web安全-PHP反序列化漏洞

已于 2022-07-12 16:23:30 修改
阅读量2k 收藏 18
点赞数 3
文章标签: web安全
于 2022-07-10 23:42:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61956136/article/details/125705264
版权
本文深入探讨PHP的序列化与反序列化,包括serialize()和unserialize()函数的使用,解析PHP中常用魔术方法的触发条件,如__construct()、__set()等,并详细阐述了PHP反序列化漏洞的各种利用姿势,如__wakeup()函数绕过、正则绕过、字符逃逸和POP链构造等实战技巧。
摘要由CSDN通过智能技术生成

一.PHP序列化与反序列化

序列化:把对象转换为字节序列,永久存到磁盘中。在网络中传输对象也要进行序列化。

反序列化:从磁盘中读取字节序列将它们反序列化成对象读出来。

PHP中的serialize()和unserialize()两个函数:

1.serialize()

serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储。

<?php
class Person{
    //类的数据
    public $age = 18;
    public $name = 'lxy';
}
//创建一个对象
$usr = new Person();
//输出序列化后的数据
echo serialize($usr)
?>

打印其序列化结果: 

O:6:"Person":2:{s:3:"age";i:18;s:4:"name";s:3:"lxy";}

“O”表示对象,“6”表示对象的类名长度,“Person”为对象名,“2”表示对象中有2个变量

s:4:"name";s:3:"lxy"中,“s”表示变量类型,为string对象;s:4:"name"代表的是变量名长度和变量名,s:3:"lxy"代表的是变量的值,和值的长度。

注意:如果变量前是protected,则会在变量名前加上\x00*\x00,private则会在变量名前加上\x00类名\x00。其中:\x00表示空字符,但是还是占用一个字符位置(空格),如下例:

<?php
class test{
    protected  $a;
    private $b;
    function __construct(){
        $this->a="name";
        $this->b="sex";
    }
}
$a = new test();
echo serialize($a);
?>

输出:

O:4:"test":2:{s:4:" * a";s:4:"name";s:7:" test b";s:3:"sex";}

 序列化格式:

a - array 数组型
b - boolean 布尔型
d - double 浮点型
i - integer 整数型
o - common object 共同对象
r - objec reference 对象引用
s - non-escaped binary string 非转义的二进制字符串
S - escaped binary string 转义的二进制字符串
C - custom object 自定义对象
O - class 对象
N - null 空
R - pointer reference 指针引用
U - unicode string Unicode 编码的字符串

2.unserialize()

unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的魔术方法来构造特定的语句,从而达到控制整个反序列化过程。

对上例进行反序列化:

<?php
class Person{
    //类的数据
    public $age = 18;
    public $name = 'lxy';
    //输出数据
    public function printdata()
    {
        echo 'Person '.$this->name.' is '.$this->age.' years old.<br />';
    }
}
//重建对象
$usr = unserialize('O:6:"Person":2:{s:3:"age";i:18;s:4:"name";s:3:"lxy";}');
//输出数据
$usr->printdata();
?>

输出结果:

Person lxy is 18 years old.

二.PHP中常用魔术方法及触发条件

PHP中把以两个下划线__开头的方法称为魔术方法(Magic methods)

