php反序列化总结&刷题&pop链&原生类

最新推荐文章于 2024-01-14 16:15:20 发布
最新推荐文章于 2024-01-14 16:15:20 发布
阅读量4k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35258863/article/details/130307578
版权

思维导图

img

原理

未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,一个反序列化漏洞造成要有魔术方法,恰好魔术方法里面有危险函数,比如危险函数文件读取,命令执行,反序列化在数据传递,可能触发危险函数

知识点

1、什么是反序列化操作?-格式转换
2、为什么会出现安全漏洞?-魔术方法
3、反序列化漏洞如何发现? -对象逻辑
4、反序列化漏洞如何利用?-POP链构造
补充:反序列化利用大概分类三类
魔术方法的调用逻辑-如触发条件
语言原生类的调用逻辑-如SoapClient
语言自身的安全缺陷-如CVE-2016-7124

序列化:对象转换为数组或字符串等格式
反序列化:将数组或字符串等格式转换成对象
serialize()//将一个对象转换成一个字符串
unserialize()//将字符串还原成一个对象

方便记忆以后记忆 反序列化就是加un的

反序列化一般是在白盒里面,就是代码给到你的情况下分析,在黑盒里面发现几乎不可能的

class info{
   
  	public $name='qian';
  	public $age=18;
}
O:4:"info":2:(s:4:"name";s:4:"qian";s:3:"age";i:2:18;}
object 长度 info 2个变量 string类型 长度 name 



class info{
   
  	public $name;
  	public 19;
}

基础

img

img

触发:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法:
__construct(): //构造函数,当对象new的时候会自动调用
__destruct()//析构函数当对象被销毁时会被自动调用
__wakeup(): //unserialize()时会被自动调用
__invoke(): //当尝试以调用函数的方法调用一个对象时,会被自动调用
__call(): //在对象上下文中调用不可访问的方法时触发
__callStatci(): //在静态上下文中调用不可访问的方法时触发
__get(): //用于从不可访问的属性读取数据
__set(): //用于将数据写入不可访问的属性
__isset(): //在不可访问的属性上调用isset()或empty()触发
__unset(): //在不可访问的属性上使用unset()时触发
__toString(): //把类当作字符串使用时触发
__sleep(): //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用

对象变量属性:

public(公共的):在本类内部、外部类、子类都可以访问

protect(受保护的):只有本类或子类或父类中可以访问

private(私人的):只有本类内部可以使用

序列化数据显示:

private属性序列化的时候格式是 *%00类名%00成员名* 在原本上加2

protect属性序列化的时候格式是 *%00*%00成员名* 在原本上加3

为了区分公有私有保护 ,让人很容易看出来是什么类型的

<?php
header("Content-type: text/html; charset=utf-8");
//public private protected说明
class test{
   
    public $name="xiaodi";
    private $age="29"; //两个%00,在原本上加2 就是9个  
    protected $sex="man"; //两个%00一个*, 在原本上加3 就是6个
}
$a=new test();
$a=serialize($a);
print_r($a);

?>

img

1.安全问题
<?php
class A{
   
  public $var='echo test';
  public function test(){
   
      echo $this->var;
  }
  public function __destruct(){
    //对象被销毁会被调用,  疑问?没有看见销毁代码啊.其实程序执行结束都会自动销毁
      echo '__destruct'.'<br>';
  }
  public function __construct(){
    //当对象new的时候会调用
  	echo '__construct'.'<br>';
  }
  public function __toString(){
   
  	return '__toString'.'<br>';
  }
}
$a=new A();
?>
//无需函数,创建对象触发魔术方法

访问结果

img

2.安全问题
<?php
class A{
   
  public $var='echo test';
  public function test(){
   
      echo $this->var;
  }
  public function __destruct(){
    //对象被销毁会被调用
      echo '__destruct'.'<br>';
  }
  public function __construct(){
    //当对象new的时候会调用
  	echo '__construct'.'<br>';
  }
  public function __toString(){
   
  	return '__toString'.'<br>';
  }
}
$a=new A();
echo serialize($a).'</br>'; //输入反序列化结果
?>

img

3.安全问题
<?php
class A{
   
  public $var='echo test';
  public function test(){
   
      echo $this->var;
  }
  public function __destruct(){
    //对象被销毁会被调用
      echo '__destruct'.'<br>';
  }
  public function __construct(){
    //当对象new的时候会调用
  	echo '__construct'.'<br>';
  }
  public function __toString(){
   
  	return '__toString'.'<br>';
  }
}
$t=unserialize($_GET['x']);
?> 
//触发__destruct

http://127.0.0.1/demo.php?x=O:1:“A”:1:{
   s:3:“var”;s:9:“echo test”;} 
相当于传递public $var=‘echo test’;

