xuliehua php,PHP序列化与反序列化解读

最新推荐文章于 2023-08-24 15:39:46 发布
最新推荐文章于 2023-08-24 15:39:46 发布
阅读量67 收藏
点赞数
文章标签: xuliehua php

本文原创作者:cone

44af67bceb21c2b4c0757ccf46395661.png

花费了点时间研究了下PHP序列化,写在这里。一是方便自己知识点记忆,二是帮助同样有疑问的人,欢迎指正错误,不喜勿喷.

0x01.确定配置文件

首先系统使用的ubuntu apt-get install方式安装的php5,所以在/etc/php5中两个文件夹中有php.ini 分别为cli与apache2 如下列

命令:root@ubuntu:/etc/php5# ll -l apache2/ cli/

apache2/:

total 156

drwxr-xr-x 3 root root  4096 Dec 16 19:04 ./

drwxr-xr-x 5 root root  4096 May 28  2015 ../

drwxr-xr-x 2 root root  4096 Jul 14 09:14 conf.d/

-rw-r--r-- 1 root root 69890 Dec 16 19:04 php.ini

-rw-r--r-- 1 root root 69890 Sep 15 13:09 php.ini~

cli/:

total 148

drwxr-xr-x 3 root root  4096 Dec 11 17:39 ./

drwxr-xr-x 5 root root  4096 May 28  2015 ../

drwxr-xr-x 2 root root  4096 Jul 14 09:14 conf.d/

-rw-r--r-- 1 root root 69568 Dec 11 17:39 php.ini

-rw-r--r-- 1 root root 69570 Dec 11 17:39 php.ini~

如何确定apche2使用了哪个php.ini其实可以通过输出phpinfo 查看到,此处的cli目录中的php.ini配置文件是在命令行时使用的配置文件。

0x02.PHP序列化机制

1. PHP序列化机制

PHP中的配置文件php.ini中含有几项配置项session.save_path=""   --设置session的存储路径

session_set_save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)

session.auto_start   boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动

session.serialize_handler   string --定义用来序列化/反序列化的处理器名字。默认使用php

-当session.auto_start设置为True的时候或者手动session_start()创建新会话,PHP内部调会调用会话管理器。

- 下面是一段代码其中session_set_save_handler()设置用户自定义会话存储函数。此处还是使用默认的存储方式以文件方式存储服务器,存储目录与配置文件中php.ini中的session.save_path相关。

- 下面这行代码因未设定序列化处理器的名字,所以默认使用PHP中内置的序列化处理器(php)。class FileSessionHandler

{

private $savePath;

function open($savePath, $sessionName)

{

$this->savePath = $savePath;

if (!is_dir($this->savePath)) {

mkdir($this->savePath, 0777);

}

echo __FUNCTION__."
";

return true;

}

function close()

{

echo __FUNCTION__."
";

return true;

}

function read($id)

{

echo __FUNCTION__."
";

return (string)@file_get_contents("$this->savePath/sess_$id");

}

function write($id, $data)

{

echo __FUNCTION__."
";

return file_put_contents("$this->savePath/sess_$id", $data) === false ? false : true;

}

function destroy($id)

{

$file = "$this->savePath/sess_$id";

if (file_exists($file)) {

unlink($file);

}

echo __FUNCTION__."
";

return true;

}

function gc($maxlifetime)

{

foreach (glob("$this->savePath/sess_*") as $file) {

if (filemtime($file) + $maxlifetime 

unlink($file);

}

}

echo __FUNCTION__."
";

return true;

}

function end(){

echo 'Script end then call register_shutdown_functiond'."
";

}

}

$handler = new FileSessionHandler();

session_set_save_handler(

array($handler, 'open'),

array($handler, 'close'),

array($handler, 'read'),

array($handler, 'write'),

array($handler, 'destroy'),

array($handler, 'gc')

);

// 下面这行代码可以防止使用对象作为会话保存管理器时可能引发的非预期行为

register_shutdown_function(array($handler,end));

session_start();

上面代码执行的结果为open

read

Script end then call register_shutdown_functiond

write

close

然后查看session.seve_path中的值,相应的目录可以看到如下类似文件sess_fifslo9a7j78bv8koc0k4g0lk2

sess_p4g23nl7mi7od8uohtpojd42b5

其中sess_后边的一串数值即是浏览器中的sessionid数值,打开相对应的session文件(sess_fifslo9a7j78bv8koc0k4g0lk2 )可查看其内容发现如下:name|s:2:"tb";

可以发现其为序列化之后的内容,当浏览器带着sessionid再次访问脚本时,服务器端根据sessionid读取session文件并将其反序列化.

