🎼个人主页：金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持！❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做分享...

目录

php手册

在线php运行

序列化与反序列化

注意: 

结论:

反序列化时,php-->

问题

魔术方法总结:

分类：

php的反序列化漏洞:

1 绕过__wakeup方法

条件：

绕过方法：

2 绕过 +号正则匹配

3 引用绕过相等

4 16进制绕过

5 exception 绕过

6 php反序列化字符逃逸

例: 

---

php手册

PHP: PHP 手册 - Manual

---

在线php运行

php在线运行,在线工具，在线编译IDE_w3cschool  

 

---

序列化与反序列化

序列化是  将 一个对象 变为一个可以传输的字符串.  serialize(对象)  返回  序列化后的字符串.
反序列化 就是将 一个可以传输的字符串 变为一个 可以调用的对象.   unserialize(反序列化后的字符串) 返回 对象.

O:10:"normalUser":4:{s:5:"score";N;s:8:"username";s:5:"admin";s:14:"userpassword";s:8:"admin666";s:11:"*userType";N;}url编码->O%3A10%3A%22normalUser%22%3A4%3A%7Bs%3A5%3A%22score%22%3BN%3Bs%3A8%3A%22username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00user%00password%22%3Bs%3A8%3A%22admin666%22%3Bs%3A11%3A%22%00%2A%00userType%22%3BN%3B%7D

 

---

注意: 

如果属性权限为private，那么序列化后，存储的属性名字为   %00+类名+%00+属性名
如果属性权限为protected，那么序列化后，存储的属性名字为   %00+*+%00+属性名

 

---

<?php
class Animal{public $name;​    function eat(){
​        echo "i can eat";
​    }​    function sleep(){
​        echo "i can sleep";
​    }
}
$a = new Animal();
echo serialize($a);
//可将php.exe的目录添加到全局变量里面实现快速利用.// 对象-> 字符串
O:6:"Animal":1:{s:4:"name";N;}
//O:6:" ":1:{s:4:"name";N;}
解释(翻译)---------------->
// O 有一个对象
// : 下一句
// 6 名字是6个字符
// : 下一句
//"Animal" 内容是Animal
// : 下一句
// 1 对象有一个属性
// : 下一句
// { 对象属性描述开始
// s 属性是一个字符串 string
// : 下一句
// 4 属性名字是4个字符
// : 下一句
// "name" 属性名字是name
// ; 属性名字描述完了
// N 没有值，值为null
// ; 属性值描述完了
// } 对象属性描述完了
将次字符串进行描述----------->class Animal{public $name;
}

结论:

反序列化和类的方法无关，不能把类方法序列化.

---

反序列化时,php-->

// 1 找到反序列化字符串规定的类名字 
// 2 实例化这个类，但是不是调用构造方法
// 3 有了实例化的类对象，对它的属性进行赋值
// 4 执行魔术方法
// 5 返回构造好的对象

---

问题

1 接口是否可以序列化？  no
//接口类是不含属性的,不参与反序列化.
2 匿名类是否可以序列化？ no
//匿名类没有名字(类名)呀,构造不了,,,
3 trait 是否可以序列化？ no

---

魔术方法总结:

1 魔术方法是一类 类的方法.
2 会在序列化和反序列化及其他特殊情况下，自动执行.

