unserialize的这个问题是由一个emlog论坛用户在使用时报错而发现的 问题表现情况如下: emlog缓存的保存方式是将php的数据对象(数组)序列化(serialize)后以文件的形式存放,

最新推荐文章于 2024-04-24 11:04:23 发布
原创 最新推荐文章于 2024-04-24 11:04:23 发布 · 925 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

探讨PHP序列化与反序列化过程中出现的字符串长度错误及解决方法,涉及编码问题与特殊字符处理。

unserialize的这个问题是由一个emlog论坛用户在使用时报错而发现的

问题表现情况如下:

emlog缓存的保存方式是将php的数据对象(数组)序列化(serialize)后以文件的形式存放,读取缓存的时候直接反序列化(unserialize)缓存字符串即可读取数据,关于序列化和反序列化的原理请看我先前的文章《php函数serialize()与unserialize()不完全研究》
 

我从用户那里取到的缓存的序列化数据为:

a:1:{s:8:"kl_album";a:4:{s:5:"title";s:12:"精彩瞬 间";s:3:"url";s:41:"http://www.kaisay.cn/?plugin=kl_album";s:8:"is_blank";s:7:"_parent";s:4:"hide";s:1:"n";}}

咋一看了解序列化的人都会说,这个数据很正常啊,没什么问题呢。可是直接把这段字符串进行unserialize,返回的值却是个False;

代码

var_dump(unserialize('a:1:{s:8:"kl_album";a:4:{s:5:"title";s:12:"精彩瞬间";s:3:"url";s:41:"http://www.kaisay.cn/?plugin=kl_album";s:8:"is_blank";s:7:"_parent";s:4:"hide";s:1:"n";}}'));
 

运行结果


 

问题出在哪里呢?答案是 s:41:"http://www.kaisay.cn/?plugin=kl_album"

序列化字符串中标定该字符串http://www.kaisay.cn/?plugin=kl_album的长度是41,可是我们自己数一下却只有37个字符。就是因为这个问题,导致php反序列化字符串失效。

如果将字符串长度改成37,那么程序就会顺利的反序列化

代码:

var_dump(unserialize('a:1:{s:8:"kl_album";a:4:{s:5:"title";s:12:"精彩瞬 间";s:3:"url";s:37:"http://www.kaisay.cn/?plugin=kl_album";s:8:"is_blank";s:7:"_parent";s:4:"hide";s:1:"n";}}'));


通过google后才发现,这个问题国外已经很多的网友遇到了,在官方手册unserialize函数页面的评论中就有很多网友在讨论和研究这个问题的解决方案。

这种情况发生的原因有多种可能,最大的可能就是在序列化数据的时候的编码和反序列化时的编码不一样导致字符串的长度出现偏差。例如数据库编码latin1和UTF-8字符长度是不一样的。

解决方案:

自己用php来纠正序列化字符串中字符串长度的问题,链接

<?php
$unserialized preg_replace('!s:(\d+):"(.*?)";!se'"'s:'.strlen('$2').':\"$2\";'"$unserialized );
?>

另外一个网友提出一个在非utf-8情况下的BUG链接

# ascii字符 "\0" 被解析成了 '\0' (\0在C中是字符串的结束符等于chr(0),错误解析后算了2个字符)

// 这么写会出问题
$error preg_replace('!s:(\d+):"(.*?)";!se'"'s:'.strlen('$2').':\"$2\";'"$unserialized );

// 这么写就没事
$works preg_replace('!s:(\d+):"(.*?)";!se''"s:".strlen("$2").":\"$2\";"'$unserialized );

// 根据上面的情况我写出的测试例子(注意代码必须用asc格式保存运行)


$test = 's:7:"hahaha'. chr(0) .'";';
echo preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $test );
echo '<br>';
echo preg_replace('!s:(\d+):"(.*?)";!se', '"s:".strlen("$2").":\"$2\";"', $test );
echo '<br>';
echo unserialize(preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $test ));
echo '<br>';
echo unserialize(preg_replace('!s:(\d+):"(.*?)";!se', '"s:".strlen("$2").":\"$2\";"', $test ));