简单总结一下以上代码:

其实就是通过session_start()手动创建新的会话,会话使用PHP内置序列化方式(php.ini中默认session.serialize_handler为php),通过session_set_save_handler()设定的方式进行存储

0x03.序列化引发的漏洞

PHP中有三种序列化方式| 处理器         | 对应的存储格式    |

| ------------------ |:---------------------|

| php_binary      | 键名的长度对应的ASCII字符+键名+经过serialize() 函数反序列处理的值 |

| php           | 键名+竖线+经过serialize()函数反序列处理的值   |

|php_serialize (php>=5.5.4) |经过serialize()函数反序列处理的数组|

看一个经过php处理器序列化过的值name|s:6:"whoami";address|s:7:"beijing";

其中每个session值是以";"分割开来,例如name|s:6:"whoami";

是其中一个session值,"|"前面表示session名称,"|"后边表示session具体信息,包含数据类型,长度,数据内容。

当session.auto_start = 0 如果php进行序列化的时候使用的是php_serialize处理器,反序列化的时候使用的是内置的处理器php,通过构造特殊的数据就会使PHP产生安全问题了,这也是Joomla这次产生漏洞的根本原因。

参考如下代码,感谢ryat老师。

foo1.phpini_set('session.serialize_handler', 'php_serialize');

session_start();

$_SESSION['ryat'] = $_GET['ryat'];

foo2.phpini_set('session.serialize_handler', 'php');

//or session.serialize_handler set to php in php.ini

session_start();

class ryat {

var $hi;

function __wakeup() {

echo 'hi';

}

function __destruct() {

echo $this->hi;

