2.2

Programming,简称OOP)是一种计算机编程架构。

面向对象思想的核心计算机模拟现实世界解决现实世界的问题。

注意面向对象思想很重要其次是编程语言的语法。

相比于面向过程两者思想方式不同面向过程注重功能怎么一步一步去实现其程序基本单位大多是函数组成的而面向对象注重对象是谁去做这个事情也就是行为以及状态其程序基本单位是对象对象是通过类的实例化产生的。

二、类

类是定义了一件事物的抽象特点将数据的形式以及这些数据上的操作封装在一起对象是具有类类型的变量是类的实例。

类是对象的抽象而对象是类的具体实例。

类的想法把类实例化(new)调用具体值后就变成了对象。

内部构成成员变量(属性)成员函数(方法)

成员变量定义在类内部的变量该变量对外是不可见的但是可以通过成员函数访问在类被实例化成为对象后该变量即可成对象的属性。

成员函数定义在类的内部用于访问对象的数据是实现某个独立的功能类中一个行为

大白话解释一下(比较形象)

表格实例化成为了一个对象A就可以拿着简介去公司面试了否则表格空空

只能看到对象中的属性这时候面试官看到对象里面写着个人爱好为跳舞面试官对同学A说执行类中函数你跳舞吧边跳舞边说自己的个人信息

同学A就展示动作并说出自己的个人信息这就是成员函数可以访问成员变量并且个人信息别人是不知道的通过这也可以看出

对象里有属性和方法属性是可以一看看出来的但是方法需要面试官主动让你跳你才能跳

继承继承性是子类自动共享父类数据结构和方法的机制是类之间的一种关系也就是说

2.2

在类中直接声明的变量成为成员属性(也可以成为成员变量)可以在类中声明多个变量即对象中可以有多个成员属性每个变量都存储对象不同的属性信息

定义权限

序列化是将对象的状态信息(属性)转换为可以存储或传输的形式的过程方便存储和方便传输

举例如果有session

会把传进来的参数键值对转换成字符串存储在session文件里面

在php中使用函数serialize()来将对象或者数组进行序列化

3.2

a:3:{i:0;s:6:benben;i:1;s:8:dazhuang;i:2;s:6:laoliu;}

对象序列化

O:4:test:1:{s:3:pub;s:6:benben;}

私有修饰符序列化

O:4:test:1:{s:9:testpub;s:6:benben;}

序列化会在前面加上类名

O:4:test:1:{s:6:*pub;s:6:benben;}

并且*前后也会有空字符

O:5:test2:1:{s:3:ben;O:4:test:1:{s:3:pub;s:6:benben;}}

整体演示

a:3:{i:0;s:6:benben;i:1;s:8:dazhuang;i:2;s:6:laoliu;}

O:4:TEST:3:{s:4:data;s:2:uu;s:5:data2;s:9:dazzhuang;s:10:TESTpass;b:1;}

O:4:TEST:3:{s:4:data;s:9:dazzhuang;s:5:data2;R:2;s:10:TESTpass;b:1;}

i:666;

反序列化生成的对象里的值由反序列化里的值提供与原由类预定义的值无关

为什么反序列化后就能触发成员方法

unserialize(urldecode($a));//对a进行反序列化

赋值给b

反序列化后的输出和正常对象的输出是一样的但是如果将序列化字符串里面的benben改成dazhuang

O:4:test:3:{s:1:a;s:6:benben;s:4:*b;i:666;s:7:testc;b:0;}

O%3A4%3A%22test%22%3A3%3A%7Bs%3A1%3A%22a%22%3Bs%3A6%3A%22benben%22%3Bs%3A4%3A%22%00%2A%00b%22%3Bi%3A666%3Bs%3A7%3A%22%00test%00c%22%3Bb%3A0%3B%7D

object(test)#1

向类进行借用类似于系统识别出来你这个对象就是属于类就可以用类中的方法

这个时候如果把类注释掉

反序列化成因反序列化过程中userialize(接收的值(字符串)可控通过更改这个值(字符串)得到所需要的代码即生成的对象的属性值

通过调用方法触发代码执行到后面就能明白了为什么叫调用方法就能触发代码执行

因为在类的方法中调用了自己的属性但是这个属性可以通过反序列化进行更改也就是说光改变值也不行

需要让这个值被执行

unserialize($get);//把参数值反序列化赋值给一个对象b

$b-displayVar()

传参??benbenO:4:test:1:{s:1:a;s:12:system(dir);;}

5.2

反序列化漏洞的成因反序列化过程中unserialize()接收的值(字符串)可控通过更改这个值(字符串)得到所需要的代码通过调用的方法触发代码执行

魔术方法相关机制

//实例化user类的时候会触发类中__construct魔术方法

$test

析构函数在对象的所有引用被删除或者当对象被显式销毁是执行的魔术方法

?php

实例化为一个对象就好比要把类里面的代码过一遍反序列化也一个意思

因为类里面有__destruct

?benbenO:4:User:1:{s:3:cmd;s:12:system(dir);;}

__sleep()

序列化serialize()函数会检查类中是否存在一个魔术方法__sleep()。

如果存在该方法会先被调用然后才执行序列化操作,此功能可以用于清理对象并返回一个对象中所有应被序列化的变量名称的数组。

如果该方法未返回任何内容则NULL被序列化并产生一个E_NOTICE级别的错误。

触发时机序列化serialize(之前

功能对象被序列化之前触发返回需要被序列化存储的成员属性删除不必要的属性

参数成员属性

serialize($user);//触发__sleep魔术方法

魔术方法只返回usernmae

O:4:User:2:{s:8:username;s:1:a;s:8:nickname;s:1:b;}

sleep例题

serialize($user);//序列化会先执行construct魔术方法再执行__sleep魔术方法

?构造语句?benbencmd

wakeup()方法。

如果存在则会先调用__wakeup()方法预先准备对象需要的资源预先准备对象资源返回void常用反序列化操作中重新建立数据库连接或执行其他初始化操作。

?php

O:4:User:2:{s:8:username;s:1:a;s:8:nickname;s:1:b;};

var_dump(unserialize($user_ser));

object(User)#1

O:4:User:1:{s:8:username;s:3:dir;}

__tostring

触发时机对不可访问属性/或不存在属性使用isset()或empty()时__isset()会被调用

参数传参$arg1

isset($test-var);//如果不存在或者无权限的属性名被isset函数调用会触发__isset魔术方法

将属性名赋值给arg1

触发时机当使用clone关键字拷贝完成一个对象后新对象会自动调用一个魔术方法

?php

__destruct(){$this-test-action();}

class

但是eval所在的函数不是魔术方法这个时候就要往前找看谁调用了evil类中的action函数

__destruct魔术方法调用了normal类对象test的action函数

这个时候问题就是如何让test调用evil中的action()方法

我们只需定义test为对象

?testO:5:index:1:{s:11:%00index%00test;O:4:evil:1:{s:5:test2;s:12:system(dir);;}}

?php

evil(test对象)里的值test2为system(dir)

因为是反序列化在反序列化结束的时候会自动执行index类(对象A)中的__destruct()魔术方法

从而执行action

将poc放到源代码中分析过程告诉系统test属于evil的对象并且test属性里的test2属性的值为system(dir)

执行完反序列化自动执行

$a-test2system(dir);;//为这个对象的竖向test2进行赋值

$bnew

$b-test$a;//让index的对象的属性等于evil的对象,这道题因为test为

echo