对这几天以来顶的php反序列化来做一个总结吧:
php反序列化漏洞也被称作php对象注入。序列化和反序列化的目的是使得程序间传输对象更加方便。序列化是将对象转换为字符串以便存储和传输的一种方式。而反序列化就是序列化的逆过程,它会将字符串重新转换为对象供程序使用。
嘤嘤嘤,在实现这个漏洞需要一种php魔法函数,这里总结了一些:
_construct() //当一个对象创建时被调用
_destruct() //对象被销毁时触发
_wakeup() //使用unserialize时触发
_sleep() //使用serialize时触发
_toString() //把类当作字符串使用时触发
_get() //用于从不可访问的属性读取数据
_set() //用于将数据写入不可访问的属性
_isset() //在不可访问的属性上调用isset()或empty()触发
_unset() //在不可访问的属性上使用unset()时触发
_invoke() //当脚本尝试将对象调用为函数时触发
。。。可能还有其它的没有遇到的一些魔法函数,以后会慢慢补上
近期评论