php反序列化

声明：本人只是在学习反序列化 因此这篇文章大量参考了https://blog.csdn.net/Hardworking666/article/details/122373938 这位的博客 感谢他的详细文章让我可以详细学习反序列化 大家想看更详细的可以直接参考他的文章!!!

什么是序列化和反序列化

序列化就是将数据格式转化成可以存储和传输的格式，原因是php文件正常执行结束会将文件销毁，那么下一次使用的时候就没有了，因此需要长久保存，就是序列化,也就是是使用serialize()函数.

反序列化就是将可以传输的这种格式恢复成原本的对象，使用unserialize()函数

+++

json 和 php 序列化的关系

json

• 一种轻量级的数据格式，通常用于前后端的数据传输，api，web开发，源自jsp
• 人类可读
• 一种纯文本格式，易于通过HTTP传输

关系

• json是跨平台，跨语言的 任何支持json语言的都可以读写json数据
• php序列化只能在php中使用，不嫩那个直接跨语言传输
• 二者可以互相转化，但需要手动改动

+++

php面向对象编程

• 面向对象（一种编程思路） ： 将程序中的数据和操作方法打包在一起 ，包含对象 类 封装 继承等
  1. 对象 ：程序中的基本单位，也是现实中的一个具体事物，例如狗狗是一个对象
  2. 类：它是对象的蓝图：定义了狗的特性（毛色 行为） 也可以由类产生具体对象
  3. 封装：将数据和方法打包载一起，只暴露必要部分，例如你知道踩油门车会动，但是不知道内部结构和工作原理
  4. 继承：就是一个类可以继承另一个类的特性，避免代码重复，例如毛和狗都继承了动物类型
  5. 多态：同一个方法在不同对象有不同表现

<?php
class Test//定义了一个类
public $variable = 'this is a variable' //定义了一个变量
pubilc function PrivateVariable()  //定义了一个方法
$object = new Test();  //创建了一个对象
$object -> PrintVariable();  //创建了一个方法
?>

普及面向过程（c pascal fortran）

• 将程序看作一系列步骤或者动作的指令，可以将其当成一个菜谱，一步一步完成任务

+++

pubilc protected private

• php对属性或者方法的访问权限 是通过在前面加关键字实现的 有
  1. public(共有)：在任何地方都可以访问到
  2. privated(受保护)：受保护的类成员可以被其自身或者父类 子类访问
  3. private(私有)：私有的类成员只能被其定义的类所访问

注意： (\x00代表空字符 必须占一个位置)

public:属性被序列化后属性值会变为属性名

privated：属性值被序列化后属性值会变成\x00*\x00属性名

privated：属性值被序列化后属性值会变成\x00类名\x00属性名

+++

魔术方法

• 格式:

两个下划线_开头

• 函数

__construct()            //类的构造函数，创建对象时触发，用于初始化对象的属性或者执行一些启动工作__destruct()             //类的析构函数，对象被销毁时触发。用来释放资源或执行清理工作__call()                 //当你调用一个对象的不可访问方法时触发。比如调用一个不存在的对象方法。__callStatic()           //当你调用一个静态方法时，但方法不存在时触发。__get()                  //当你访问一个不可访问的属性时触发。比如访问私有属性。__set()                  //当你给一个不可访问的属性赋值时触发。__isset()                //当你调用 isset() 或 empty() 判断不可访问属性时触发。__unset()                //当你用 unset() 删除不可访问属性时触发。__invoke()               //当你试图以函数的方式调用对象时触发__sleep()                //当你将对象序列化时触发，通常用于决定哪些属性应该被序列化。__wakeup()               //当你反序列化对象时触发，用于重新初始化某些状态。__toString()             //当你将对象作为字符串输出时触发。

• 作用：他们使你能在Php中对类的行为进行精细调控，十分牛逼

从序列化到反序列化

_construct ->__sleep ->__wakeup() -> __toString ()-> __destruct()

<?php
class TestClass
{ 
//一个变量public $variable = 'This is a string';//一个方法 这个方法用于打印变量$variable 的值public function PrintVariable(){echo $this->variable.'<br />';}//构造函数在创建函数时自动调用 public function  __construct(){   //简单输出__constructecho '__construct<br />';}//析构函数在对象被摧毁时自动调用public function __destruct(){ //简单输出__destructecho '__destruct<br />';}//当对象被当作一个字符串,函数调用public function __toString(){return '__toString<br />';}
}
//创建一个对象
//__construct会被调用
$object = new TestClass();
//调用一个方法
//‘This is a string’将会被输出
$object->PrintVariable();
//对象被当作一个字符串
//toString会被调用
echo $object;
//php脚本要结束时，__destruct会被调用
?>