分类：

1 __construct 
在实例化一个对象(new)时，会被自动调用.
传参时至少要保持参数的个数相同.
不允许重复声明(一个类只能用一个构造方法)
可以作为非public权限属性的初始化2 __sleep 和 __wakeup方法
序列化时自动调用__sleep方法
返回数组中有属性名才进行反序列化	__sleep3 __destruct方法 析构方法
类对象将要销毁，也就是脚本执行完毕后执行清理工作时自动执行
绕过:
强制将系统的进程kill	
(终端 	浏览器  调用的进程不一样)4 __call 和__callstatic对象执行类不存在的方法时候，会自动调用__call方法直接执行类的不存在的静态方法时，会自动调用__callstatic方法5 __get __set 和 __isset __unset魔术方法
__get  对不可访问属性或不存在属性 进行访问引用时自动调用__set 对不可访问属性或不存在属性 进行写入时自动调用isset($obj->zhi);
unset($obj->zhi);6 __tostring 方法
类的实例和字符串 进行拼接或者作为字符串引用时，会自动调用__tostring方法7 __invoke方法
当类的实例被作为函数名字执行的时候，会自动调用__invoke方法
(将一个对象直接作为函数调用)8 __set_state 方法
文档中说 执行 var_export 时自动调用
var_export($obj);https://www.php.net/manual/zh/language.oop5.magic.php9 __debugInfo 方法的属性修饰符
执行var_dump时自动调用10 __clone方法
当使用clone关键字 ，clone一个对象时，会自动调用.

---

php的反序列化漏洞:

1 有反序列化提交的入口
2 被反序列化的类的魔术方法，有可能被利用
 

1 绕过__wakeup方法

条件：

1 php5至php5.6.25 之间的版本可以绕过
2 php7到php7.0.10 之间的版本可以绕过

绕过方法：

反序列化字符串中表示属性数量的值  大于 大括号内实际属性的数量时 ，wakeup方法会被绕过.
(将属性的个数改大,大大大)
 

---

2 绕过 +号正则匹配

参数有过滤，不让输入  O:数字  的形式，试图防止反序列化某个对象
-->
O:数字 改为  O:+数字  就可以绕过上面的O:数字 过滤
O:+数字
O:+数字
例:
将环境移到本地,进行赋值,得payload,然后POST提交值.+  = %2b详情见--php源码 var.c 里面.

 

---

3 引用绕过相等

使用&符号表示两个变量指向相同的内存引用地址.(原理和内存地址有关)$this->password = &$this->secrect;
// 永远指向右边变量.

---

4 16进制绕过

反序列化后的字符串 不能出现某个关键单词时，可以使用大S绕过O:8:"backdoor":1:{s:4:"name";s:10:"phpinfo();";}
O:8:"backdoor":1:{S:4:"n\97me";s:10:"phpinfo();";}
//ASCII$data='O:8:"backdoor":1:{S:4:"n\97me";s:15:"system(\'calc\');";}';

---

5 exception 绕过

不影响析构方法执行.
0属性-->
data='O:8:"backdoor":0:{};

---

6 php反序列化字符逃逸

1 可以控制某个类中的属性值
2 间接控制了某个类的反序列化字符串
3 由于存在无脑过滤，字符增减，造成 描述中字符串的长度 和实际的不一致
4 从而能够逃逸出若干个字符，实现字符可控，从而闭合前面的双引号
5 实现反序列化字符串的完全可控

例: 

<?phpclass backdoor{public $m;public $c;}$b = new backdoor();$b->m = 'system";s:1:"c";s:7:"notepad";}';
$b->c = 'calc';echo serialize($b);//O:8:"backdoor":2:{s:1:"m";s:6:"system";s:1:"c";s:4:"calc";}
//O:8:"backdoor":2:{s:1:"m";s:6:"system";s:1:"c";s:7:"notepad";}";s:1:"c";s:4:"calc";}
//";s:1:"c";s:7:"notepad";}
//";s:1:"c";s:4:"calc";}//-->
//O:8:"backdoor":2:{s:1:"m";s:31:"system";s:1:"c";s:7:"notepad";}";s:1:"c";s:4:"calc";}
//                                system";s:1:"c";s:7:"notepad";}//如果代码对提交的反序列化的字符串进行了过滤,将里面的内容进行了替换
//比如 fuck -> loveu  (每多一个字符,就相当于加到后面一个字符可控)
//未修正字符长度时,再进行反序列化,就会出现逃逸情况.

 

---