当前位置：首页 > news >正文

web漏洞-PHP反序列化

news 文章来源：https://blog.csdn.net/rumil/article/details/133528398 2025/1/21 0:55:37

PHP反序列化

序列化

将对象转换成字符串

反序列化

相反，将字符串转换成对象。

数据格式的转换对象的序列化有利于对象的保存和传输，也可以让多个文件共享对象。

原理

未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

serialize() //将一个对象转换成一个字符串

unserialize() //将字符串还原成一个对象

//例如：
//无类，序列化和反序列化
<?php$key="rumilc";
echo serialize($key);echo "</br>";
$key2 = 's:6:"rumilc";';
echo unserialize($key2);

涉及技术

有类和无类

有类和无类区别：有无class定义

基本概念

有类：触发魔术方法

魔术方法具体参考

触发：
unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法：
__construct()//创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发
......

利用

真实应用下

CTF中常见

危害

SQL注入

目录遍历

代码执行

…

CTF靶场

题目地址

进入环境：

给了php代码，进行分析

根据题目以及代码，向下发现了unserialize

思路：
第一：获取flag存储flag.php
第二：两个魔术方法__destruct和 __construct
第三：传输str参数数据后触发destruct，存在is_valid过滤
第四：__destruct中会调用process,其中op=1写入及op=2读取
第五：涉及对象FileHandler，变量op及filename,content，进行构造输出

进行构造，序列化处理：

<?php
class FileHandler
{public $op = '2.0'; //源码观察发现，op为1时候是执行写入，为2时执行读//使用 ' 2'也可以绕过op的值public $filename="flag.php"; //文件开头调用的是flag.phppublic $content; //可以不用写，或者任意
}
$flag = new FileHandler();
echo serialize($flag);
?>

执行完成后，得到：

O:11:“FileHandler”:3:{s:2:“op”;s:3:“2.0”;s:8:“filename”;s:8:“flag.php”;s:7:“content”;N;}

将此作为参数值，赋值给str进行请求

发现有返回，查看源码

源码当中：

得到答案

$FLAG = "ctfhub{2edb689c4de533b460e6c2af}";

还可以将其还原成对象：

<?php$key = 'O:11:"FileHandler":3:{s:2:"op";s:3:"2.0";s:8:"filename";s:8:"flag.php";s:7:"content";N;}';var_dump(unserialize($key));
?>

还原的对象结果：

object(__PHP_Incomplete_Class)#1 (4) {["__PHP_Incomplete_Class_Name"]=>string(11) "FileHandler"["op"]=>string(3) "2.0"["filename"]=>string(8) "flag.php"["content"]=>NULL
}

反序列化魔术方法调用，弱类型绕过，ascii绕过

== ：弱等于。在比较前会先把两种字符串类型转成相同的再进行比较。

=== ：强等于。在比较前会先判断两种字符串类型是否相同再进行比较，如果类型不同直接返回不相等。既比较值也比较类型。

使用该类对flag进行读取，这里面能利用的只有__destruct函数（析构函数）。

__destruct函数对$this->op进行了===判断并内容在2字符串时会赋值为1，

process函数中使用==对$this->op进行判断（为2的情况下才能读取内容），

因此这里存在弱类型比较，可以使用数字2或字符串’ 2’绕过判断。

is_valid函数还对序列化字符串进行了校验，因为成员被protected修饰，

因此序列化字符串中会出现ascii为0的字符。经过测试，在PHP7.2+的环境中，

使用public修饰成员并序列化，反序列化后成员也会被public覆盖修饰。

web漏洞-PHP反序列化

目录 PHP反序列化序列化反序列化原理涉及技术利用危害CTF靶场 PHP反序列化序列化将对象转换成字符串反序列化相反，将字符串转换成对象。数据格式的转换对象的序列化有利于对象的保存和传输，也可以让多个文件共享对象。原理未对用户输入的序列化字…...

编程日记 2023/10/7 7:40:39

Redis-分布式锁

分布式锁相关内容超卖问题切入可以使用互斥锁给先获取到锁的线程加锁吗？使用redis分布式锁解决超卖问题setnx命令实现分布式锁为什么需要设置过期时间？Redis实现分布式锁如何合理控制锁的有效时长 redisson实现分布式锁超卖问题切入我们先来看一个项目…...

编程日记 2023/10/7 7:33:32

什么时候使用继承，好莱坞原则（设计模式与开发实践 P11+）

文章目录好莱坞原则真的需要继承吗？ 好莱坞原则如果你熟悉继承方法、乃至模板方法模式后，就可以了解一个设计原则好莱坞原则新人演员把简历发给好莱坞，许久之后没有回应不耐烦打电话给好莱坞，只收到回应：不要来找…...

