序列化和反序列化概念
當我們在php中建立了一個對象後,可以通過serialize()把這個對象轉變成一個字元串,用于儲存對象的值友善之後的傳遞與使用。與 serialize() 對應的,unserialize()可以從序列化後的結果中恢複對象(object)。
形象了解: 一個櫃子為了好存儲在運貨車中,先把櫃子拆成木闆放進車中運輸,到達目的地後再重新組裝成櫃子。櫃子是object,木闆是string,運貨車是資料庫等存儲。櫃子拆成木闆是序列化,木闆組成櫃子是反序列化。
php中序列化函數是serialize(Object),反序列化是unserialize(String)
<?php
class test{
public $id = 'Baize';
public $name = 'Sec';
}
$test1 = new test();
//序列化,将類序列化成字元串,便于存儲
$test2 = serialize($test1);
print_r($test2);
//反序列化,将字元串轉換為類。
$test3 = unserialize($test2);
print_r($test3)
?>
結果:
O:4:“test”:2:{s:2:“id”;s:5:“Baize”;s:4:“name”;s:3:“Sec”;}
test Object ( [id] => Baize [name] => Sec )
反序列化漏洞
php中特殊的魔術函數:
<?php
header("Content-type: text/html; charset=utf-8");
class people
{
public $name = "f1r3K0";
public $age = '18';
function __wakeup(){
echo "這是 __wakeup()";
echo "<br>";
}
function __construct(){
echo "這是 __consrtuct()";
echo "<br>";
}
function __destruct(){
echo "這是 __destruct()";
echo "<br>";
}
function __toString(){
echo "這是 __toString";
echo "<br>";
}
}
$class = new people();
$class_ser = serialize($class); //序列化
print_r($class_ser);
$class_unser = unserialize($class_ser); //反序列化
print_r($class_unser);
?>
這是 __consrtuct()
O:6:"people":2:{s:4:"name";s:6:"f1r3K0";s:3:"age";s:2:"18";}
這是 __wakeup()
people Object ( [name] => f1r3K0 [age] => 18 )
這是 __destruct()
這是 __destruct()
可以看出unserialize函數是優先調用"__wakeup()"再進行的反序列化字元串,是以當傳給 unserialize() 的參數可控時,我們可以通過傳入一個"精心”構造的序列化字元串,進而控制對象内部的變量甚至是函數,然後讓一些構造函數去執行,如下是利用wakeup構造函數。
<?php
class test{
var $id = 'Baize';
function __wakeup(){
eval($this->id);
}
}
$test1 = $_GET['string'];
$test2 = unserialize($test1);
?>
payload:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsIiclRnblN2XjlGcjYTMfhHLlN3XnxCM38FdsYkRGZkRG9lcvx2bjxCMy8VZ6l2csYTcMVjRP9WNz0CT2g3RiVzUyolNGVGc1smMhVTQClGVF5UMR9Fd4VGdsATNfd3bkFGazxycykFaKdkYzZUbapXNXlleSdVY2pESa9VZwlHdssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL1YTOklDZmVjNjRjMxgTMhRmYyQjZjZzNwEjYmZDN3Q2Lc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)