php反序列化

反序列化|序列化

!!!反序列化是比较重要的,可以多方面找资源学习。
序列化（串行化）：是将变量转换为可保存或传输的字符串的过程(将程序对象（内存中的数据）转为方便存储的格式存储在文件（磁盘中）,即内存->磁盘)；
反序列化（反串行化）：就是在适当的时候把这个字符串再转化成原来的变量使用；
这两个过程结合起来，可以轻松地存储和传输数据，使程序更具维护性。

对象->字符串 –序列化–serialize()
字符串->对象 –反序列化–unserialize()

PHP反序列化

参考：
反序列化详解:
https://xz.aliyun.com/t/12507
https://www.php.cn/faq/454909.html
https://blog.csdn.net/m0_69637056/article/details/125692222
魔术方法详解:
https://www.cnblogs.com/20175211lyz/p/11403397.html
https://blog.csdn.net/qq_51295677/article/details/123394848
1、原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码
执行，SQL 注入，目录遍历等不可控后果。
2、如果代码中存在类(class):在反序列化的过程中可能会自动触发某些魔术方法。
PHP进行反序列化的两个函数:
serialize() //将一个对象转换成一个字符串
unserialize() //将字符串还原成一个对象
反序列化漏洞触发：unserialize 函数的变量可控，文件中存在可利用的类，类中有魔术方法：
serialize() //将一个对象转换成一个字符串
unserialize() //将字符串还原成一个对象
触发：unserialize 函数的变量可控，文件中存在可利用的类，类中有魔术方法：
__construct() //创建对象时触发
__destruct() //对象被销毁时以及调用serialize()触发
__wakeup() //调用unserialize()前,即反序列化前触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用 isset()或 empty()触发
__unset() //在不可访问的属性上使用 unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发

具体分析

php反序列化热身–无类–本地–简单了解原理:7:00
php反序列化ctf真题–无类–实例–加深了解原理:24:00
0、序列化的输出形式

1、序列化后(无类)的输出结果:

1.1、反序列化(无类)后的输出结果:

2、===(强类型对比)是全等，两边类型和值都一样才行。==(弱类型对比)含有隐形转换，会将两边的值按一定规则转换后作比较。=是赋值。
3、ctf代码存在先后以及逻辑问题,一定要看清楚。
php反序列化–有类魔术方法触发–本地–重点学习:39:00
php反序列化网鼎杯真题–有类魔术方法触发–实例–重点学习:51:00
1、魔术方法就是代码在执行的时候,执行到某一函数就会被隐式调用的方法(与vue框架的钩子函数对比?)。
2、有类情况下的简单输出

3、网鼎杯解题思路

(1)、有new就有构造，然后代码结束依次销毁用析构函数。
(2)、这道题写一个类就是为了传参数,把参数序列化利于传输。
4、反序列化,你要自己懂得如何serialize() unserialize()相互转化,以及它们之间的相互转化的PHP代码如何去写。
5、序列化的值利于传输、反序列化的利于还原和编译?

总结

1、关于反序列化作用的小结:1:25:00
2、php反序列化,由于魔术方法的调用,可能会造成sql注入等的其他漏洞,这就是php反序列化漏洞。

一些进阶小技巧:https://zhuanlan.zhihu.com/p/628402113
https://blog.csdn.net/m0_64815693/article/details/127982134