攻防世界Web篇——unserialize3
作者:互联网
知识点:
序列化与反序列化
维基百科: 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。
简单的说,序列化是将变量转换为可保存或可传输的字符串的过程。而反序列化是在适当的时候吧这个字符串再转化成原来的变量使用。
php的序列化和反序列化
php的序列化和反序列化由serialize()和unserialize()这两个函数来完成
serialize()完成序列化的操作,将传入的值转换为序列化后的字符串
而unserialize()完成反序列化的操作,将字符串转换成原来的变量
serialize()函数将一个对象转换成字符串时,其返回的字符串有一定规则:
比如:O:4:"xctf":1:{s:4:"flag";s:3:"111";} 表示序列化的是一个对象,对象所在类名是"xctf"、类名的长度为4,该对象有一个属性,属性名为一个长度为4的字符串"flag"、该属性值为一个长度为3的字符串"111"
注意:
① 当属性为private属性时,它会在两侧加入空字节,导致其长度会增加2
② 序列化对象时只会序列化对象中的属性值,不会序列化其中的函数
魔术方法
PHP中以两个下划线开头的方法,__construct(), __destruct (), __call(), __callStatic(),__get(), __set(), __isset(), __unset (), __sleep(), __wakeup(), __toString(), __set_state,() __clone() __autoload()等,被称为"魔术方法"(Magic methods)。这些方法在一定条件下有特殊的功能
与序列化和反序列化的魔术方法主要是:
1 __construct() //当一个对象创建时被调用 2 __destruct() //对象被销毁时触发 3 __wakeup() //使用unserialize时触发 4 __sleep() //使用serialize时触发 5 __toString() //把类当做字符串时触发 6 __get() //用于从不可访问的属性读取数据 7 __set() //用于将数据写入不可访问的属性
PHP反序列化漏洞
php反序列化漏洞又称对象注入,可能会导致注入,远程代码执行等安全问题的发生
php反序列化漏洞如何产生:
如果一个php代码中使用了unserialize函数去调用某一类,该类中会自动执行一些自定义的魔法方法,这些魔法方法中如果包含了某一些危险的操作,或者这些魔法方法回去调用类中带有危险操作的函数,如果这些危险操作时我们可控的,那么就可以进行一些不可描述的操作了
打开靶机,发现一段代码,__wakeup()会直接退出然后返回bad request,下面?code=提示我们可以用url绕过__wakeup()
查资料知:当序列化字符串当中属性个数值大于实际的属性个数时,就会导致反序列化异常,从而跳过__wakeup函数
这里我们写一段php代码,先将原来代码序列化
1 <?php
2
3 class xctf
4 {
5 public $flag = '111';
6 public function __wakeup(){
7 exit('bad requests');
8 }
9 }
10 $a = new xctf();
11 $b = serialize($a);
12 echo $b;
13 ?>
得到
O:4:"xctf":1:{s:4:"flag";s:3:"111";}
将1改成大于一个任意数字
得到flag
以上wp参考于:https://blog.csdn.net/silence1_/article/details/89716976
标签:__,Web,php,攻防,unserialize3,字符串,wakeup,序列化,属性 来源: https://www.cnblogs.com/akihi3174485976/p/15181800.html