PHP brève analyse des points de connaissance de la structure de désérialisation

Cet article vous présente principalement les connaissances pertinentes sur PHP La sérialisation consiste en fait à convertir des données en une structure de données réversible. Naturellement, le processus inverse est appelé désérialisation. PHP utilise deux fonctions pour sérialiser et désérialiser les données : sérialiser formate l'objet en une chaîne ordonnée et désérialiser restaure la chaîne dans l'objet d'origine. J'espère que cela sera utile à tout le monde.

(Tutoriel recommandé : Tutoriel vidéo PHP)

Introduction

Le but de la sérialisation est de faciliter la transmission et le stockage des données En PHP, la sérialisation et la désérialisation sont généralement utilisées pour la mise en cache, comme la mise en cache de session. , cookies, etc.

Méthodes magiques courantes en désérialisation

• __wakeup() //Lors de l'exécution de unserialize(), cette fonction sera appelée en premier

• __sleep() //Lorsque Serialize() est exécutée, cette fonction sera appelée en premier

• __destruct() //Déclenché lorsque l'objet est détruit

• __call() //Déclenché lorsqu'une méthode inaccessible est appelée dans le contexte de l'objet

• __callStatic() //Inaccessible lorsqu'il est appelé dans le statique contexte Déclenché lorsque la méthode

• __get() //Cette méthode sera appelée lors de la lecture de données provenant de propriétés inaccessibles ou si la clé n'existe pas

• __set() //Utilisé pour écrire des données dans des propriétés inaccessibles Propriétés

• __isset() //Déclenché lorsque isset() ou empty() est appelé sur une propriété inaccessible

• __isset() //Déclenché lorsque unset() est utilisé sur une propriété inaccessible

• __toString() / /Déclenché lors de l'utilisation de la classe comme chaîne

• __invoke() //Déclenché lors de la tentative d'appel de l'objet en tant que fonction

La désérialisation contourne le petit truc

php7.1+ La sérialisation n'est pas sensible aux attributs de classe

Nous avons dit plus tôt que si la variable est protégée, le résultat de la sérialisation sera précédé de x00*x00x00*x00

但在特定版本7.1以上则对于类属性不敏感，比如下面的例子即使没有x00*x00也依然会输出abc

<?php
class test{
    protected $a;
    public function __construct(){
        $this->a = &#39;abc&#39;;
    }
    public function  __destruct(){
        echo $this->a;
    }
}
unserialize(&#39;O:4:"test":1:{s:1:"a";s:3:"abc";}&#39;);

绕过_wakeup(CVE-2016-7124)

版本：

PHP5 < 5.6.25

PHP7 < 7.0.10

利用方式：序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

对于下面这样一个自定义类

<?php
class test{
    public $a;
    public function __construct(){
        $this->a = &#39;abc&#39;;
    }
    public function __wakeup(){
        $this->a=&#39;666&#39;;
    }
    public function  __destruct(){
        echo $this->a;
    }
}

如果执行unserialize('O:4:"test":1:{s:1:"a";s:3:"abc";}');输出结果为666

而把对象属性个数的值增大执行unserialize('O:4:"test":2:{s:1:"a";s:3:"abc";}');输出结果为abc

绕过部分正则

preg_match('/^O:d+/')匹配序列化字符串是否是对象字符串开头,这在曾经的CTF中也出过类似的考点

利用加号绕过（注意在url里传参时+要编码为%2B）

serialize(array(a ) ) ; / / a));//a));//a为要反序列化的对象(序列化结果开头是a，不影响作为数组元素的$a的析构)

<?php
class test{
    public $a;
    public function __construct(){
        $this->a = &#39;abc&#39;;
    }
    public function  __destruct(){
        echo $this->a.PHP_EOL;
    }
}
function match($data){
    if (preg_match(&#39;/^O:\d+/&#39;,$data)){
        die(&#39;you lose!&#39;);
    }else{
        return $data;
    }
}
$a = &#39;O:4:"test":1:{s:1:"a";s:3:"abc";}&#39;;
// +号绕过
$b = str_replace(&#39;O:4&#39;,&#39;O:+4&#39;, $a);
unserialize(match($b));
// serialize(array($a));
unserialize(&#39;a:1:{i:0;O:4:"test":1:{s:1:"a";s:3:"abc";}}&#39;);

利用引用

<?php
class test{
    public $a;
    public $b;
    public function __construct(){
        $this->a = &#39;abc&#39;;
        $this->b= &$this->a;
    }
    public function  __destruct(){

        if($this->a===$this->b){
            echo 666;
        }
    }
}
$a = serialize(new test());

上面这个例子将$b设置为$a的引用，可以使$a永远与$b

mais dans les versions spécifiques 7.1 et supérieures, pour les attributs de classe Insensible, par exemple, l'exemple suivant affichera toujours abc même s'il n'y a pas de x00*x00

rrreee

Bypass_wakeup (CVE-2016-7124)

Version :

PHP5 <

PHP7 < 7.0.10

Comment utiliser : Lorsque la valeur représentant le nombre d'attributs d'objet dans la chaîne sérialisée est supérieure au nombre réel d'attributs, l'exécution de __wakeup sera ignorée

Pour ce qui suit Une telle coutume classrrreeeSi vous exécutez unserialize('O:4:"test":1:{s:1:"a";s:3:"abc";}');La sortie le résultat est 666

🎜 et la valeur du nombre d'attributs d'objet est augmentée et exécutée unserialize('O:4:"test":2:{s:1:"a"; s:3:"abc";}');Le résultat de sortie est abc🎜🎜Contournement de certaines règles régulières🎜🎜preg_match('/^O:d+/') Correspond à si la chaîne sérialisée commence par une chaîne d'objet. Il s'agit d'un point de test similaire dans les CTF précédents🎜🎜Utilisez le signe plus pour contourner (notez que + doit être codé en %2B lors de la transmission des paramètres dans l'URL) 🎜 🎜<code>serialize(array(a ) ) ; / / a));//a));//a est l'objet à désérialiser (le résultat de la sérialisation commence par a, ce qui n'affecte pas l'utilisation comme tableau) Destruction de l'élément $a)🎜rrreee🎜Utiliser la référence🎜rrreee🎜L'exemple ci-dessus définit $b sur une référence de $a, ce qui peut faire $a est toujours égal à $b🎜🎜L'hexadécimal contourne le filtrage des caractères🎜🎜O:4:"test":2:{s:4:"%00*% 00a" ;s:3:"abc";s:7:"%00test%00b";s:3:"def";}🎜🎜peut être écrit comme🎜🎜O:4:"test":2:{ S:4 : "

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!