虽然没有new对象,但是传递了数据,只要传递数据,程序就会执行,执行就有销毁,触发__destruct()函数

img

4.安全问题
<?php
class A{
   
  public $var='echo test';
  public function test(){
   
      echo $this->var;
      echo '</br>';
  }
  public function __destruct(){
   
      echo '__destruct'.'<br>';
  }
  public function __construct(){
   
  	echo '__construct'.'<br>';
  }
  public function __toString(){
   
  	return '__toString'.'<br>';
  }
}
$a=new A();
$a->test();  //触发test 前提是new了一个对象,才可以指向test方法
?>

img

5.安全问题toString
<?php
class A{
   
  public $var='echo test';
  public function test(){
   
      echo $this->var;
      echo '</br>';
  }
  public function __destruct(){
   
      echo '__destruct'.'<br>';
  }
  public function __construct(){
   
  	echo '__construct'.'<br>';
  }
  public function __toString(){
   
  	return '__toString'.'<br>';
  }
}
$a=new A();
echo $a;//触发__toString    __toString触发条件:把类当作字符串使用时触发    echo输出的都是字符串
?>

img

6.安全问题
<?php
class B{
   
  public function __destruct(){
   
  	system('ipconfig');
  }
  public function __construct(){
   
  	echo 'qian'.'<br>';
  }
}
$b=new b(); //执行__destruct和__construct
echo serialize($b); //输出O:1:"B":0:{} 
?>

img

7.安全问题
<?php
class B{
   
  public function __destruct(){
   
  	system('ipconfig');
  }
  public function __construct(){
   
  	echo 'qian'.'<br>';
  }
}
//$b=new b(); //执行__destruct和__construct
//echo serialize($b); //输出O:1:"B":0:{} 

unserialize($_GET[x]);  //传递O:1:"B":0:{}  执行ipconfig
?>

img

8.安全问题 关键点
<?php
class C{
   
  public $cmd='ipconfig';
  public function __destruct(){
   
  	system($this->cmd);
  }
  public function __construct(){
   
  	echo 'qian'.'<br>';
  }
}

//函数引用,无对象创建触发魔术方法自定义变量
unserialize($_GET[c]); //?c=O:1:"C":1:{s:3:"cmd";s:3:"ver";}  修改$cmd的参数,让其执行其它命令,这也是反序列化的核心点
?>

img

12种魔术方法案例

<?php
header("Content-type: text/html; charset=utf-8");
//__construct __destruct 魔术方法 创建调用__construct 2种销毁调用__destruct
class Test{
   
    public $name;
    public $age;
    public $string;
    // __construct:实例化对象时被调用.其作用是拿来初始化一些值。
    public function __construct($name, $age, $string){
   
