PHP 反序列化漏洞:__PHP_Incomplete_Class 与 serialize(unserialize($x)) !== $x;

最新推荐文章于 2023-12-24 23:11:47 发布
最新推荐文章于 2023-12-24 23:11:47 发布
阅读量1.1k 收藏
点赞数 20
分类专栏: 安全 文章标签: php PHP 反序列化漏洞 不完全对象 serialize unserialize 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44879989/article/details/133486308
版权
本文探讨了PHP中的__PHP_Incomplete_Class对象如何在序列化和反序列化操作中发挥作用,解释了其出现的原因、不可访问属性的处理以及serialize()函数对其的特殊处理,指出serialize(unserialize($x))可能不等于原始序列化文本的情况。
摘要由CSDN通过智能技术生成

文章目录

参考

项目描述
搜索引擎BingGoogle
AI 大模型文心一言通义千问讯飞星火认知大模型ChatGPT
PHP 手册PHP Manual
EkiPHP序列化冷知识

环境

项目描述
PHP8.0.0
PHP 编辑器PhpStorm 2023.1.1(专业版)

声明

实际上 __PHP_Incomplete_Class 是一个类,暂且使用 __PHP_Incomplete_Class 对象 来指代 __PHP_Incomplete_Class 类的实例对象。

__PHP_Incomplete_Class

灵显

在 PHP 中,当你尝试将序列化文本进行反序列化操作以获得一个 对象 时,若 与序列化文本相关联的类还没有在当前 PHP 上下文中被定义或包含时,PHP 就会使用 __PHP_Incomplete_Class 对象来代替这个对象。对此,请参考如下示例:

<?php


$result = unserialize('O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}');
var_dump($result);

执行效果

由于在使用 unserialize() 函数将序列化文本反序列化为对象时,相关的类并尚未被定义或被包含,于是 PHP 使用 __PHP_Incomplete_Class 对象作为反序列化操作的结果。

object(__PHP_Incomplete_Class)#1 (3) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(7) "MyClass"
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}

__PHP_Incomplete_Class 对象中包含了 序列化文本尝试创建的对象的信息,包括了该对象 所属类的名称 以及 该对象的属性及其值

为什么需要 __PHP_Incomplete_Class?

PHP 通过这种方式来 防止因错误导致程序的崩溃,提高程序的可靠性与可用性。如果 PHP 试图反序列化一个不存在的类,而没有任何 后备机制,那么这可能会导致 致命错误或者不可预期的行为。通过使用 __PHP_Incomplete_Class 对象,PHP 可以告诉您在反序列过程中出现的问题并继续运行。

不可访问的属性

__PHP_Incomplete_Class 是一个特殊的对象,当你试图访问这个对象的属性时,PHP 将抛出 Warning 异常。当你尝试访问这个 不完整 的对象的属性时,PHP 会 认为这是不安全的(所属类的定义并未在当前上下文中给出。记住,不要随便接收陌生人给的东西🤐),并给出警告。对此,请参考如下示例:

<?php


$result = unserialize('O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}');

var_dump($result);

# 尝试访问 __PHP_Incomplete_Class 对象的属性
var_dump($result -> name);

执行效果

PHP Warning:  main(): The script tried to access a property on an incomplete object. Please ensure that the class definition "MyClass" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide an autoloader to load the class definition in C:\test.php on line 9
object(__PHP_Incomplete_Class)#1 (3) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(7) "MyClass"
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}

Warning: main(): The script tried to access a property on an incomplete object. Please ensure that the class definition "MyClass" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide an autoloader to load the class definition in C:\test.php on line 9
NULL

serialize(unserialize($x)) === $x;

serialize(unserialize($x)) === $x; 中,$x 为一个序列化文本,将一个序列化文本通过 unserialize() 进行反序列化操作后将得到该序列化文本所描述的数据格式,再将这数据格式用序列化文本进行描述将得到原内容即 $x

这一操作就像执行了 1 + 1 后再执行了 1 - 1 ,两个操作相互抵消。在对数据进行处理前与数据进行处理后,数据相等。所以毫无悬念的 serialize(unserialize($x) ) === $x;。对此,请参考如下示例:

<?php


$serialize_text = 'O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';

var_dump(serialize(unserialize($serialize_text)) === $serialize_text);

执行效果

bool(true)

serialize(unserialize($x)) !== $x;

雾现

__PHP_Incomplete_Class 的出现使 serialize(unserialize($x)) !== $x; 也成为了可能。对此,请先参考如下示例,稍后我将对其进行解释。

<?php


$serialize_text = 'O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';

var_dump(serialize(unserialize($serialize_text)) !== $serialize_text);

执行效果

bool(true)