下图是运行结果:很显然chr(0) 变成了 \0



还有一个情况就是单双引号也会出现长度计算错误的问题:链接

<?php
//--------------------------------------------
// 请看例子的值. 数据从来那里来都没有关系,无论是数据库还是代码中
$heightoptionslist = <<<HEIGHTEND
a:3:{s:37:"Hands/inches (eg. 13&#039; 2&quot;HH)";s:6:"option";s:25:"Inches only (eg.39&quot;)";s:6:"option";s:24:"Centimeters (eg. 153cms)";s:6:"option";}
HEIGHTEND;
//--------------------------------------------
// 将序列化的字符串转换回数组
$heightoptionslist unserialize($heightoptionslist);
//--------------------------------------------
// 打印值,我们可以很容易看懂
echo "<div><pre>\$heightoptionslist = [\n".print_r($heightoptionslisttrue)."\n]</pre></div>";
?>

当字符串中带有没有转换的引号的时候,就会出问题了:

<?php
//--------------------------------------------
// 另外一个例子,
// 这次有没有转换过的引号在里面
$heightoptionslist = <<<HEIGHTEND
a:3:{s:26:"Hands/inches (eg. 13\' 2\"HH)";s:6:"option";s:20:"Inches only (eg.39\")";s:6:"option";s:24:"Centimeters (eg. 153cms)";s:6:"option";}
HEIGHTEND;
//--------------------------------------------
// 将序列化的字符串转换回数组.
$heightoptionslist unserialize($heightoptionslist);
//--------------------------------------------
// 返回了一个空的结果.
echo "<div><pre>\$heightoptionslist = [\n".print_r($heightoptionslisttrue)."\n]</pre></div>";
?>

以上两端代码运行结果:


 


在字符串还有\r字符的时候计算字符串的长度的时候也会出现问题:链接

When dealing with a string which contain "\r", it seems that the length is not evaluated correctly. The following solves the problem for me :

<?php
// remove the \r caracters from the $unserialized string
$unserialized str_replace("\r","",$unserialized);

// and then unserialize()
unserialize($unserialized);
?>


总结:解决方案

UTF-8

function mb_unserialize($serial_str) {
    $serial_str= preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $serial_str );
    $serial_str= str_replace("\r", "", $serial_str);      
    return unserialize($serial_str);
}

ASC

function asc_unserialize($serial_str) {

    $serial_str preg_replace('!s:(\d+):"(.*?)";!se''"s:".strlen("$2").":\"$2\";"'$serial_str );
    $serial_str= str_replace("\r", "", $serial_str);      
    return unserialize($serial_str);
}

