反序列化漏洞

Java PHP反序列化总结

文章目录

  • 一 . PHP 反序列化
    • 1.序列化serialize()
    • 2.反序列化unserialize()
  • 二.反序列化漏洞
    • 1.漏洞利用
      • Magic function
    • 2.漏洞利用思路
  • 三._construct()的利用
    • 2.利用普通成员类方法
  • 四.PHP反序列化漏洞总结
    • 1.CVE-2016-7124

一 . PHP 反序列化

1.序列化serialize()

首先我们创建了一个对象,通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。


class chybeta{
   
	var $test = '123';
}
$class1 = new chybeta;
$class1_ser = serialize($class1);
print_r($class1_ser);
?>

运行之后,查看序列化结果

O:7:"chybeta":1:{s:4:"test";s:3:"123";}
这里的O代表存储的是对象(object),如果我们给serialize()传入的是一个数组,那它会变成字母a。
7表示对象的名称有7个字符。
"chybeta"表示对象的名称。
1表示有一个值。
{s:4:"test";s:3:"123";}中
s表示字符串,4表示该字符串的长度
"test"为字符串的名称,之后的类似

2.反序列化unserialize()

与 serialize() 对应的,unserialize()可以从已存储的表示中创建PHP的值,可以从序列化后的结果中恢复对象(object)。



class DemoClass
{
   
    public $name = "Zhangsan";
    public $sex = "man";
    public $age = "27";
}

$zhangsan = new DemoClass();
$zhangsan -> name = "Lisi";
$zhangsan -> sex = "Woman";
$zhangsan -> age = 18;

$Lisi = 'O:9:"DemoClass":3:{s:4:"name":s:4:"Lisi";s:3:"sex":s:5:"Woman";s:3:"age":i:18;}';
var_dump(unserialize($Lisi));
?>

反序列化结果如下:

object(DemoClass)#2 (3) { ["name"]=> string(4) "Lisi" ["sex"]=> string(5) "Woman" ["age"]=> int(18) } 

特别注意的是,当使用 unserialize() 恢复对象时, 将调用 __wakeup() 成员函数。

二.反序列化漏洞

通过上面的例子我们可以看出,当传给 unserialize() 的参数可控时,我们可以通过传入一个精心构造的序列化字符串,从而控制对象内部的变量甚至是函数。

1.漏洞利用

Mag

你可能感兴趣的:(web安全相关,php,安全,web安全)