PHP反序列化学习（包含实例）

kiwi53

于 2022-11-09 20:42:11 发布

阅读量430

点赞数 1

文章标签： php 学习开发语言

本文链接：https://blog.youkuaiyun.com/weixin_72007549/article/details/127773570

版权

本文介绍了PHP反序列化的基本原理，包括序列化与反序列化、魔术方法的作用，以及在CTF实战中如何利用反序列化漏洞读取flag。文中详细解释了如何构造payload，通过unserialize函数实现特定条件的满足，从而读取目标文件内容。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

0x01 前言

最近在学习PHP的反序列化漏洞，做了几道题目，也总结出了一点经验。当然我是小白，可能有不少地方有缺漏欢迎各位大佬批评指正

0x02 原理

1、序列化与反序列化

序列化就是将某个对象转化为字节数据的过程，反序列就是将字节数据转化为对象的过程。打个比方就是序列化就是存档，反序列化就是读档。

<?php  
Class exa{
    public function a1()
    {
        echo "123231";
    }
    function __wakeup() 
    { 
        $aa="qwe";
        echo $aa;
    }
    function a3()
    {
		echo $this->source;
    }
}

$a=new exa;
$a -> source=123333;
echo serialize($a);

?>

这是一段PHP的序列化的代码，其运行结果为