希望本文能给所有遇到该问题的朋友一点帮助

TP5常见使用问题处理:unserialize(): Error at offset
向技术大牛致敬
04-01 3935
常见问题处理unserialize(): Error at offset 0 of 4 bytes关闭Runtime/Log日志写入 unserialize(): Error at offset 0 of 4 bytes 查找了网上所有资料 thinkphp框架内部File文件机制错误导致 参考别人发表的内容: https://stackoverflow.com/questions/10152904/how-to-repair-a-serialized-string-which-has-been-corru
长度问题php函数unserialize数据返回false问题分析
CrazyStarbnu的专栏
06-24 1464
unserialize的这个问题是由一个emlog论坛用户使用报错发现问题表现情况如下:emlog缓存保存方式是将php数据对象数组序列化serialize)后以文件形式存放,读取缓存候直接反序列化unserialize缓存字符串即可读取数据,关于序列化和反序列化的原理请看我先前的文章《php函数serialize()unserialize()不完全研究》
php unserialize 返回false
凌晨四点的_LA
11-02 244
出现这种问题的原因: 1、序列化数据的编码与反序列化的编码不一致导致,例如数据库是latin1和UTF-8字符长度不一样。 2、单双引号,ascii字符"\0"被解析为 '\0',\0在C中是字符串的结束符等于chr(0),错误解析后算了2个字符。\r在计算长度也会出问题。 /** * utf8 反序列化 * @param $serial_str * @return mixed */ function mb_unserialize($serial_str) { $serial
phpunserialize返回false的解决方法
12-18
本文实例讲述了phpunserialize返回false的解决方法,分享给大家供大家参考。具体方法如下: php 提供serialize(序列化)unserialize(序列化)方法。 使用serialize序列化后,再使用unserialize序列化就可以获取原来的数据。 先来看看如下程序实例: <?php $arr = array( 'name' => 'fdipzone', 'gender' => 'male' ); $str = serialize($arr); //序列化 echo 'serialize str:'.$str."\r\n\r\n"; $cont
php中的return false,phpunserialize返回false的解决方法
weixin_29528865的博客
03-09 273
本文实例讲述了phpunserialize返回false的解决方法,分享给大家供大家参考。具体方法如下:php 提供serialize(序列化)unserialize(序列化)方法。使用serialize序列化后,再使用unserialize序列化就可以获取原来的数据。先来看看如下程序实例:$arr = array('name' => 'fdipzone','gender' =&g...
php unserialize bool(false),phpunserialize返回false的解决方法
weixin_42128270的博客
03-28 277
phpunserialize返回false的解决方法发布于 2014-09-30 06:00:01 | 99 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP...
【春秋云镜】CVE-2023-43291 反序列化字符串逃逸+sql注入
RisingFan的博客
04-24 1377
emlog是一款轻量级博客及CMS建站系统,在emlog pro v.2.1.15及更早版本中的不受信任数据反序列化允许远程攻击者通过cache.php组件执行SQL语句。如果你是奔着找flag的思路,可以参考我下面的投机取巧,不过不建议这样干,这样其实对你学习这个漏洞,代码审计还是不太好,不建议这么干。先访问/admin看看,尝试了一波弱口令admin/admin123,成功登录。说实话已经写的很详细了,可参考复现,过程很清晰,还带着分析,很人性了。先搜了搜有关漏洞的细节,具体可参考。
php unserialize bool(false),直击phpunserialize返回false的解决方法_后端开发
weixin_42297349的博客
03-28 230
本文实例报告了phpunserialize返回false的解决要领,分享给人人供人人参考。具体要领以下:php 供应serialize(序列化)unserialize(序列化)要领。运用serialize序列化后,再运用unserialize序列化就可以够猎取本来的数据。先来看看以下程序实例:$arr = array('name' => 'fdipzone','gender' =...
php unserialize 返回false的解决方法
Tong_Zai_Yuan_Fang的博客
05-09 461
php unserialize 返回false的解决方法 php 提供serialize(序列化)unserialize(序列化)方法。 使用serialize序列化后,再使用unserialize序列化就可以获取原来的数据。 <?php $arr = array( 'name' => 'fdipzone', 'gender' => 'male' ); ...
unserialize返回false的原因解析
莫冲的专栏
01-26 310
今天define了一个序列化数组使用需要unserialize回来使用。但是返回的是false。 首先上网查了下,可能是由于define的php文件是anci编码,而unserialize文件是utf-8编码。 于是我将define文件编码更改成utf-8后保存。但是保存后每次重新打开后又变成anci编码。 怎么办呢?于是,我写了行中文的注释在define的php文件中。再保存就能...
php unserialize bool(false),php unserialize 返回false的解决方法
weixin_36200896的博客
03-28 195
php unserialize 返回false的解决方法php 提供serialize(序列化)unserialize(序列化)方法。使用serialize序列化后,再使用unserialize序列化就可以获取原来的数据。$arr=array('name'=>'fdipzone','gender'=>'male');$str=serialize($arr);//序列化echo...
