十二、pikachu PHP反序列化
1.PHP反序列化概述序列化serialize()把一个对象变成可以传输的字符串,比如下面是一个对象:反序列化unserialize()把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题2.PHP反序列化漏洞看一下页面,接受反序列化,打开源码文件看看它反序列化什么
·
1.PHP反序列化概述
序列化serialize()
把一个对象变成可以传输的字符串,比如下面是一个对象:
反序列化unserialize()
把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。
序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题
2.PHP反序列化漏洞
看一下页面,接受反序列化,打开源码文件看看它反序列化什么
也就是把我们传进去的东西进行序列化
我们先在本地直接搭建一个序列化的内容,在浏览器访问它
O:1:“s”:1:{s:4:“test”;s:29:"";}
查看当前页面的源代码,可以看到我们构造好的代码复制,再把它放进我们的题目中即可
O:1:“S”:1:{s:4:“test”;s:29:“”;}
成功
瓜分20万奖金 获得内推名额 丰厚实物奖励 易参与易上手
更多推荐
0
0- 0
已为社区贡献3条内容
所有评论(0)