![](https://img-blog.csdnimg.cn/20201014180756754.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
php反序列化
文章平均质量分 82
shy014
这个作者很懒,什么都没留下…
展开
-
php反序列化之Phar反序列化漏洞
之前写的两篇文章都太理想化,真实的代码谁写成$data = unserialize($_POST['a']),直接让你反序列化,在实际的PHP程序中,主要是反序列化链(pop链),如thinkphp、Laravel的反序列化链的漏洞和利用phar://伪协议完成反序列化漏洞。今天就来学习一个phar文件序列化漏洞。 phar phar是一个合成词,由PHP 和 Archive构成,可以看出它是php归档文件的意思。一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的原创 2020-11-30 15:22:04 · 1291 阅读 · 2 评论 -
PHP反序列化之练习题
pikachu平台反序列化漏洞 第一题:反序列化漏洞输出XSS 地址:https://www.bihuoedu.com/vul/unserilization/unser.php 查看unser.php文件的源码: <?php class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } //O:1:"S":1:{s:4:"test";s:29:"&.原创 2020-11-29 22:17:45 · 1518 阅读 · 0 评论 -
PHP反序列化之基础
序列化 序列化是将对象转换成字符串。但仅保留对象里的成员变量,不保留函数方法。将对象序列化有利于对象的保存和传输,也可以让多个文件共享对象。 反序列化 反序列化是将字符串恢复成对象。 PHP的序列化实现 源码: <?php class person{ public $name='zhangsan'; public $sex='boy'; public $age='18'; } $zhangsan=new person(); $str=serialize($zhangsan); e原创 2020-11-29 17:31:54 · 919 阅读 · 1 评论