mhw66.com

ĵǰλã 主页 > mhw66.com >

PHP序列化和反序列化语法差异问题正版铁算盘一

ڣ2019-11-20

  所有php里面的值都可以使用函数serialize来返回一个包含字节流的字符串来表示。unserialize函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,正版铁算盘一句解特马但是不会保存对象的方法,只会保存类的名字。 为了能够unserialize一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。

  所有php里面的值都可以使用函数serialize来返回一个包含字节流的字符串来表示。unserialize函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 为了能够unserialize一个对象,这个对象的类必须已经定义过。如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。

  环境配置建议参考:《WINDOWS下用VSCODE调试PHP7源代码》作者经过几小时尝试后找到最全的版本)

  在网上公开参数反序列化执行流程已经非常详细,但是对于一些细节地方有一些不足,其中就包括序列化和反序列化之间的语法差异问题

  我们通过编译PHP内核源码分析,发现PHP序列化在默认情况下在对象转换中加入:{和}用来拼接成字符串。

  咱们来看上面这段代码,PHP会使用smart_str_appendl为序列化字符串前后拼接:{和},从var.c的第882行开始进入序列化逻辑。在第896行进行序列化字符串拼接,第952行和第995行,对于内嵌方法进行拼接。

  通过内核代码能够看到第655行进入反序列化,反序列化是利用词法扫描,判断各项符号转换对应对象。能够看到反序列化中对于}进行了处理,处理中只是对计数器加一并没有其他操作。

  反序列化语法的差异,对于安全防护设备判断反序列化产生很大的影响。在Snort中,有段规则如下:

  在红队攻击中可以利用PHP序列化和反序列化语法差异,从而达到绕过防护的目的。

  在蓝队防御中建议考虑定义中所述不会保存对象的方法,只会保存类的名字。,拦截保存类的名字,以及语法中相同的字符比如冒号进行防御。返回搜狐,查看更多