参考来源:常用魔术方法+PHP官网详解

__construct()            //类的构造函数,创建对象时触发

__destruct()             //类的析构函数,对象被销毁时触发

__call()                 //在对象上下文中调用不可访问的方法时触发

__callStatic()           //在静态上下文中调用不可访问的方法时触发

__get()                  //读取不可访问属性的值时,这里的不可访问包含私有属性或未定义

__set()                  //在给不可访问属性赋值时触发

__isset()                //当对不可访问属性调用 isset() 或 empty() 时触发

__unset()                //在不可访问的属性上使用unset()时触发

__invoke()               //当尝试以调用函数的方式调用一个对象时触发

__sleep()                //执行serialize()时,先会调用这个方法

__wakeup()               //执行unserialize()时,先会调用这个方法

__toString()             //当反序列化后的对象被输出在模板中的时候(转换成字符串的时候)自动调用
最低0.47元/天 解锁文章
Pattie.
关注
  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
8.15 对象序列化反序列化,正则表达式
Tr4asure的博客
08-15 471
一.对象序列化,反序列化 说到对象的序列化,需要先了解一种数据:JSON数据:它是一种字符串,形如js语言的对象的表示形式:“name=karen&pwd=123”,就像这个字符串.我们通过代码来看: JSON.parse的使用: var str='{"name":"123"}' var str='{"age":18,"its":[1,12,3,12,3,123]}' ...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发。这个话题在CTF(Capture The Flag)网络安全竞赛也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化姿势学习
彼岸花苏陌的博客
01-16 2300
php反序列化姿势学习1.__wakeup()函数绕过2./[oc]:\d+:/i研究欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.__wakeup()函数绕过 wakeup函数作为ph
[极客大挑战 2019]PHP反序列化
最新发布
weixin_73236680的博客
05-31 829
如果存在__wakeup方法,调用unserilize()方法则先调用__wakeup方法,但是序列化字符串表示。满足了username、password但wakeup还没有绕过。因为是get传参,代码要放在URL上,所以再加一个URL编码。他说有备份,先右键检查看看,没有东西,用其他工具扫一下。所以将对象的变量数改成大于2就能跳过__wakeup。有一个状态码200的路径,访问并下载。__wakeup()魔术绕过方法。先输出一下序列化代码,便于理解。跳过__wakeup的执行。
关于正则匹配preg_match(‘/^O:\d+/‘)的绕过的几种方法
m0_63138919的博客
10-13 2060
本文为preg_match('/^O:d+/')正则 匹配绕过的方法
深入了解PHP反序列化原生类
we
06-05 1417
如果在代码审计或者ctf,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。1234567891011我们采用下面脚本遍历一下所有原生类的魔术方法 Error/ExceptionError 是所有PHP内部错误类的基类。 (PHP 7, 8)**Error::__toString ** error 的字符串表达返回
php反序列化学习记录
box
11-04 467
php反序列化,学了忘,忘了学,其实之前没学会,最后再学亿次吧,这次希望自己能够学会。 0x00 什么是序列化和反序列化   序列化就是将一个对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。反序列化则相反将字符串重新恢复成对象   对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。 0x01 序列化常见的魔法函数 __construct() 实例化对象时被调用, 当__construct和以类名为函数名的函数同时存在时,__construct将被调用,另一个不被调用。
针对未知PHP反序列化漏洞利用的检测拦截系统研究.pdf
01-06
我们对4个PHP Web应用的6个反序列化漏洞的实验测试结果表明,该方法可以成功拦截当前所有PHP反序列化漏洞攻击,并能够提取或回溯漏洞攻击所构造的POP攻击链,实现零误报。 第四,性能测试结果 我们对该系统的性能...
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
标题的“WEB漏洞-反序列化PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHP和JAVA平台上的反序列化漏洞反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
第37天:WEB漏洞-反序列化PHP&JAVA全解(上)1
08-03
WEB漏洞-反序列化PHP&JAVA全解(上) 在 WEB 应用程序反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHP 和 JAVA 反序列化漏洞尤其常见,本文将...
PHP序列化/对象注入漏洞分析
10-22
PHP序列化/对象注入漏洞是一种安全风险,它发生在应用程序接收并反序列化用户提供的数据时。当不正确地处理反序列化过程时,攻击者可能能够构造恶意输入,导致代码执行、信息泄露或其他严重后果。在PHP,序列化是...
objective-c正则表达式
12-10
oc正则表达式的使用,主要涉及了特殊符号转义字符的处理。 ([ ] \ )三个特殊符号的处理。 验证了邮箱、手机、昵称、密码。
CTFshow刷题日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 2671
反序列化 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
两道反序列化例题
limenzzz的博客
05-03 1259
攻防世界: 1.Web_php_unserialize 先代码审计,发现定义了demo类,而在其有一句 这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php,于是需要构造反序列化的demo类,且要绕过wake_up函数,根据上篇可知,只要输入的数据数少于规定的就可以绕过。于是需要构造 O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";} //原构造,未构建任何绕过 O:4:"demo":2:{s:10:"De
ctfshow 反序列化
m0_62422842的博客
07-07 1765
涉及到的题目是web254~web266
php class destruct,PHP面向对象之析构方法 (__destruct())
weixin_34191685的博客
03-10 280
析构方法语法当对象销毁的时候自动调用析构函数不可以带参数function __destruct(){}class Student {private $name;//构造方法public function __construct($name) {$this->name= $name;echo "{$name}出生了";}//析构方法public function __destruct() {e...
php封装协议的两道题
weixin_30338481的博客
05-19 138
这几天终于刷完了自己说是要刷完的那几道题,赶紧写几篇博客记录。。 1. 先看看这个网站:https://blog.csdn.net/qq_41289254/article/details/81388343 接下来直接上题: 1.http://123.206.87.240:8005/post/index.ph...
php class destruct,PHP析构函数destruct与垃圾回收机制的讲解
weixin_42588877的博客
03-10 224
析构函数当某个对象成为垃圾或者当对象被显式销毁时执行。PHP5提供的析构函数是__destruct,其与构造方法__construct相对应。垃圾回收——GC(Garbage Collector)在PHP,没有任何变量指向这个对象时,这个对象就成为垃圾,PHP会将其在内存销毁。这是PHP的GC(Garbage Collector)垃圾处理机制,垃圾加收可以防止内存溢出。当一个PHP线程结束时...
php作业01
tiantangniao553的博客
10-09 686
/*            file1.php               */ namespace defpp; class People { public $name; public $age; public $height; public $weight; public $hobby; public static $crtnum;     const maxnum=1
PHP反序列化漏洞 ctfhub
07-28
PHP反序列化漏洞是一种常见的Web应用程序漏洞,它允许攻击者通过操纵序列化和反序列化过程来执行恶意代码。这种漏洞通常出现在PHP应用程序,特别是在使用不安全反序列化函数(如`unserialize()`)时。 CTFHub是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值