PHP 反序列化漏洞:__PHP_Incomplete_Class 与 serialize(unserialize($x)) !== $x;

文章目录

  • 参考
  • 环境
  • 声明
  • __PHP_Incomplete_Class
      • 灵显
      • 为什么需要 __PHP_Incomplete_Class?
      • 不可访问的属性
  • serialize(unserialize($x)) === $x;
  • serialize(unserialize($x)) !== $x;
      • 雾现
      • __PHP_Incomplete_Class 对象与其序列化文本的差异
      • 试构造 __PHP__Incomplete_Class 对象的序列化文本
      • serialize() 函数在处理 __PHP_Incomplete_Class 对象时所进行的特殊操作
      • 雾散
      • 下限

参考

项目描述
搜索引擎BingGoogle
AI 大模型文心一言通义千问讯飞星火认知大模型ChatGPT
PHP 手册PHP Manual
EkiPHP序列化冷知识

环境

项目描述
PHP8.0.0
PHP 编辑器PhpStorm 2023.1.1(专业版)

声明

实际上 __PHP_Incomplete_Class 是一个类,暂且使用 __PHP_Incomplete_Class 对象 来指代 __PHP_Incomplete_Class 类的实例对象。

__PHP_Incomplete_Class

灵显

在 PHP 中,当你尝试将序列化文本进行反序列化操作以获得一个 对象 时,若 与序列化文本相关联的类还没有在当前 PHP 上下文中被定义或包含时,PHP 就会使用 __PHP_Incomplete_Class 对象来代替这个对象。对此,请参考如下示例:

<?php$result = unserialize('O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}');
var_dump($result);

执行效果

由于在使用 unserialize() 函数将序列化文本反序列化为对象时,相关的类并尚未被定义或被包含,于是 PHP 使用 __PHP_Incomplete_Class 对象作为反序列化操作的结果。

object(__PHP_Incomplete_Class)#1 (3) {["__PHP_Incomplete_Class_Name"]=>string(7) "MyClass"["name"]=>string(8) "RedHeart"["nation"]=>string(5) "China"
}

__PHP_Incomplete_Class 对象中包含了 序列化文本尝试创建的对象的信息,包括了该对象 所属类的名称 以及 该对象的属性及其值

为什么需要 __PHP_Incomplete_Class?

PHP 通过这种方式来 防止因错误导致程序的崩溃,提高程序的可靠性与可用性。如果 PHP 试图反序列化一个不存在的类,而没有任何 后备机制,那么这可能会导致 致命错误或者不可预期的行为。通过使用 __PHP_Incomplete_Class 对象,PHP 可以告诉您在反序列过程中出现的问题并继续运行。

不可访问的属性

__PHP_Incomplete_Class 是一个特殊的对象,当你试图访问这个对象的属性时,PHP 将抛出 Warning 异常。当你尝试访问这个 不完整 的对象的属性时,PHP 会 认为这是不安全的(所属类的定义并未在当前上下文中给出。记住,不要随便接收陌生人给的东西🤐),并给出警告。对此,请参考如下示例:

<?php$result = unserialize('O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}');var_dump($result);# 尝试访问 __PHP_Incomplete_Class 对象的属性
var_dump($result -> name);

执行效果

PHP Warning:  main(): The script tried to access a property on an incomplete object. Please ensure that the class definition "MyClass" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide an autoloader to load the class definition in C:\test.php on line 9
object(__PHP_Incomplete_Class)#1 (3) {["__PHP_Incomplete_Class_Name"]=>string(7) "MyClass"["name"]=>string(8) "RedHeart"["nation"]=>string(5) "China"
}Warning: main(): The script tried to access a property on an incomplete object. Please ensure that the class definition "MyClass" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide an autoloader to load the class definition in C:\test.php on line 9
NULL

serialize(unserialize($x)) === $x;

serialize(unserialize($x)) === $x; 中,$x 为一个序列化文本,将一个序列化文本通过 unserialize() 进行反序列化操作后将得到该序列化文本所描述的数据格式,再将这数据格式用序列化文本进行描述将得到原内容即 $x

这一操作就像执行了 1 + 1 后再执行了 1 - 1 ,两个操作相互抵消。在对数据进行处理前与数据进行处理后,数据相等。所以毫无悬念的 serialize(unserialize($x) ) === $x;。对此,请参考如下示例:

<?php$serialize_text = 'O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';var_dump(serialize(unserialize($serialize_text)) === $serialize_text);

执行效果

bool(true)

serialize(unserialize($x)) !== $x;

雾现

__PHP_Incomplete_Class 的出现使 serialize(unserialize($x)) !== $x; 也成为了可能。对此,请先参考如下示例,稍后我将对其进行解释。

<?php$serialize_text = 'O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';var_dump(serialize(unserialize($serialize_text)) !== $serialize_text);