}

}

当访问foo1.php时提交数据如下:foo1.php?ryat=|O:4:"ryat":1:{s:2:"hi";s:4:"ryat";}

如上通过引入"|"当访问foo2.php时可以看到成功实例化了ryat类,并自动调用了__wakeup()及_destruct()函数

访问foo2.php后输出hiryat

引用

* 原创作者:cone,本文属FreeBuf原创奖励计划,未经许可禁止转载

weixin_39604897
关注
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3902
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
〖Python零基础入门篇(54)〗- 文件的应用-序列化反序列化
易编橙 · 终身成长社群,相遇已是上上签!
03-25 2万+
前面章节我们学些了文件对象的创建、写入与读取,并且针对 `.py` 文件 与 `.txt` 文件进行了有针对性的小练习。 通过前面的学习我们知道,文件对象的读写只能进行 `字符串` 或 `byte` 类型的操作,其他类型只能通过格式化存储或者数据类型的转换才能实现。 但无论是哪一种,从文件中读取数据后都需要进行比较复杂的处理才能还原到原始的数据类型。为了简化数据类型的写入和获取,今天我们来学习一个新的知识点 ---> 序列化
序列化反序列化
ChineseSoftware的博客
01-17 3万+
一、序列化:将 Java 对象转换成字节流的过程 1️⃣序列化过程:是指把一个 Java 对象变成二进制内容,实质上就是一个 byte[]。因为序列化后可以把 byte[] 保存到文件中,或者把 byte[] 通过网络传输到远程(IO),如此就相当于把 Java 对象存储到文件或者通过网络传输出去了。 2️⃣一个 Java 对象要能序列化,必须实现一个特殊的java.io.Serializable接口,它的定义如下: public interface Serializable {} Serializab.
PHP反序列化
m0_69637056的博客
07-10 5699
PHP
php 序列化反序列化
天空之城
10-09 7614
简介 在php中,序列化用与存储或传递php的值的过程,同时不丢失其结构和数据类型。 相关的函数包括serialize、unserialize,魔术方法包括__sleep、__wakeup。 序列化 语法:string serialize ( mixed $value ) 可以对String、Integer、Boolean、Null、Array、Object进行操作 反序列化 语法:mi...
PHP序列化反序列化
迷风小白
06-28 1万+
PHP序列化:serialize 序列化是将变量或对象转换成字符串的过程。 举例: <?php class man{ public $name; public $age; public $height; function __construct($name,$age,$height){ //_construct:创建对象时初始化 $this->name =...
phpstudy 开发php扩展,PHP_一个简单php扩展介绍与开发教程,我们使用php扩展,主要目的是 - phpStudy...
weixin_35879493的博客
03-09 300
一个简单php扩展介绍与开发教程我们使用php扩展,主要目的是提高程序的执行效率,对于访问量很大的代码或者逻辑将其写成扩展。在做项目的过程中,需要对数据进行排序,数据运算比较复杂;我们准备对一百万个数据进行排序, 下面是我在程序之前做的一个测试:首先使用php程序生成一百万的随机数,并将其保存在文件中。生成随即数的代码如下面所示:复制代码 代码如下:set_time_limit(0);ini_se...
PHP-序列化反序列化
逍遥云恋
03-27 307
1.5 序列化反序列化PHP中,数组和对象无法保存,如果需要保存就要将数组或对象转换成一个序列。 序列化:将数组或对象转换成一个序列(serialize) 反序列化:将序列化的字符串转换成数组或对象。(unserialize) 1.5.1 数组的序列化反序列化 <?php //数组的序列化 /* $stu=['tom','berry','ketty']; $str=seriali...
浅谈PHP序列化反序列化
weixin_43553654的博客
12-24 422
1.序列化是什么意思呢?序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式 serialize();2.反序列化是什么意思呢?其实就是字面的意思,把序列化的数据,转换成我们需要的格式 unserialize();那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过ar...
C++ JSON 序列化反序列化
06-22
本篇文章将深入探讨C++中JSON的序列化反序列化。 **一、JSON序列化** 序列化是指将C++的对象转换为JSON字符串的过程,以便在网络上传输或保存到文件中。常见的C++ JSON序列化库有RapidJSON、nlohmann/json、...
【SpringBoot】34、SpringBoot整合Redis实现序列化存储Java对象
热门推荐
Asurplus
10-23 21万+
前面我们已经介绍过【SpringBoot】十七、SpringBoot 中整合 Redis,我们可以看出,在 SpringBoot 对 Redis 做了一系列的自动装配,使用还是非常方便的 一、背景 1、思考‘ 通过我们前面的学习,我们已经可以往 Redis 中存入字符串,那么我们要往 Redis 中存入 Java 对象该怎么办呢? 2、方案 我们可以将 Java 对象转化为 JSON 对象,然后转为 JSON 字符串,存入 Redis,那么我们从 Redis 中取出该数据的时候,我们也只能取出字符串,并转
【网络安全 | CTF】CTF极客大挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 5048
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
CTF——Web——PHP序列化反序列化
小锤队长的博客
08-09 5779
PHP 序列化反序列化: 1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列化...
什么是java序列化,如何实现java序列化
hyshucom
04-04 772
Java 串行化技术可以使你将一个对象的状态写入一个Byte 流里,并且可以从其它地方把该Byte 流里的数据读出来,重新构造一个相同的对象。这种机制允许你将对象通过网络进行传播,并可以随时把对象持久化到数据库、文件等系统里。Java的串行化机制是RMI、EJB等技术的技术基础。用途:利用对象的串行化实现保存应用程序的当前工作状态,下次再启动的时候将自动地恢复到上次执行的状态。 序列化就是一种...
3 ways to serialize variables in php
weixin_34112181的博客
08-01 197
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数这两个是序列化反序列化PHP中数据的常用函数。 Php代码 $a=array('a'=>'Apple','b'=>...
四个实例递进php反序列化漏洞理解
大方子
09-14 8251
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化反序列化。顺便安利一下D0g3小组的平台...
php反序列化漏洞
vergilben的学习日记
03-23 1万+
php反序列化漏洞 关于php面向对象编程: 对象:可以对其做事情的一些东西。一个对象有状态、行为和标识三种属性。 类:一个共享相同结构和行为的对象的集合。 每个类的定义都以关键字class开头,后面跟着类的名字。一个类可以包含有属于自己的变量,变量(称为“属性”)以及函数(“称为方法”)。类定义了一件事物的抽象特点。通常来说,类定义了事物的属性和它可以做到的。类可能会包含一些特殊的函数叫magi...
08-React redux
最新发布
09-14
redux 相关代码以及 redux 开发者工具
C#中的数据库迁移是如何实现的
09-14
在C#中,数据库迁移是Entity Framework(EF)的一个核心功能,它允许开发者通过代码变更来更新数据库结构。以下是如何在C#中使用Entity Framework实现数据库迁移的详细步骤和代码示例。 Entity Framework的迁移功能为C#开发者提供了一种强大的工具,用于管理和应用数据库架构的变更。通过上述步骤和命令,可以在开发过程中轻松地同步模型和数据库的更改。在实际开发中,应确保在应用迁移之前充分测试,以避免数据丢失或不一致的问题。 在C#中,数据库迁移是Entity Framework(EF)的一个核心功能,它允许开发者通过代码变更来更新数据库结构。以下是如何在C#中使用Entity Framework实现数据库迁移的详细步骤和代码示例。 Entity Framework的迁移功能为C#开发者提供了一种强大的工具,用于管理和应用数据库架构的变更。通过上述步骤和命令,可以在开发过程中轻松地同步模型和数据库的更改。在实际开发中,应确保在应用迁移之前充分测试,以避免数据丢失或不一致的问题。
深入理解PHP反序列化机制
"PHP 反序列化详解,包括serialize()函数的使用、序列化的概念和示例,以及PHP反序列化格式的解析。" 在PHP中,反序列化是一个至关重要的概念,它允许我们把之前通过序列化过程保存的字节流(通常是存储在文件或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值