编程日记 2023/10/7 7:32:31

蓝桥等考Python组别十四级001

第一部分：选择题 1、Python L14 （15分） 运行下面程序，输出的结果是（ ）。 d {A: 501, B: 602, C: 703, D: 804} print(d[B]) 501602703804 正确答案：B 2、Python L14 （15分…...

编程日记 2023/10/7 7:30:30

TI单芯片毫米波雷达代码走读（二十七）—— 角度维（3D）处理之通道间幅相一致性补偿

TI单芯片毫米波雷达1642代码走读（〇）——总纲书接上回，我们知晓了3D处理的主要流程，相信大家都已理解基本的原理。在正式进行数据分析之前还有一步关键的步骤需要说明，即通道间的幅相一致性补偿问题。细心的朋友可能注意到，在3D处理的的原码中有两个函数我一直没有讲：…...

编程日记 2023/10/7 7:25:25

数据结构 2.2 单循环链表

2.单循环链表 data|next——>data|next——>data|next——>头节点 1.初始化链表 2.增加节点（头插法、尾插法） 3.删除节点 4.遍历链表定义一个结构体，存放data域和指针域： typedef struct Node {//定义一个结构体&…...

编程日记 2023/10/7 7:24:24

矩阵距离——多源BFS

给定一个 N 行 M 列的 01 矩阵 A，A[i][j] 与 A[k][l] 之间的曼哈顿距离定义为： dist(A[i][j],A[k][l])|i−k||j−l| 输出一个 N 行 M 列的整数矩阵 B，其中：B[i][j]min1≤x≤N,1≤y≤M,A[x][y]1dist(A[i][j],A[x][y]) 输入格式第…...

编程日记 2023/10/7 7:22:23

关于在 Notion 中使用 Markdown 语法

关于在 Notion 中使用 Markdown 语法习惯使用的 Markdown 的伙伴们应该知道，当需要加粗字体时，会首先输入 ** **，然后在里面填内容。但是在 Notion 中，这个就不太行了。它所定义的规则是从前往后，也就是先键入**&…...

编程日记 2023/10/7 7:20:21

sigmoid和softmax函数有什么区别

Sigmoid函数和Softmax函数都是常用的激活函数，但它们的主要区别在于应用场景和输出结果的性质。 Sigmoid函数（也称为 Logistic函数）： Sigmoid函数将输入值映射到0到1之间的连续实数范围，通常用于二元分类问题。 Si…...

编程日记 2023/10/7 7:15:16

第五章：最新版零基础学习 PYTHON 教程—Python 字符串操作指南（第七节 - Python 中使用 % 进行字符串格式化）

在Python中，可以通过不同的方法来实现对字符串所需的格式化。他们之中有一些是; 1) 使用 % 2) 使用 {} 3)使用模板字符串本文讨论使用 % 进行格式化。使用 % 的格式类似于 C 编程语言中的“printf”。%d – 整数 %f – 浮点数 %s – 字符串 %x – 十六进制 %o – 八进制下面的…...

编程日记 2023/10/7 7:09:10

【网络安全 --- 工具安装】VMware 16.0 详细安装过程（提供资源）

一，VMware下载地址： 百度网盘链接链接：百度网盘请输入提取码百度网盘为您提供文件的网络备份、同步和分享服务。空间大、速度快、安全稳固，支持教育网加速，支持手机端。注册使用百度网盘即可享受免费存储空间https:/…...

编程日记 2023/10/7 7:08:09

Eclipse MAT解析headp dump，total size小于file size

1. 问题描述使用Eclipse MAT分析20GB的heap dump文件最后解析出来dump size只有1GB 2. 原因：heap dump中包含许多unreachable objects Eclipse MAT的官方文档，《Basic Tutorial》章节，有对上图的Overview page做介绍针对total size小…...

编程日记 2023/10/7 7:07:08

【数据挖掘】2022年 Quiz 1-3 整理带答案

目录 Quiz 1Quiz 2Quiz 3Quiz 1 Problem 1 (50%). Consider the set of training data shown below. Here, A, B, C C C are attributes, and D D...

编程日记 2023/10/7 7:04:05

AcWing 288. 休息时间，《算法竞赛进阶指南》，环形与后效性处理

288. 休息时间 - AcWing题库在某个星球上，一天由 N 个小时构成，我们称 0 点到 1 点为第 1 个小时、1 点到 2 点为第 2 个小时，以此类推。在第 i 个小时睡觉能够恢复 Ui 点体力。在这个星球上住着一头牛，它每天要休息 B 个小…...

编程日记 2023/10/7 7:02:02

一文掌握Linux系统信息查看命令（CPU、内存、进程、网口、磁盘、硬件）

引言大家好，欢迎来到我的技术博客！如果你是一名Linux系统管理员、开发者或者热衷于学习Linux系统的用户，那么你一定需要掌握查看系统信息的命令。在这篇博客中，我将为你介绍一些常用的Linux命令，帮助你快速了解和监控…...

