序列化
所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 --php官方文档
魔术方法
构造函数和析构函数
__construct() 具有构造函数的类会在每次创建新对象时先调用此方法,所以非常适合在使用对象之前做一些初始化工作。
__destruct() 析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。
也就是说进行反序列化时,完成的就是从字符串创建新对象的过程,刚开始就会调用__construct(),而对象被销毁时,例如程序退出时,就会调用__destruct()
__sleep()和__wakeup()
__toString()
echo或者拼接字符串或者其他隐式调用该方法的操作都会触发
__set(), __get(), __isset(), __unset()
__invoke(), __call()
当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。 在对象中调用一个不可访问方法时,__call() 会被调用。
其他
__callStatic(), __set_state(), __clone(), __debugInfo()等和序列化没有多大关系,详情参考官网
序列化细节
序列的含义
例如:O:4:"user":2:{s:3:"age";i:18;s:4:"name";s:3:"LEO";} O代表对象;4代表对象名长度;2代表2个成员变量;其余参照如下
类型
结构
String
s:size:value;
Integer
i:value;
Boolean
b:value;(保存1或0)
Null
N;
Array
a:size:{key definition;value definition;(repeated per element)}
Object
O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}
public、protected、private下序列化对象的区别
public变量 直接变量名反序列化出来
protected变量 \x00 + * + \x00 + 变量名
private变量 \x00 + 类名 + \x00 + 变量名
反序列化的利用
__wakeup失效 php版本< 5.6.25 | < 7.0.10 当序列化字符串中,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup()的执行 例: O:4:"Demo":1:{s:10:"Demofile";s:16:"f15g_1s_here.php";}
O:4:"Demo":2:{s:10:"Demofile";s:16:"f15g_1s_here.php";}
使用+绕过正则 例: preg_match('/[oc]:\d+:/i', $var)
O:4:"Demo":1:{s:10:"Demofile";s:16:"f15g_1s_here.php";}
O:+4:"Demo":1:{s:10:"Demofile";s:16:"f15g_1s_here.php";}
Session序列化问题
PHP内置了多种处理器用于存储$_SESSION数据时会对数据进行序列化和反序列化,常用的有以下三种,对应三种不同的处理格式:
处理器
对应的存储格式
php
键名 + 竖线 + 经过serialize()函数反序列化处理的值
php_binary
键名的长度对应的ASCII字符 + 键名 + 经过serialize()函数反序列化处理的值
php_serialize(php>=5.5.4)
经过serialize()函数反序列处理的数组
配置选项 session.serialize_handler,通过该选项可以设置序列化及反序列化时使用的处理器,默认为php。
如果PHP在反序列化存储的$_SEESION数据时的使用的处理器和序列化时使用的处理器不同,会导致数据无法正确反序列化,通过特殊的伪造,甚至可以伪造任意数据。
当存储是php_serialize处理,然后调用时php去处理,如果这时注入的数据时a=|O:4:"test":0:{},那么session中的内容是a:1:{s:1:"a";s:16:"|O:4:"test":0:{}";},那么a:1:{s:1:"a";s:16:"会被php解析成键名,后面就是一个test对象的注入
当配置选项session.auto_start=Off,两个脚本注册session绘画是使用的序列化处理器不同,就会出现安全问题
The key of stored in the session will look like this:
$_SESSION["upload_progress_ryat"]
ryat的部分可以注入自己的代码,如ryat|序列化字符串
Phar反序列化
// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('<?php __HALT_COMPILER(); ? >');
// add object of any class as meta data
class AnyClass {}
$object = new AnyClass;
$object->data = 'rips';
$phar->setMetadata($object);
$phar->stopBuffering();
//通过Phar文件进行PHP对象注入
class AnyClass {
function __destruct() {
echo $this->data;
}
}
// output: rips
include('phar://test.phar');
phar://在任何文件操作中都会为包装器触发unserialize,可利用函数包括
ìnclude($_GET['file']);
fopen($_GET['file']);
file_get_contents($_GET['file']);
file($_GET['file']);
file_exists($_GET['file']);
md5_file($_GET['file']);
filemtime($_GET['file']);
filesize($_GET['file']);
例题:[hitcon2017] Baby^H-master-php-2017 复现 PS:匿名函数的真正名字为:%00lambda_%d(%d格式化为当前进程的第n个匿名函数)