执行效果

bool(true)

__PHP_Incomplete_Class 对象与其序列化文本的差异

序列化文本

O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}

对象 __PHP_Incomplete_Class

object(__PHP_Incomplete_Class)#1 (3) {["__PHP_Incomplete_Class_Name"]=>string(7) "MyClass"["name"]=>string(8) "RedHeart"["nation"]=>string(5) "China"
}

序列化文本 与其对应的 __PHP_Incomplete_Class 对象存在如下差异:

  1. 所属类名称
    序列化文本在反序列化为 __PHP_Incomplete_Class 对象后,对象所属类的名称由 MyClass 变为了其 __PHP__Incomplete_Class
  2. 对象的属性个数
    序列化文本所描述的属性个数要比 __PHP_Incomplete_Class 对象的属性个数少 1
  3. __PHP_Incomplete_Class_Name 属性
    __PHP_Incomplete_Class 对象中包含了 __PHP_Incomplete_Class_Name 属性,而其序列化文本中则没有与该属性相关的描述。

试构造 __PHP__Incomplete_Class 对象的序列化文本

__PHP__Incomplete_Class 与其序列化文本存在差异的原因是 PHP 发现了这个对象是一个 __PHP_Incomplete_Class 对象。而 PHP 是通过检查被序列化对象所属类的名称发现的。如果我们尝试描述一个所属类为 __PHP_Incomplete_Class 的对象的序列化文本,这会发生什么有趣的事情呢?为此,请参考如下示例:

<?phpvar_dump(unserialize('O:22:"__PHP_InComplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}'));

执行效果

由于 PHP 上下文中已经包含了 __PHP_Incomplete_Class 的类定义,所以当我们将序列化文本进行反序列化后并没有产生一个描述 __PHP_Incomplete_Class 对象的另一个 __PHP_Incomplete_Class 对象。

object(__PHP_Incomplete_Class)#2 (2) {["name"]=>string(8) "RedHeart"["nation"]=>string(5) "China"
}

如果我们尝试将这个人为构造的 __PHP_Incomplete_Class 对象进行序列化操作将会发生什么呢?对此,请参考如下示例:

<?phpvar_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}')));

执行效果

string(85) "O:22:"__PHP_Incomplete_Class":1:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}"

神奇的事情发生了。在将人为构造的 __PHP_Incomplete_Class 对象进行序列化后,序列化文本中描述对象属性个数的数值由原先的 2 变为了 1

serialize() 函数在处理 __PHP_Incomplete_Class 对象时所进行的特殊操作

unserialize() 在发现当前 PHP 上下文中没有包含相关类的类定义时将创建一个 __PHP_Incomplete_Class 对象。而 serialize() 在发现需要进行序列化的对象是 __PHP_Incomplete_Class 后,将对其进行 特殊处理 以得到描述实际对象而非 __PHP_Incomplete_Class 对象的序列化文本,而这里就包含了 将属性的描述值减一 这一步。
那么对象所属类的名称是否会发生替换,序列化文本中的 __PHP_Incomplete_Class_Name 是否会被自动删除以使得序列化文本中的属性个数描述值与实际相符呢?对此,请参考如下示例:

<?phpvar_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":3:{s:27:"__PHP_Incomplete_Class_Name";s:7:"MyClass";s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}')));

执行效果

string(69) "O:7:"MyClass":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}"

结合前面观察到的种种现象,我们可以总结出 serialize() 函数对 __PHP_Incomplete_Class 对象执行了如下 特殊操作(操作描述顺序并非 serialize 函数的实际操作顺序)

  1. __PHP_Incomplete_Class 对象中的 属性个数减一 并将其作为序列化文本中 对实际对象属性个数的描述值
  2. __PHP_Incomplete_Class 对象的 __PHP_Incomplete_Class_Name 作为序列化文本中 对象所属类的描述值。若未从 __PHP_Incomplete_Class 对象 中检查到 __PHP_Incomplete_Class_Name 属性,则跳过此步。
  3. __PHP_Incomplete_Class 对象的序列化文本中对 __PHP_Incomplete_Class_Name 属性的描述删去。若没有发现相关描述,则跳过此步。

雾散

回到 serialize(unserialize($x)) !== $x;。让我们再尝试对如下示例进行分析:

<?php$serialize_text = 'O:22:"__PHP_Incomplete_Class":2:{s:4:"name";s:8:"RedHeart";s:6:"nation";s:5:"China";}';var_dump(serialize(unserialize($serialize_text)) !== $serialize_text);

执行效果

bool(true)

