反序列化的概念、魔术方法以及相关例题
ctf
发布日期:   2019-11-16
阅读次数:  

反序列化的概念、魔术方法以及相关例题

类似于命令执行。

将变量序列化持久化。

将一个变量的数据转换位字符串,但并不是类型转换,目的就是将字符串存储在本地,相反的行为成为反序列化。序列化和反序列化的目的是让程序之间传输对象更加方便 。

序列化: 就是将内存的变量数据,保存到文件中的持久数据的过程简化就是 将内存变为文件。

序列化函数:
serialize 可存储的值表示

unserialize 对单一的已序列化的变量进行操作 将其转换回php的值

局限性: function才是产生危害的源泉。

魔术方法:

反序列化的一些注意点

php bug 72663

当序列化字符串中如果表示对象属性个数的值大于真实的属性个数时就会跳过_wakeup的执行

给他先base64编码 在bp解码

php session中的反序列化问题

phbug7101

经过这个是:

经过这个后:

php处理方式 生成 |序列

php_s 序列

session.upload_process.cleanup 是 off现象

phar反序列化

  转载请注明: 星晴 反序列化的概念、魔术方法以及相关例题

 上一篇
基于时间盲注的部分相关函数 基于时间盲注的部分相关函数
基于时间盲注的部分相关函数 时间盲注的函数 sleep()函数: 如果where 语句一 and sleep(3) 语句一如果成真,那么需要执行后面sleep(),那么会造成延迟,加入语句一是假的,那么就不会运行后面的sleep语句,
2019-11-16 starjian
ctf
下一篇 
代码执行相关函数以及简单的例题讲解 代码执行相关函数以及简单的例题讲解
代码执行相关函数以及简单的例题讲解 由于没有针对代码中可以执行的特殊函数入口做过滤,导致用户可以提交恶意的语句,并且交给服务器执行。代码/命令注入攻击中web服务器没有过滤类似 system(),eval(),exec()等函数的传入参数是
2019-11-16 starjian
ctf
  目录