漏洞:

• 序列化只序列化属性 不序列方法
• 我们能控制的只有类的属性，攻击者就是寻找合适能被控制的属性

+++

php序列化与反序列化的使用

序列化：

<?php
class User
{//类的数据public $age = 0;   //初始值为0public $name = '';  //初始值为空字符//输出数据的方法public function printdata(){//输出用户的年龄和姓名echo 'User '.$this->name.' is '.$this->age.' years old.<br />';} // “.”表示字符串连接
}
//创建User类的对象
$usr = new User();
//设置数据
$usr->age = 18;
$usr->name = 'Hardworking666';
//调用方法输出数据
$usr->printdata();
//输出序列化后的数据
echo serialize($usr)
?>

输出结果：

User Hardworking666 is 18 years old.
O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}

这里的输出结果第二行就是序列化后的形式：

"o"表示对象，"4"表示对象名长度为4，"User"为对象名，“2”表示有2个参数

“{}”里面是参数的key和value

"s"表示string对象，"3"表示长度，“age”为key，"i"是interger（整数）对象，“18”是value

• • s:3:"age" 表示属性名是 age，长度为 3 个字符。
  • i:18 表示 age 属性的值是一个整数 18。
  • s:4:"name" 表示属性名是 name，长度为 4 个字符。
  • s:14:"Hardworking666" 表示 name 属性的值是一个字符串，长度为 14 个字符，内容是 "Hardworking666"。

对上述例子进行反序列化：

<?php
class User
{//类的数据public $age = 0;public $name = '';//输出数据public function printdata(){echo 'User '.$this->name.' is '.$this->age.' years old.<br />';}
}
//重建对象
$usr = unserialize('O:4:"User":2:{s:3:"age";i:18;s:4:"name";s:14:"Hardworking666";}');
//输出数据
$usr->printdata();
?>

输出结果：

User Hardworking666 is 18 years old.

序列化格式：

a - array 数组型
b - boolean 布尔型
d - double 浮点型
i - integer 整数型
o - common object 共同对象
r - objec reference 对象引用
s - non-escaped binary string 非转义的二进制字符串
S - escaped binary string 转义的二进制字符串
C - custom object 自定义对象
O - class 对象
N - null 空
R - pointer reference 指针引用
U - unicode string Unicode 编码的字符串

实例代码：

这里会演示PHP中关于序列化和反序列化的一些特别行为，特别是 使用了魔术方法__sleep和__wakeup来控制序列化和反序列化过程中的行为，并且定义了__construct和__destruct来演示对象创建和销毁时的行为

<?php
class test
{public $variable = '变量反序列化后都要销毁'; // 公共变量public $variable2 = 'OTHER';// 打印变量的方法public function printvariable(){echo $this->variable . '<br />';}// 构造方法，创建对象时调用public function __construct(){echo '__construct' . '<br />';}// 析构方法，销毁对象时调用public function __destruct(){echo '__destruct' . '<br />';}// 在对象反序列化时调用public function __wakeup(){echo '__wakeup' . '<br />';}// 在对象序列化时调用public function __sleep(){echo '__sleep' . '<br />';return array('variable', 'variable2'); // 只序列化这些属性}
}// 创建一个对象，回调用 __construct  这里直接输出construct
$object = new test();  // 输出：__construct// 序列化一个对象，会调用 __sleep
$serialized = serialize($object);  // 输出：__sleep
// 输出序列化后的字符串
print 'Serialized:' . $serialized . '<br />';  // 输出 Serialized:O:4:"test":2:{s:8:"variable";s:24:"变量反序列化后都要销毁";s:8:"variable2";s:5:"OTHER";}// 反序列化对象，会调用 __wakeup
$object2 = unserialize($serialized);  // 输出：__wakeup
// 调用 printvariable，会输出数据
$object2->printvariable();  // 输出：变量反序列化后都要销毁// 脚本结束，会调用 __destruct
?>

输出结果：

__construct       
__sleep
Serialized:O:4:"test":2:{s:8:"variable";s:24:"变量反序列化后都要销毁";s:8:"variable2";s:5:"OTHER";}
__wakeup
变量反序列化后都要销毁
__destruct

+++

php反序列化

原理：

• 目标是服务器端
• 攻击者构造一个包含恶意数据的反序列化字符串，例如一个包含特定文件路径的对象属性，或者触发恶意代码的模式方法
• 攻击者将恶意数据交给服务器（url post请求 cookie)
• 服务器在反序列时会触发魔术方法 导致恶意操作