我想要达到的结果
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=
class xctf{
public $flag = '111';
}
$a=new xctf();
echo serialize($a);
O:4:"xctf":2:{s:4:"flag";s:3:"111";}
为什么xctf后面的数字要大于1?为什么反序列化要删除__wakeup方法?
为什么下面的代码反序列化要大于1?
- 写回答
- 好问题 0 提建议
- 关注问题
分享- 邀请回答
-
2条回答 默认 最新
慕晨sekurlsa 2022-08-24 02:32关注1.首先是xctf后面的数字为什么要大于1?
因为unserialize()反序列化时,会自动调用__wakeup魔术方法,但是这个方法里面是exit,直接退出了,所以需要绕过exit,不让它执行。绕过的方法就是让序列化字符串中object的个数大于真实的object个数。所以要比1大。
2.至于第二个问题为什么要删除wakeup?
不是删除它,是绕过它,不让它执行。本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报 编辑记录 分享
编辑
预览
- 2022-10-24 09:01回答 1 已采纳 13.二叉树的序列化和反序列化:https://jhon107.blog.csdn.net/article/details/105864931
- 2022-09-26 06:41回答 1 已采纳 不是有:1:就会执行__wakeup(),而是执行unserialize()时,先会调用这个函数__wakeup() PHP中 __wakeup()方法详解-php教程
- 2018-01-01 08:31回答 5 已采纳 http://blog.csdn.net/moudaen/article/details/19122233
- 2024-04-02 02:32LuckyRich1的博客 今天从网络版计算器的代码学习协议,序列化和反序列化如何编写,不过对于序列化和反序列化我们还有现成的,这里我们主要学习Json的使用,以后再也不用自己序列化和反序列化了,但是并没有说不能自定义协议。...
- 2021-05-14 10:22回答 5 已采纳 可以通过重载QDataStream类,具体方法参考: https://blog.csdn.net/houqd2012/article/details/25070987 https://blog.c
- 2022-01-11 09:33回答 1 已采纳 不是,是受你实体的序列化号影响的,建议提取一个顶级类使用相同的序列化号,或者存的时候用json字符串,就没有序列化的问题了采纳一下
- 2020-11-25 01:23回答 2 已采纳 你的data里面用的是relationsku,SeckillSesssionsWithSkus里面的是relationSkus,一个小写s,一个大写S
- 2021-11-26 07:48爱学习的廖某的博客 一、为什么要序列化 1、存在堆栈空间中的实例对象在java进程执行结束时,内存中的对象会被gc回收 --> 无法在新的程序中使用该对象 2、远程接口调用,两个服务器中的内存并不共享,例如dubbo中RPC远程调用,...
- 2018-04-01 22:49回答 2 已采纳 这种解决无非是几点,一种是大体判断,后台将这段数据转为字符串,判断是否有sql关键字或者“'”单引号! 二,将数据库检索,分为几个部分检索查询,降低关键数据泄露的可能
- 2017-02-26 17:31回答 3 已采纳 你可能需要了解更多关于 ** 实体类为什么要实现序列化接口 **它跟dto和JDBC有关系吗**请看 最重要的两个原因是: 1、将对象的状态保存在存储媒体中以便可以在以后重新创建出完全相同的
- 2021-08-19 06:38回答 2 已采纳 JSON.parse()
- 2022-11-17 03:36E1gHt_1的博客 漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能...
- 2023-06-05 13:53rygttm的博客 单进程,多进程,多线程,线程池,守护进程化版本的TCP服务器设计,自定义协议和序列化/反序列化的TCP服务器,使用现成的json序列化方案,网络通信的本质和处理黏包问题的方式,OSI上三层模型和我们的软件分三层的...
- 2022-04-08 12:49拓海AE的博客 php反序列化总结 基础知识 序列化 序列化就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : ...
- 2021-12-31 09:32拈花倾城的博客 Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链...
- 没有解决我的问题, 去提问
问题事件
系统已结题
9月2日
已采纳回答
8月26日-
创建了问题
8月24日