        echo "__construct 初始化"."<br>"
最低0.47元/天 解锁文章
小千超人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php原生类,PHP原生类序列
weixin_39595164的博客
03-09 180
在做BJDCTF中的目XSS之光的时候遇到了PHP原生类的序列,以前没有了解过,现在来学习一波。基础知识首先还是来回顾一下序列中的魔术方法,下面也将以此进行分类来进行研究。当对象被创建的时候调用:__construct当对象被销毁的时候调用:__destruct当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString序列...
序列PHP原生类的利用
weixin_30678821的博客
06-26 320
目录 基础知识 __call SoapClient __toString Error Exception 实例任意类 正文 文章围绕着一个问,如果在代码审计中有序列点,但是在原本的代码中找不到pop链该如何? N1CTF有一个无pop链的序列目,其中就是找到php内置类来进行序列。 回到顶部 基础知识 首先...
深入了解PHP序列原生类
we
06-05 1376
如果在代码审计或者ctf中,有序列的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。1234567891011我们采用下面脚本遍历一下所有原生类中的魔术方法 Error/ExceptionError 是所有PHP内部错误类的基类。 (PHP 7, 8)**Error::__toString ** error 的字符串表达返回
PHP序列总结4--原生类总结
最新发布
m0_66458291的博客
01-14 676
PHP 原生类指的是 PHP 内置的类,它们可以直接在 PHP 代码中使用且无需安装或导入任何库,相当于代码中的内置方法例如echo ,print等等可以直接调用,但是原生类就是可以就直接php中直接创建的类,我们可以直接调用创建对象,但是这些类中有的会有魔术方法,为此,我们可以创建原生类去利用其中的魔术方法来达到我们序列的利用。
PHP原生类序列(上)
m0_62422842的博客
06-01 1473
php代码只有一个类或者没有类利用时,我们就可以调用php的内置类来进行目录遍历和任意文件读取等一系列的操作。内置类,顾名思义就是php本身存在的类,我们可以直接拿过来用。本次来学习经常能用到的几种内置类。目录遍历的内置类有三种。 查看官方文档可以发现FilesystemIterator与DirectoryIterator是继承关系的(附上官方文档PHP: SPL - Manual)在该类下有一个_toString方法。这个类会创建一个指定目录的迭代器,当遇上echo输出时就会自动调用_toStrin
第38天:WEB漏洞-序列PHP&amp;JAVA全解(下)1
08-03
中的&ldquo;WEB漏洞-序列PHP&amp;JAVA全解(下)&rdquo;指的是关于Web应用程序安全领域的一个重要话,即PHP和JAVA平台上的序列漏洞。序列漏洞是由于程序在处理序列数据时没有充分验证输入,从而允许攻击者构造...
php json与xml序列/序列
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列序列PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
PHP常见的序列序列操作实例分析
10-16
总结PHP中的序列序列是强大且实用的功能,能够帮助开发者在处理数据存储和交换时保持数据结构的完整性和一致性。然而,正确使用并理解其潜在风险至关重要。通过实践和了解其原理,开发者可以更好地利用...
PHP多种序列/序列的方法详解
10-19
PHP中,序列序列是两种非常重要的数据处理技术。它们允许程序员将复杂的数据结构转换为字符串,便于存储或在网络上传输,然后在需要时恢复原样。本文将详细介绍PHP中几种常见的序列序列方法。 1....
详解PHP序列序列原理
10-18
本篇文章给大家分享了下PHP序列漏洞系列之PHP序列序列原理的相关知识,有这方面需要的朋友参考学习下吧。
序列 php 原生类,序列PHP原生类的利用
weixin_30844407的博客
04-10 400
目录正文文章围绕着一个问,如果在代码审计中有序列点,但是在原本的代码中找不到pop链该如何?N1CTF有一个无pop链的序列目,其中就是找到php内置类来进行序列。回到顶部基础知识首先还是来回顾一下序列中的魔术方法,下面也将以此进行分类来进行研究。当对象被创建的时候调用:__construct当对象被销毁的时候调用:__destruct当对象被当作一个字符串使用时候调用(不仅仅...
浅析php序列原生类的利用
Christ1na的博客
03-31 4798
浅析php原生类的利用
Day46 PHP序列&原生类&漏洞绕过&公私有属性
wanjia01的博客
01-17 710
当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。// __isset():当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。/*__get() 魔术方法 读取一个对象的属性时,若属性存在,则直接返回属性值;/*__unset():在不可访问的属性上使用unset()时触发 销毁对象的某个属性时执行此函数。// _invoke():以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。
day45 PHP序列&POP链构造&魔术方法&原生类
wanjia01的博客
01-17 578
知识点:1、什么是序列操作?-格式转换2、为什么会出现安全漏洞?-魔术方法3、序列漏洞如何发现?-对象逻辑4、序列漏洞如何利用?-POP链构造补充:序列利用大概分类三类-魔术方法的调用逻辑-如触发条件-语言原生类的调用逻辑-如SoapClient-语言自身的安全缺陷-如CVE-2016-7124#序列课程点:序列:对象转换为数组或字符串等格式序列:将数组或字符串等格式转换成对象serialize()//将一个对象转换成一个字符串。
PHP序列漏洞(入门)-魔术方法+原生类
xiaoheizi的博客
07-02 1707
_sleep(): //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。因为__toString()魔术方法是在把对象当做字符串使用的时候会被调用,所以这里会触发__toString()魔术方法。__isset(): //在不可访问的属性上调用isset()或empty()触发。
PHP序列序列(原生类应用篇上)
errorr0
03-31 3147
PHP原生类操作文件、XSS、哈希绕过
php序列漏洞(万字详解)
永不落的梦想
07-26 3239
php序列万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session序列、phar序列、原生类的利用以及各种绕过方式。
羊城杯2022--Writeup
m0_61596829的博客
09-06 1846
羊城杯2022--Writeup
php序列pop链
10-17
PHP序列POP链是一种利用PHP序列漏洞的攻击方式,通过构造恶意的序列数据,使得序列操作在执行过程中触发恶意代码,从而实现攻击目的。POP链是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值