由于 serialize 函数将对 __PHP_Incomplete_Class 进行特殊操作,故反序列化后得到的 __PHP_Incomplete_Class 对象再进行序列化操作后,序列化文本中对属性个数的描述值将为 1 而不是 2。于是导致了 serialize(unserialize($x)) !== $x;

下限

serialize() 函数对 __PHP_Incomplete_Class 对象执行特殊操作的过程中,若 __PHP_Incomplete_Class 对象中的属性个数为零,则 __PHP_Incomplete_Class 的序列化结果中的属性个数描述值也将为零,两者不会存在 1 的差距。对此,请参考如下示例:

<?phpvar_dump(serialize(unserialize('O:22:"__PHP_Incomplete_Class":0:{}')));

执行效果

string(34) "O:22:"__PHP_Incomplete_Class":0:{}"

对象(由反序列化操作得到的对象)所属类为 __PHP_Incomplete_Class 且该对象的属性个数 不为零 时,serialize(unserialize($x)) !== $x; 恒成立,仅当该对象的属性个数 为零 时, serialize(unserialize($x)) === $x; 成立。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/146492.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

UE5.1编辑器拓展【二、脚本化资产行为,快速更改资产名字,1.直接添加前缀或后缀2.通过资产类判断添加修改前缀】

目录 了解相关的函数 第一种做法&#xff1a;自定义添加选择资产的前缀或后缀 代码 效果 第二种做法&#xff1a;通过映射来获取资产类型添加前缀和修改前缀 映射代码 代码 效果 在之前一章中&#xff0c;我们创建了插件&#xff0c;用来扩展编辑器的使用&#xff1a; …

VS Code 如何搭建 C/C++开发环境

目录 VScode是什么? VScode的下载和安装? 2.1 下载和安装 安装&#xff1a; 2.2 环境的介绍 环境介绍&#xff1a;​编辑 安装中文插件&#xff1a; VScode配置 C/C 开发环境 3.1 下载和配置MinGW-w64 编译器套件 下载&#xff1a; 配置MinGW64&#xff1a; 3.2 安…

加入PreAuthorize注解鉴权之后NullPointerException报错

记录一次很坑的bug&#xff0c;加入PreAuthorize注解鉴权之后NullPointerException报错&#xff0c;按理来说没有权限应该403报错&#xff0c;但是这个是500报错&#xff0c;原因是因为controller层的service注入失败&#xff0c;然而我去掉注解后service注入成功&#xff0c;并…

python之股票财务分析

#import akshare as ak import pandas as pd import matplotlib.pyplot as plt symbol1"资产负债表" symbol2"利润表" symbol3"现金流量表" #df1ak.stock_financial_report_sina(stock"601633",symbolsymbol1) #df2ak.stock_financial…

数据结构刷题(三十三):完全背包最小值情况。322. 零钱兑换、279. 完全平方数

题目一&#xff1a; 322. 零钱兑换https://leetcode.cn/problems/coin-change/ 思路&#xff1a;完全背包问题&#xff0c;求解最小组合数。dp[j]&#xff1a;凑足总额为j所需钱币的最少个数为dp[j]。同时需要确保凑足总金额为0所需钱币的个数一定是0&#xff0c;那么dp[0] 0…

001 Python开发环境搭建

1、下载python 2023/10 python-3.11.5-amd64.exehttps://www.python.org/ftp/python/3.11.5/python-3.11.5-amd64.exe 2、下载Visual Studio Code 2023/10 VSCodeSetup-x64-1.82.2.exehttps://code.visualstudio.com/docs/?dvwin64 3、安装python 双击打开python-3.11.5-a…

SpringCloud Alibaba - Sentinel 授权规则、自定义异常结果

目录 一、授权规则 1.1、什么是授权规则 1.2、授权规则的配置 1.2.1、配置信息介绍 1.2.2、如何得到请求来源 1.2.3、实现步骤 a&#xff09;给网关过来的请求添加请求头信息 b&#xff09;在 订单微服务 中实现 RequestOriginParser 接口中的 parseOrigin 方法 c&…

排序:外部排序算法分析

1.外存与内存之间的数据交换 1.外存&#xff08;磁盘&#xff09; 操作系统以“块”为单位对磁盘存储空间进行管理&#xff0c;如:每块大小1KB 各个磁盘块内存放着各种各样的数据。 2.内存 磁盘的读/写以“块”为单位数据读入内存后才能被修改修改完了还要写回磁盘。 2.外…

Jmeter分布式压力测试

目录 1、场景 2、原理 3、注意事项 4、slave配置 5、master配置 6、脚本执行 1、场景 在做性能测试时&#xff0c;单台机器进行压测可能达不到预期结果。主要原因是单台机器压到一定程度会出现瓶颈。也有可能单机网卡跟不上造成结果偏差较大。 例如4C8G的window server机…

