這篇文章主要介紹“PHP反序列化的原理”����,在日常操作中��,相信很多人在PHP反序列化的原理問題上存在疑惑���,小編查閱了各式資料����,整理出簡單好用的操作方法�����,希望對大家解答”PHP反序列化的原理”的疑惑有所幫助�����!接下來�����,請跟著小編一起來學習吧����!
這篇文章主要介紹“PHP反序列化的原理”,在日常操作中���,相信很多人在PHP反序列化的原理問題上存在疑惑��,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”PHP反序列化的原理”的疑惑有所幫助����!接下來���,請跟著小編一起來學習吧!
我們提供的服務有:網(wǎng)站建設����、成都網(wǎng)站建設、微信公眾號開發(fā)����、網(wǎng)站優(yōu)化、網(wǎng)站認證���、洪雅ssl等�����。為成百上千企事業(yè)單位解決了網(wǎng)站和推廣的問題�。提供周到的售前咨詢和貼心的售后服務,是有科學管理�、有技術的洪雅網(wǎng)站制作公司
首先看一張圖
PHP反序列化 原理:未對用戶輸入的序列化字符串進行檢測,導致攻擊者可以控制反序列化過程��,從而導致代碼執(zhí)行�����,SQL注入��,目錄遍歷等不可控后果��。在反序列化的過程中自動觸發(fā)了某些魔術方法��。當進行反序列化的時候就有可能會觸發(fā)對象中的一些魔術方法���。
serialize() //將一個對象轉(zhuǎn)換成一個字符串
unserialize() //將字符串還原成一個對象
反序列化分為有類和無類
我們先來看序列化數(shù)據(jù)也就是序列化字符串
先上圖
我們看看上面那張圖
s:8:"chixigua"s
s代表字符串,8代表長度“chixigua”代表值
在無類中他調(diào)用了unserialize()將字符串還原為對象沒有進行過濾我們可以觀察其代碼而構造payload進行sql注入����,代碼執(zhí)行,getshell���,目錄遍歷等等���,主要看他的代碼���,他的代碼有sql語句接收序列化字符串這樣會產(chǎn)生反序列化sql注入其他漏洞也是如此,主要看代碼來辨別危害
反序列化也是我們面試的必考題���,所以還是很重要的
在思維導圖我們提到有類在有類的情況我們會設計到各種魔術方法
我們首先來介紹一下各種魔術方法
__construct()
具有構造函數(shù)的類會在每次創(chuàng)建新對象時先調(diào)用此方法��,所以非常適合在使用對象之前做一些初始化工作��。
__destruct()
析構函數(shù)會在到某個對象的所有引用都被刪除或者當對象被顯式銷毀時執(zhí)行��。
也就是說進行反序列化時���,完成的就是從字符串創(chuàng)建新對象的過程,剛開始就會調(diào)用__construct(),而對象被銷毀時���,例如程序退出時��,就會調(diào)用__destruct()
觸發(fā):unserialize函數(shù)的變量可控��,文件中存在可利用的類���,類中有魔術方法:
參考:官方文檔魔法方法部分
__construct()//創(chuàng)建對象時觸發(fā)
__destruct() //對象被銷毀時觸發(fā)
__call() //在對象上下文中調(diào)用不可訪問的方法時觸發(fā)
__callStatic() //在靜態(tài)上下文中調(diào)用不可訪問的方法時觸發(fā)
__get() //用于從不可訪問的屬性讀取數(shù)據(jù)
__set() //用于將數(shù)據(jù)寫入不可訪問的屬性
__isset() //在不可訪問的屬性上調(diào)用isset()或empty()觸發(fā)
__unset() //在不可訪問的屬性上使用unset()時觸發(fā)
__invoke() //當腳本嘗試將對象調(diào)用為函數(shù)時觸發(fā)
接下來我們先看一段魔術方法php代碼
首先先分析一下代碼創(chuàng)建了一個類
里面寫了3個魔術方法
我們看結果首先輸出了‘調(diào)用了構造函數(shù)’,為什么在魔術方法里的這串代碼執(zhí)行了呢?這是因為觸發(fā)了他的魔術方法��,因為我們將一個類進行了實體化����,也就是新建了一個對象,觸發(fā)了__construct()方法里的代碼���,接下來又輸出了‘調(diào)用了蘇醒函數(shù)’在反序列話函數(shù)執(zhí)行的時候會先檢測__wakeup()方法有該方法這會先執(zhí)行這個方法里的代碼
詳細參考這張圖
可以玩玩去年網(wǎng)鼎的青龍杯里的反序列化題我把解題思路寫下來
網(wǎng)鼎杯青龍組php反序列化題
首先ctf命名及代碼函數(shù)unserialize判斷反序列化知識點第一:獲取flag存儲flag.php第二:兩個魔術方法__destruct __construct第三:傳輸str參數(shù)數(shù)據(jù)后觸發(fā)destruct,存在is_valid過濾第四:__destruct中會調(diào)用process,其中op=1寫入及op=2讀取第五:涉及對象FileHandler����,變量op及filename,content,進行構造輸出
**
涉及:反序列化魔術方法調(diào)用�����,弱類型繞過����,ascii繞過使用該類對flag進行讀取,這里面能利用的只有__destruct函數(shù)(析構函數(shù))�。__destruct函數(shù)對$this->op進行了===判斷并內(nèi)容在2字符串時會賦值為1,process函數(shù)中使用==對$this->op進行判斷(為2的情況下才能讀取內(nèi)容)����,因此這里存在弱類型比較���,可以使用數(shù)字2或字符串' 2'繞過判斷。is_valid函數(shù)還對序列化字符串進行了校驗����,因為成員被protected修飾,因此序列化字符串中會出現(xiàn)ascii為0的字符����。經(jīng)過測試,在PHP7.2+的環(huán)境中����,使用public修飾成員并序列化,反序列化后成員也會被public覆蓋修飾���。?個人博客
分享文章:PHP反序列化的原理
鏈接分享:
http://weahome.cn/article/ichcgp.html
重慶分公司
重慶分公司
