PHP序列化與反序列化(三)總結實戰

2022-04-29 15:24:09 字數 3417 閱讀 9630

序列化與反序列化是物件導向語言特有的表示形式

將變數轉換為可儲存或傳輸的字串的過程

把字串轉化為原來的變數

php序列化、反序列化方法主要有四種

這兩個是序列化和反序列化php中資料的常用函式

例1:

<?php 

$s='student';

$s_serialize=serialize($s);

echo $s_serialize;

echo "\n";

$s_unserialize=unserialize($s_serialize);

echo $s_unserialize;

?>

//輸出結果:

s:7:"student";

student

序列化對於不同型別得到的字串格式為:

string  -> s:size:value;

integer -> i:value;

boolean -> b:value;(儲存1或0)

null -> n;

array -> a:size:

object -> o:strlen(object name):object name:object size:

例2:

如果物件的類中定義了__sleep或__wakeup方法,則會在序列化時呼叫__sleep,反序列化時呼叫__wakeup

<?php 

class a

function __sleep()

function __wakeup()

function __tostring()\n";

}}$a=new a();

echo $a;

$str=serialize($a);

echo "$str\n";

$b=unserialize($str);

echo $b;

?>

//輸出結果:

此外,序列化物件的時候,只會儲存屬性值,不會儲存常量的值。對於父類中的變數,則會保留。

例:

<?php 

//序列化陣列

$s=json_encode($a);

echo $s;

//反序列化

$o=json_decode($s);

?>

var_export函式把變數作為乙個字串輸出;eval把字串當成php**執行,反序列化得內容

例:

<?php 

//序列化陣列

$s = var_export($a , true);

echo $s;

echo '

';//反序列化

eval('$my_var=' . $s . ';');

print_r($my_var);

?>

wddx_serialize_value函式可以序列化陣列變數,並以xml字串形式輸出

例:

<?php 

//序列化陣列

$s = wddx_serialize_value($a);

echo $s;

banana

coconut

echo '

';//反序列化

$o = wddx_deserialize($s);

print_r($o);

?>

__construct建構函式和__destruct析構函式的魔術方法是預設執行的,乙個初始化物件,乙個在物件生命週期結束時自動執行析構

要點:  1.preg_match(』/[oc]:\d+:/i』, $var)的繞過

2.unserialize時__wakeup的繞過

1.正則匹配在物件長度之前新增乙個'+'號可以繞過

2.__wakeup繞過(cve漏洞):成員屬性數目大於實際數目時可繞過wakeup方法(cve-2016-7124)

根據提示我們需要訪問的file是fl4g.php,通過var在url傳參繞過__wakeup(不然只能訪問index.php)

還需要base64編碼,最後得到flag

如圖,提示不是admin,且檢視隱藏原始碼提醒有file_get_contents,file_get_contents() 函式把整個檔案讀入乙個字串中,這裡的字串是$user引數接受的,利用它的檔案封裝協議來讀取$file引數include的檔案。

既然如此,我們將指定字串作為檔案傳進去,然後再將user的內容讀出來

php偽協議繞過payload:

繞過成功返回hello admin!secret is in class.php

只繞過$user是遠遠不夠的,我們需要讀取class.php原始碼,使用php偽協議讀取原始碼

解碼:

順便讀取index1.php原始碼:

注意到flag應該就在f1a9.php裡,這裡我們無法直接讀取f1a9.php,因為有正則匹配,匹配到f1a9就直接執行exit()函式。

檢視class.php,得出結論:當read方法當做字串執行時,會自動執行 __tostring 方法,方法中寫了如果file檔案存在,那麼就輸出file檔案中的內容。所以我們要構造乙個read型別的引數,並把這個引數讓pass傳進去,且這個file的值要是class.php。這裡接著用序列化裡面插入php偽協議繞過,或者直接序列化f1a9也是可行的。

最後得到flag

我在伺服器上搭建了題目環境:www.youkilearning.top:8099/index1.php

php序列化與反序列化

php的序列化 反序列化對與一些大檔案的壓縮操作,讀寫操作十分有用。乙個簡單的序列化案例 同時用到了序列化與反序列化函式,二者在被呼叫時會分別自己呼叫對應的函式,sleep 以及 wakeup.sleep和 wakeup練習題 故事 乙個果農生產了很多水果種類,於是需要把乙個買家指定的種類寄給他,生...

php 序列化與反序列化

序列化 反序列化序列化 例一class user number 66 str jerry bool true null null arr array a 1,b 2 user new user tom true var dump serialize number var dump serialize...

php序列化與反序列化

jarvisoj上的一道題 是關於php序列化以及反序列化引起的問題,我看 wp大神的wp 題目給直接給出了源 這句話是關鍵,漏洞產生在php serialize和php解析方式上。如果我們通過php serialize的方式構造序列化語句,然後通過php的方式解析序列化語句,就會出現問題。原因是在...