__PHP_Incomplete_Class 对象与其序列化文本的差异

序列化文本

O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}

对象 __PHP_Incomplete_Class

object(__PHP_Incomplete_Class)#1 (3) {
  ["__PHP_Incomplete_Class_Name"]=>
  string(7) "MyClass"
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}

序列化文本 与其对应的 __PHP_Incomplete_Class 对象存在如下差异:

  1. 所属类名称
    序列化文本在反序列化为 __PHP_Incomplete_Class 对象后,对象所属类的名称由 MyClass 变为了其 __PHP__Incomplete_Class
  2. 对象的属性个数
    序列化文本所描述的属性个数要比 __PHP_Incomplete_Class 对象的属性个数少 1
  3. __PHP_Incomplete_Class_Name 属性
    __PHP_Incomplete_Class 对象中包含了 __PHP_Incomplete_Class_Name 属性,而其序列化文本中则没有与该属性相关的描述。

试构造 __PHP__Incomplete_Class 对象的序列化文本

__PHP__Incomplete_Class 与其序列化文本存在差异的原因是 PHP 发现了这个对象是一个 __PHP_Incomplete_Class 对象。而 PHP 是通过检查被序列化对象所属类的名称发现的。如果我们尝试描述一个所属类为 __PHP_Incomplete_Class 的对象的序列化文本,这会发生什么有趣的事情呢?为此,请参考如下示例:

<?php


var_dump(unserialize('O:22:"__PHP_InComplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}'));

执行效果

由于 PHP 上下文中已经包含了 __PHP_Incomplete_Class 的类定义,所以当我们将序列化文本进行反序列化后并没有产生一个描述 __PHP_Incomplete_Class 对象的另一个 __PHP_Incomplete_Class 对象。

object(__PHP_Incomplete_Class)#2 (2) {
  ["name"]=>
  string(8) "RedHeart"
  ["nation"]=>
  string(5) "China"
}

如果我们尝试将这个人为构造的 __PHP_Incomplete_Class 对象进行序列化操作将会发生什么呢?对此,请参考如下示例:

<?php


var_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}')));

执行效果

string(85) "O:22:"__PHP_Incomplete_Class":1:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}"

神奇的事情发生了。在将人为构造的 __PHP_Incomplete_Class 对象进行序列化后,序列化文本中描述对象属性个数的数值由原先的 2 变为了 1

serialize() 函数在处理 __PHP_Incomplete_Class 对象时所进行的特殊操作

unserialize() 在发现当前 PHP 上下文中没有包含相关类的类定义时将创建一个 __PHP_Incomplete_Class 对象。而 serialize() 在发现需要进行序列化的对象是 __PHP_Incomplete_Class 后,将对其进行 特殊处理 以得到描述实际对象而非 __PHP_Incomplete_Class 对象的序列化文本,而这里就包含了 将属性的描述值减一 这一步。
那么对象所属类的名称是否会发生替换,序列化文本中的 __PHP_Incomplete_Class_Name 是否会被自动删除以使得序列化文本中的属性个数描述值与实际相符呢?对此,请参考如下示例:

<?php


var_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":3:{s:27:"__PHP_Incomplete_Class_Name";s:7:"MyClass";s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}')));

执行效果

string(69) "O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}"

结合前面观察到的种种现象,我们可以总结出 serialize() 函数对 __PHP_Incomplete_Class 对象执行了如下 特殊操作(操作描述顺序并非 serialize 函数的实际操作顺序)

  1. __PHP_Incomplete_Class 对象中的 属性个数减一 并将其作为序列化文本中 对实际对象属性个数的描述值
  2. __PHP_Incomplete_Class 对象的 __PHP_Incomplete_Class_Name 作为序列化文本中 对象所属类的描述值。若未从 __PHP_Incomplete_Class 对象 中检查到 __PHP_Incomplete_Class_Name 属性,则跳过此步。
  3. __PHP_Incomplete_Class 对象的序列化文本中对 __PHP_Incomplete_Class_Name 属性的描述删去。若没有发现相关描述,则跳过此步。

雾散

回到 serialize(unserialize($x)) !== $x;。让我们再尝试对如下示例进行分析:

<?php


$serialize_text = 'O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';

var_dump(serialize(unserialize($serialize_text)) !== $serialize_text);

执行效果

bool(true)

由于 serialize 函数将对 __PHP_Incomplete_Class 进行特殊操作,故反序列化后得到的 __PHP_Incomplete_Class 对象再进行序列化操作后,序列化文本中对属性个数的描述值将为 1 而不是 2。于是导致了 serialize(unserialize($x)) !== $x;

下限

serialize() 函数对 __PHP_Incomplete_Class 对象执行特殊操作的过程中,若 __PHP_Incomplete_Class 对象中的属性个数为零,则 __PHP_Incomplete_Class 的序列化结果中的属性个数描述值也将为零,两者不会存在 1 的差距。对此,请参考如下示例:

<?php


var_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":0:{}')));

