序列化
序列化是将对象的状态信息转换为可以存储或传输的形式的过程;
不同的类型序列化结果不同;
序列化
对象——————》字符串
$a = null;
echo serilaize($a);
空字符:N
整型:i:123
浮点型:d:2.2
bool型:b:1/0
字符串:s:长度:“xxx”
不能序列化‘类’,可以序列化‘对象’;
private私有属性序列化时,在变量名前加“%00类名%00”;
protected受保护属性序列化时,在变量名前加“%00*%00”;
反序列化漏洞生成poc时需要:urlencode(serialize($a));
反序列化特性
- 反序列化之后的内容为一个对象;
- 反序列化生成的对象里的值,由反序列化里的值提供;与原有类预定义的值无关;
$a = array('aby', 'hell');
$j = abya:2:{i:0;s:3:"abc";i:1;s:4:"hell";}
var_dump($j)===>abc,hell
- 反序列化不触发类的成员方法;需要调用方法后才能触发;
class test{private $a;function f() {echo 'hello';}
}
class test1{protected $b;function g() {echo $b;}function __construct(){$this->b = new test;}}
$c = new test1;
echo serialize($c);
$j =O:5:"test1":1:{s:4:.....";
$j->g();
?>
可以直接通过反序列化对象来调用原本类中的成员方法,不需要实例化;
但是原本的类不能被删除,否则不能调用,且输出的值是当前反序列化对象的值,而不是类原有的值;
