所有反序列化链进行漏洞分析复现,并给出自己的 poc,以供参考。Laravel_5.4.0_9.3.6+_反序列化链_RCE1。
Web安全 PHP反序列化漏洞的 测试.(可以 防止恶意用户利用漏洞)
网络安全领域___专研者.
03-25 4524
PHP反序列化漏洞的 概括: 开发的程序员 没有对用户输入的序列化字符串做一个严格检测,导致恶意的用户可以控制反序列化的一个过程,因此导致XSS漏洞,代码执行,SQT注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。在进行反序列化的时候就有可能触发对象中的一些魔术方法。
从[安洵杯2019]iamthinking到thinkphp6.0反序列化漏洞复现
m0_64348326的博客
05-30 486
方法,同时满足条件的属性也是在父类Model构造函数中初始化的。但由于Model是抽象类,无法实例化对象,只能找它的子类Pivot来创建对象,但是父类的属性又必须初始化才能满足条件,所以子类的构造函数必须调用父类的构造函数来初始化父类的属性以满足条件。7.继续跟进getAttr()方法,通过getData()然后返回getValue()方法,最后再该方法中找到命令执行点。由于这是个抽象类,于是查找它子类的save()方法看看能不能有利用的。中的save方法,跟进save()方法,然后我们需要进入。
php反序列化例题.docx
07-18
PHP 反序列化详解 PHP 反序列化是指将序列化的数据重新转换为 PHP 对象或数组的过程。PHP 提供了两个用于序列化和反序列化的函数:`serialize()` 和 `unserialize()`。在本文中,我们将详细介绍 PHP 反序列化的过程...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
总之,PHP反序列化过程中的对象注入问题主要源于过滤函数处理不当导致的字符串长度变化。开发者在编写代码时应谨慎处理用户输入,并确保过滤和反序列化操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列化...
PHP常见的序列化与反序列化操作实例分析
10-16
PHP编程中,序列化和反序列化是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP中如何使用`serialize()...
详解PHP序列化反序列化的方法
12-19
PHP中,序列化和反序列化是两个重要的概念,它们用于在内存和持久存储(如文件、数据库)之间转换复杂的数据结构。序列化是将数据结构(如数组、对象)转换为字符串的过程,以便存储或传输;而反序列化则是将这个...
利用PHAR协议进行PHP反序列化攻击1
08-03
PHP反序列化攻击利用PHAR协议详解】 PHP反序列化攻击是一种常见的安全漏洞利用方式,其中PHAR(Php ARchive)协议是这类攻击的一个关键路径。PHAR是PHP中用于打包和分发代码的机制,类似于Java的JAR文件。在PHP ...
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
php json与xml序列化/反序列化
10-26
PHP提供了`json_encode`和`json_decode`两个内置函数来处理JSON的序列化和反序列化。例如: ```php $data = array( 'Name' => 'Byron', 'Age' => 24, 'Sex' => 'Male', 'Friends' => array('Casper', 'Frank', ...
php中序列化与反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);...
PHP多种序列化/反序列化的方法详解
10-19
PHP中,序列化和反序列化是两种非常重要的数据处理技术。它们允许程序员将复杂的数据结构转换为字符串,便于存储或在网络上传输,然后在需要时恢复原样。本文将详细介绍PHP中几种常见的序列化和反序列化方法。 1....
CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2307
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
pikachu之php反序列化()
weixin_54431413的博客
04-15 3056
pikachu靶场的反序列化漏洞 (代码审计能力有点弱鸡,不对之处请指教)
PHP反序列化漏洞解析
kali_Ma的博客
11-18 821
举一个最简单的例子,在C中,若要开发一个数据库,那么一定涉及到数据的存储,要将内存中的数据持久化的保存在磁盘中,这就要对数据的存储格式进行优化,比如使用结构体保存一个数据对象,结构体是存在默认对齐机制的,所以实际上结构体的大小会大于其中实际数据的大小,如果直接将结构体对象写在内存一定会造成内存空间的泄露,因此为了优化,可以将结构体存储的每个数据memcpy出,并紧凑排列并写入内存,这就是最简单的一种序列化。
反序列化漏洞原理知乎/PHP session反序列化漏洞原理解析_零基础攻防笔记
最新发布
2401_84915584的博客
05-16 344
本质上,就是一种可以维持服务器端的数据存储技术。即**技术就是一种基于后端有别于数据库的临时存储数据的技术**PHP 工作流程以PHP为例
php反序列化
05-24
PHP反序列化是指将序列化的数据还原为对象或数组的过程。在PHP中,我们可以使用序列化和反序列化来实现对象的持久化,即将对象保存到文件或数据库中,并在需要时还原为对象。反序列化可以通过unserialize()函数来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值