执行效果

string(34) "O:22:"__PHP_Incomplete_Class":0:{}"

对象(由反序列化操作得到的对象)所属类为 __PHP_Incomplete_Class 且该对象的属性个数 不为零 时,serialize(unserialize($x)) !== $x; 恒成立,仅当该对象的属性个数 为零 时, serialize(unserialize($x)) === $x; 成立。

BinaryMoon
关注
  • 20
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
【已解决】__PHP_Incomplete_Class_Name 问题原因之一
硕士茂哥
09-09 4201
php在线测试平台上写了一些代码以获取序列化后的字符串, <?php class WXParams { public $mch_id; function __construct($mch_id) { $this->mch_id = $mch_id; } } $wxParams = new WXParams("aaaaa1"); ech
__PHP_Incomplete_Class 错误处理
LCRxxoo的博客
07-29 957
//该错误通常是两套php代码公用了redis,mysql等数据 class A{ public $name = 'admin_a'; } class B{ public $name = 'admin_b'; } $objA = new A(); $objB = new B(); $serializedObjA = serialize($objA); $serializedObjB = serialize($objB); //如果classA 不存在与代码,那么
把一个类对象存储到session 的时候报错 __PHP_Incomplete_Class_Name 的解决办法
taotaobaobei的博客
09-05 2219
如果你把对象存储到session里面,那么在读取session的地方,也必须有次对象对应的类声明才正确。 否则,从session里面分析出一个对象,却没有与之对应的类,则会提示: __PHP_Incomplete_Class_Name  解决方法:把类的定义写到调用session的位置之前
__php_incomplete_class,Catchable Fatal Error: Object of class __PHP_Incomplete_Class could not be co...
weixin_35780601的博客
03-25 279
I'm having an error when I want to open a simple page. This is the full error: ContextErrorException: Catchable Fatal Error: Object of class __PHP_Incomplete_Class could not be converted to string in...
__PHP_Incomplete_Class 对象处理
大洋
10-04 2068
1、session存储的数据: Yii::app()->session[$accountSessionName] = $accountModels; 2、获取出来的对象为: 3、获取对象的属性将是为空: 4、解决方案为: 先序列化存储: Yii::app()->session[accountSessionName]=serialize(accountSessionName] = s...
深入浅析PHPsession反序列化漏洞问题
10-19
主要介绍了PHPsession反序列化漏洞问题,需要的朋友可以参考下
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再...
php反序列化报错之Catchable fatal error: Object of class A could not be converted to string
Sk1y的博客
04-24 2842
在实验php反序列化的时候碰到了一点小问题,记录一下。 错误实例 下面这是源码,会产生一些问题,已经标识出来了 <?php class A{ public $name = 'bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb'; public $pass = '123456'; } $AA = new A(); $res = serialize($AA); echo $res; echo unserialize(
什么是 PHP 内存溢出 ?遇到了要如何解决呢 ?
最新发布
php-yyds
12-24 975
PHP内存溢出指的是在PHP应用程序中,分配给脚本执行的内存超出了PHP配置文件中设置的限制。当脚本尝试使用比可用内存更多的内存时,就会发生内存溢出错误。
PHP反序列化漏洞
秋水的博客
09-18 1169
前言 什么是序列化? 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。【将状态信息保存为字符串】 简单的理解:将PHP对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中 什么是反序列化? 顾名...
解决PHP内存溢出的问题
gaogao0603的专栏
01-14 7973
Allowed memory size of 33554432 bytes exhausted (tried to allocate 4554 bytes)      有时候我们在运行php程序的时候会发现 Fatal Error: Out of memory 这样的提示。 这有可能是程序中用到了大量了变量和对象,导致分配的内存不够用。我就遇到这样一个错误怎么改也改不了,后来上网查了一些资
某CTF---php反序列化字符串溢出
3tefanie丶zhou的博客
12-28 2655
【我们的言语,既会千山万水,迷障横生,也能铺路搭桥,柳暗花明。故而与亲近之人朝夕久处,不可说气话,不可说反话,不可不说话。】
数据集CollectionTP5报Cannot use object of type __PHP_Incomplete_Class as array错误
蛋叔
11-30 8978
本来是写登陆功能的时候将管理员数据保存到session中去,然后在BaseController中获取session并输出到模板,主要代码如下: login控制器 $result = AdminModel::get(['username'=&amp;amp;gt;$data['username']]); unset($result-&amp;amp;gt;password); session('adminAccount',$res...
理解PHP反序列化漏洞:__wakeup()与安全风险
"这篇文档介绍了PHP中的反序列化漏洞,主要关注点在于反序列化变量可控、存在可利用的魔术方法如`__wakeup()`,以及这些方法可能导致的安全风险,如系统命令执行和文件操作。文章还探讨了PHP的序列化和反序列化过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BinaryMoon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值