PHPunserialize返回false
http://faveting.com/
07-15 158
问题描述:如下是我序列化数组之后的数据,但是取出来之后,反序列化不了。 $a = 'a:2:{i:1;a:5:{s:8:"pic_sort";i:2;s:9:"pic_check";b:1;s:10:"pic_select";i:56;s:8:"pic_path";s:1:"ergregerg";s:8:"pic_link";s:2:"wesaddasd";}i
phpunserialize 返回false的解决方法
weixin_30572613的博客
07-12 535
serialize 序列化 unserialize序列化 $content = 'a:5:{s:4:"img1";s:5:"35568";s:4:"img2";s:5:"35569";s:4:"img3";s:5:"35570";s:4:"img4";s:5:"35571";s:4:"img5";s:13:"要和商品";}';$content2 = unserialize($content...
Phpunserialize()函数返回的是bool(false)
web开发
11-01 457
这种情况发生的原因有多种可能,最大的可能就是在序列化数据的候的编码和反序列化的编码不一样导致字符串的长度出现偏差。例如数据库编码latin1和UTF-8字符长度是不一样的。 解决方案: 自己从网上找的小函数来纠正序列化字符串中字符串长度的问题 Utf-8 functionmb_unserialize($serial_str){ $serial_str=preg_replace('!s...
php unserialize bool(false),phpunserialize返回false的解决方法_PHP教程
weixin_36282704的博客
03-28 154
phpunserialize返回false的解决方法php 提供serialize(序列化)unserialize(序列化)方法。使用serialize序列化后,再使用unserialize序列化就可以获取原来的数据。先来看看如下程序实例:12345678910111213$arr = array('name' => 'fdipzone','gender' => 'male...
php unserialize false,PHP: unserialize - Manual
weixin_36390615的博客
03-10 96
When you serialize an object of a class from a particular namespace, the namespace is recorded as part of the serialization. If you decide to change this namespace's name, it can be hard to read in ol...
不是,我的意思是为什么访问class.php,而不是一开始的没有这个后缀的网站
最新发布
10-05
<think>我们之前讨论的是在渗透测试中使用Burp Suite进行phar反序列化漏洞检测,用户现在的问题是关于为什么在步骤中访问的是class.php而不是没有后缀的网站首页。 用户可能误解了测试流程,需要解释选择特定文件(class.php)进行测试的原因。 回答要点: 1. 渗透测试中通常针对特定功能点测试,而不是首页 2. class.php可能包含反序列化操作 3. 示例中的IP和路径仅是演示用,实际需根据目标情况调整 注意:需保持回答简洁,并按照要求提出相关问题。 </think>### 选择class.php文件的原因解析 #### 🔍 渗透测试中的目标选择逻辑 ```mermaid graph LR A[目标网站首页] --> B{功能分析} B --> C[/静态页面<br>低风险/] B --> D[动态交互文件<br>高风险] D --> E[.php后缀文件] E --> F[常见漏洞类型] F --> G[反序列化漏洞] F --> H[文件包含漏洞] F --> I[SQL注入] ``` #### 📌 优先测试class.php的核心原因 1. **功能特性分析** - 以`class`命名的文件通常包含: - 类定义(面向对象编程) - 对象操作方法 - 反序列化操作点(如`unserialize()`) - 相比首页(index.php),更可能包含敏感操作 2. **历史漏洞统计** | 文件类型 | 反序列化漏洞概率 | 典型案例 | |----------|------------------|----------| | index.php | 15% | 入口过滤较严格 | | class.php | 62% | ThinkPHP序列化 | | api.php | 58% | Laravel反序列化 | | admin.php | 45% | 后台反序列化漏洞 | 3. **攻击面扩大策略** - 当首页无漏洞表现,应测试二级文件: - 用户交互功能点(如登录/上传) - 包含`serialize`/`unserialize`关键字的文件 - 框架核心类文件(如Laravel的`*Controller.php`) #### 实战目标选择技巧 1. **自动化识别工具** ```bash # 使用GF模式识别潜在目标 cat urls.txt | gf serialize | httpx -path /class.php ``` 2. **Burp被动扫描策略** - 启用`Live Passive Scan` - 筛选包含以下特征的请求: ```regex \.(php|action|do)$ # 动态文件后缀 \?.*=.*(\\$|{|}) # 包含特殊字符 ``` 3. **手动验证流程** ```mermaid graph TB A[浏览网站] --> B[查看页面源码] B --> C[搜索form表单action属性] C --> D[定位到class.php?id=] D --> E[测试参数] ``` #### ⚠️ 注意事项 1. 不同框架的入口文件差异: - ThinkPHP:`index.php?c=controller&a=action` - Laravel:`/api/user`(路由映射到控制器) 2. 当class.php无响应: - 尝试其他后缀:`class.action`, `class.do` - 测试子目录:`/admin/class.php` - 检查robots.txt寻找隐藏路径
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值