PHP反序列化

最新推荐文章于 2024-09-13 17:26:39 发布
最新推荐文章于 2024-09-13 17:26:39 发布
阅读量415 收藏
点赞数
分类专栏: web安全 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43916678/article/details/124511962
版权

序列化就是将对象转换成字符串,反序列化则相反,数据的格式转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。

PHP反序列化

原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,导致代码致谢,SQL注入,目录遍历等不可控后果,在反序列化过程中自动触发了某些魔术方法,当进行反序列化的时候就有可能触发对象中的一些魔术方法。
serialize():将一个对象转换成字符串
unserialize():将字符串还原成一个对象

触发:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法。

魔术方法:

  1. _construct:创建对象时触发
  2. _destruct:对象被销毁时触发,是这个对象执行完毕后自动执行的,不需要用户写代码刻意触发
  3. _call:在对象上下文中调用不可访问的方法时触发
  4. _callStatic:在静态上下文中调用不可访问的方法时触发
  5. _get:用于从不可访问的属性读取数据
  6. _set:用于将数据写入不可访问属性
  7. _isset:在不可访问属性上调用isset或empty触发
  8. _unset:在不可访问的属性上使用unset触发
  9. _invoke:当脚本尝试将对象调用为函数时触发
  10. __wakeup:用户反序列化后自动触发
  11. __sleep:用户序列化的时候自动触发
星辞归野
关注
专栏目录
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
总之,PHP反序列化过程中的对象注入问题主要源于过滤函数处理不当导致的字符串长度变化。开发者在编写代码时应谨慎处理用户输入,并确保过滤和反序列化操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列化...
php反序列化靶场,集合了常见的php反序列化漏洞——由这周末在做梦制作.zip
01-16
通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想...
php反序列化
qq_54030686的博客
12-06 429
php反序列化 php反序列化简单的说就是魔术方法的不调用直接使用 为什么要反序列化:压缩空间,便于文件的存储 条件:存在类(class),存在魔术方法 简单理解反序列化 <?php $id=$_GET['id']; $a=serialize($id); echo $a; $b=unserialize($a); echo $b; ?> a即为序列化后的数据,b为反序列化后的数据 魔术方法,不需要引用,在符合条件下,自动执行 __construct()//创建对象时触发 new类 __destru
PHP反序列化入门教程(一)
weixin_46003602的博客
08-19 834
知识点:1、PHP-反序列化-应用&识别&函数2、PHP-反序列化-魔术方法&触发规则3、PHP-反序列化-联合漏洞&POP链构造在实战情况下,是不需要知道这些具体分析的,都是利用工具去扫一些框架爆出的反序列话漏洞直接利用即可。学这些具体分析就是为了以后往漏洞挖掘方向发展或者打CTF比赛及面试会被问。
PHP反序列化
D-R0s1的博客
10-08 1478
什么是反序列化?   在我们讲PHP反序列化的时候,基本都是围绕着serialize(),unserialize()这两个函数。那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过array序列化而来的。而反序列化就是把那串可以传输的字符串再变回对象。 反序列化中的解释: 拿一个神盾局的秘密来实验一下ph...
php反序列化例题.docx
07-18
PHP 反序列化详解 PHP 反序列化是指将序列化的数据重新转换为 PHP 对象或数组的过程。PHP 提供了两个用于序列化和反序列化的函数:`serialize()` 和 `unserialize()`。在本文中,我们将详细介绍 PHP 反序列化的过程...
详解php反序列化
10-15
PHP反序列化PHP编程中的一个重要概念,它涉及到将PHP变量从一种状态转换成另一种状态,即从内存中的表示形式转换成能够在文件或数据库中持久保存的格式,然后再将其还原回内存状态的过程。序列化操作可以通过PHP的...
反序列化——php反序列化
qq_48829044的博客
06-20 379
php反序列化
PHP序列化和反序列化函数
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
11-30 2308
serialize() 把变量和它们的值编码成文本形式,即产生一个可存储的值的表示 unserialize() 恢复原先变量。
PHP反序列化(231119)
mo2901600657的博客
11-19 241
2023/11/19学习内容:php反序列化知识来源:橙子科技工作室。
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 1233
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
反序列化 php 字符串
weixin_30369087的博客
03-28 118
有人知道下面的这段字符是什么结构吗,如何解析?  $value['lastmessage =    a:3:{     s:12:"lastauthorid";     s:2:"19";     s:10:"lastauthor";     s:6:"xiaolu";     s:11:"lastsummary";     s:13:"seller在吗";  } $...
PHP OOP 对象的序列化 反序列化
yhwcool的博客
08-20 1164
基本介绍   所谓的对象序列化是指:将一个对象转化成一个字符串,这个字符串包括 属性 属性名,属性值,属性类型,和该对象对应的类名。简单的说明就是把一个对象的书和数据类型转成字符串; &lt;?php header("content-type:text/html;charset=utf-8"); class Cat { public $name; public $age; ...
php反序列化进阶(session反序列化)!全网最详细!小白看这篇就够了!
最新发布
m0_70065235的博客
09-13 1279
php反序列化进阶!2000多字精讲!全网最详细!小白看这篇就够了!内置例题讲解!!
深入理解PHP反序列化机制
"PHP 反序列化详解,包括serialize()函数的使用、序列化的概念和示例,以及PHP反序列化格式的解析。" 在PHP中,反序列化是一个至关重要的概念,它允许我们把之前通过序列化过程保存的字节流(通常是存储在文件或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值