2023-10-01 LeetCode每日一题(买卖股票的最佳时机)

2023-10-01每日一题 一、题目编号 121. 买卖股票的最佳时机二、题目链接 点击跳转到题目位置 三、题目描述 给定一个数组 prices &#xff0c;它的第 i 个元素 prices[i] 表示一支给定股票第 i 天的价格。 你只能选择 某一天 买入这只股票&#xff0c;并选择在 未来的某一…

[NOIP2012 提高组] 国王游戏(贪心,排序,高精度)

[NOIP2012 提高组] 国王游戏 题目描述 恰逢 H 国国庆&#xff0c;国王邀请 n n n 位大臣来玩一个有奖游戏。首先&#xff0c;他让每个大臣在左、右手上面分别写下一个整数&#xff0c;国王自己也在左、右手上各写一个整数。然后&#xff0c;让这 n n n 位大臣排成一排&…

Mac程序坞美化工具 uBar

uBar是一款为Mac用户设计的任务栏增强软件&#xff0c;它可以为您提供更高效和更个性化的任务管理体验。 以下是uBar的一些主要特点和功能&#xff1a; 更直观的任务管理&#xff1a;uBar改变了Mac上传统的任务栏设计&#xff0c;将所有打开的应用程序以类似于Windows任务栏的方…

xilinx的原语的使用

xilinx的原语的使用 在学习FPGA实现千兆网时需要GMII转RGMII&#xff0c;这就涉及了原语的使用&#xff0c;特此记录&#xff01; 一、原语 与RGMII接口相关的原语&#xff1a; BUFG:全局时钟网络 BUFIO&#xff1a;只能采集IO的数据&#xff0c;采集IO数据的时候延时是最低的…

浅谈OV SSL 证书的优势

随着网络威胁日益增多&#xff0c;保护网站和用户安全已成为每个企业和组织的重要任务。在众多SSL证书类型中&#xff0c;OV&#xff08;Organization Validation&#xff09;证书以其独特的优势备受关注。让我们深入探究OV证书的优势所在&#xff0c;为网站安全搭建坚实的防线…

【自定义类型】--- 位段、枚举、联合

&#x1f493;博客主页&#xff1a;江池俊的博客⏩收录专栏&#xff1a;C语言进阶之路&#x1f449;专栏推荐&#xff1a;✅C语言初阶之路 ✅数据结构探索&#x1f4bb;代码仓库&#xff1a;江池俊的代码仓库&#x1f389;欢迎大家点赞&#x1f44d;评论&#x1f4dd;收藏⭐ 文…

React18+Ts项目配置husky、eslint、pretttier、commitLint

前言 我的项目版本如下&#xff1a; React&#xff1a; V18.2.0Node.js: V16.14.0TypeScript&#xff1a;最新版工具&#xff1a; VsCode 本文将采用图文详解的方式&#xff0c;手把手带你快速完成在React项目中配置husky、prettier、commitLint&#xff0c;实现编码规范的统…

使用sqlmap获取数据步骤

文章目录 1.使用sqlmap获取所有数据库2.使用sqlmap获取当前连接数据库3.使用sqlmap获取当前数据库下所有表名4.使用sqlmap获取当前数据库下某个表下所有列名5.使用sqlmap获取当前数据库下某个表下指定字段的数据6.测试当前用户是否是管理员7.使用burpsqlmap批量检测8.脱库命令9…

算法竞赛备赛之贪心算法训练提升,贪心算法基础掌握

1.区间问题 905.区间选点 给定N个闭区间[ai, bi]&#xff0c;请你在数轴上选择尽量少的点&#xff0c;使得每个区间内至少包含一个选出的点。 输出选择的点的最小数量&#xff0c;位于区间端点上的点也算作是区间内。 将每个按区间的右端点从小到大排序 从前往后依次枚举每…

记录:Unity脚本的编写

目录 前言添加脚本到unity编写c#脚本查看效果 前言 在学习软件构造这门课的时候&#xff0c;对unity和c#进行了 一定程度的学习&#xff0c;包括简单的建立地形&#xff0c;添加对象&#xff0c;添加材质等&#xff0c;前不久刚好学习了如何通过c#脚本对模型进行操控&#xff…

五、2023.10.1.C++stl.5

文章目录 65、请说说 STL 的基本组成部分?66、请说说 STL 中常见的容器&#xff0c;并介绍一下实现原理&#xff1f;67、请说说 STL 中常见的容器&#xff0c;并介绍一下实现原理&#xff1f;68、请你来介绍一下 STL 的空间配置器&#xff08;allocator&#xff09;&#xff1…