序列化
在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。
内存数据——稍纵即逝,不可持久化。
变量所储存的数据,即内存数据,而文件是持久数据。
l
序列化: 序列化就是将内存中的变量数据,保存为文件中的持久数据的过程。将内存变成文件。
反序列化: 反序列化就是将序列化后存储到文件中的数据,恢复成php程序代码的变量表现形式的过程,将文件变成内存。
序列化函数原型如下:
string serialize ( mixed $value )
具体的内容可以看 Pvr1sC所写的 php序列化和反序列化&魔术方法
漏洞原理
PHP反序列化漏洞也叫PHP对象注入,形成的原因是程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行、文件操作、执行数据库操作等参数不可控。反序列化攻击在Java、Python等面向对象语言中均存在。序列化是广泛存在于PHP、Java等编程语言中的一种将有结构的对象/数组转化为无结构的字符串并储存信息的一种技术。
反序列化漏洞
以 __ 开头的函数,是PHP 中的魔术方法。
类中的魔术方法,在特定情况下会自动调用。即使魔术方法在类中没有被定义,也是真实存在的。
- __construct() 在创建对象时自动调用
- __destruct() 在销毁对象时自动调用
- __wakeup() unserialize()时会自动调用这个函数
- __sleep() serialize()时会自动调用这个函数
代码运行原理
序列化:将类
TestClass
实例化为一个序列化的字符串反序列化:解析从序列化字符串中恢复对象的函数(通过先将序列化字符串解码成字节流,然后再将其反序列化为对象的方式实现的。)
php代码
调取计算机 ?cmd=calc
当反序列化参数中包含 cmd 参数时,会调用
__wakeup
方法,该方法接收 cmd 参数并执行系统命令。这是因为系统函数system
接收一个参数,并执行操作系统命令。所以,当序列化参数中包含 cmd 参数时,它会被用于system
函数,并被执行。