编程日记 2023/10/7 7:00:00

UE5.1编辑器拓展【三、脚本化资产行为，删除无引用资产】

目录需要考虑的问题重定向的修复函数代码： 删除无引用资产代码需要添加的头文件和模块在我们删除资产的时候，会发现，有些资产在删除的时候会出现有被什么什么引用，还有的是没有被引用。而我们如果直接选择一片去进行…...

编程日记 2023/10/7 6:55:55

防抖和节流的实现

防抖和节流的实现什么是防抖和节流实现防抖和节流防抖节流防抖和节流的应用场景什么是防抖和节流防抖和节流是前端开发中常用的两种性能优化技术。为什么需要防抖和节流呢？ 两者目的都是为了防止某个时间段内操作频繁触发，造成性能消耗。防抖&…...

编程日记 2023/10/7 6:54:54

alsa pcm接口之阻塞和非阻塞打开和异步通知模式

阻塞和非阻塞打开(Blocked and non-blocked open) 当设备打开在一个阻塞或非阻塞模式,ALSA pcm api接口使用不同的行为，模式可以指定通过mode参数通过snd_pcm_open函数,blocked mode阻塞模式是默认打开方式,在这个模式下,行为表现为当资源被其他应用程序使用,应该阻…...

编程日记 2023/10/7 6:52:52

Python Random模块详解

Random模块详解随机数 random模块 randint(a, b) 返回[a, b]之间的整数randrange ([start,] stop [,step]) 从指定范围内，按指定基数递增的集合中获取一个随机数，基数缺省值为1。random.randrange(1,7,2)choice(seq) 从非空序列的元素中随机挑选一个…...

编程日记 2023/10/7 6:51:51

Vue3 模糊搜索筛选

Vue3 模糊搜索筛选环境： vue3 tselement plus 目标： 输入框输入内容，对展示的列表进行模糊搜索筛选匹配的内容。代码如下： <div style"margin-top: 50px"><el-input v-model"valueInput" size&…...

编程日记 2023/10/7 6:50:50

【MVC】C# MVC基础知识点、原理以及容器和管道

给自己一个目标，然后坚持一段时间，总会有收获和感悟！ 国庆假期马上结束，闲暇时间，重温一遍C#关于MVC的技术，控制器、视图、模型，知识点和原理，小伙伴们还记得吗目录一、MVC知识点1…...

编程日记 2023/10/7 6:48:48

目录 1 监控解决方案2 prometheus2.1 容器监控2.2 节点监控2.3 资源对象监控2.4 metrics--server 3 prometheus-operator vs kube-prometheus vs helm3.1 prometheus-operator3.2 kube-prometheus3.3 helm 参考文档 1 监控解决方案从实现方案来说，监控分为3个部分…...

编程日记 2023/10/7 6:45:46

Gmail 将停止支持基本 HTML 视图

根据 Google 支持文档的更新内容，Gmail 将从明年 1 月起停止支持基本 HTML 视图。 ▲ Gmai 基本 HTML 视图界面目前网页版 Gmail 提供两个界面：基本 HTML 视图和标准视图。停止支持基本 HTML 视图后，当前打开经典模式的基本 HTML 视图模式 …...

编程日记 2023/10/7 6:43:44

电影大师杂记

假期集中刷了好多书，游戏和电影，在虚拟世界里猛烈的各种闲逛，cyberpunk 2077到blade runner，到异形，到终结者，到星球大战&环太平洋，到工业光魔，还有各种编程的书。。。 hmmm&…...

编程日记 2023/10/7 6:37:39

聊聊分布式架构——RPC通信原理

目录 RPC通信的基本原理 RPC结构手撸简陋版RPC 知识点梳理 1.Socket套接字通信机制 2.通信过程的序列化与反序列化 3.动态代理 4.反射思维流程梳理码起来服务端时序图服务端—Api与Provider模块客户端时序图 RPC通信的基本原理 RPC（Remote Proc…...

编程日记 2023/10/7 6:35:37

Android：实现手机前后摄像头预览同开

效果展示一.概述本博文讲解如何实现手机前后两颗摄像头同时预览并显示我之前博文《OpenGLES：GLSurfaceView实现Android Camera预览》对单颗摄像头预览做过详细讲解，而前后双摄实现原理其实也并不复杂，粗糙点说就是把单摄像头预览流程写两…...

编程日记 2023/10/7 6:33:35

2.2.4 yocto poky openembedded bitbake关系

一基本概念 The Yocto Project is an open-source project that delivers a set of tools that create operating system images for embedded Linux systems. Poky is the reference operating system distribution built with Yocto Project tools, and OpenEmbedded is a …...

编程日记 2023/10/7 6:31:33

目录

PHP反序列化

序列化

反序列化

原理

涉及技术

利用

危害

CTF靶场

相关文章：