php serialize

简介:php 反序列化漏洞,又名php对象注入漏洞

php序列化与反序列化

serialize函数和unserialize函数

serialize()

该函数能将php已创建对象转变成字符串,使得该对象可以进行传递与使用

比如

1
O:7:"chybeta":1:{s:4:"test";s:3:"123";}

这里的O代表存储的是对象(object),假如你给serialize()传入的是一个数组,那它会变成字母a。7表示对象的名称有7个字符。”chybeta”表示对象的名称。1表示有一个值。{s:4:”test”;s:3:”123”;}中,s表示字符串,4表示该字符串的长度,”test”为字符串的名称,之后的类似。

unserialize()

从序列化的结果中恢复对象,并调用_wakeup()成员函数

反序列化漏洞

反序列化数据本身没有危害,但我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量或者函数

Magic function

php有一类特殊的方法,被称之为魔术方法

  • _construct():在new的时候会自动调用
  • _destruct(): 在对象被销毁时自动调用
  • _wakeup(): unserialize()时自动调用
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
class chybeta{
	var $test = '123';
	function __wakeup(){
		$fp = fopen("shell.php","w") ;
		fwrite($fp,$this->test);
		fclose($fp);
	}
}
$class3 = $_GET['test'];
print_r($class3);
echo "</br>";
$class3_unser = unserialize($class3);
require "shell.php";
// 为显示效果,把这个shell.php包含进来
?>

由上述可知,unserialize()时会自动调用_wakeup()方法,在_wakeup()方法中,会打开shell.php,并往其中写入test变量的值,因此我们构造一个对象,将chybeta的test值修改为”<?php phpinfo(); ?>”,即可实现将shell.php的内容全部打印出来的功能。

绕过_wakeup()

有些时候类内部_destruct()存在漏洞,但_wakeup()会修改我们修改的变量,有点绕,总而言之我们必须绕过_wakeup()函数。

绕过方法:当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

话是空的,人是活的;<br>不是人照着话做,是话跟着人变。