PHP反序列化详解（二）——PHP魔术方法与PHP反序列化漏洞

今天继续给大家介绍渗透测试相关知识，本文主要内容是PHP反序列化详解（二）——PHP魔术方法与PHP反序列化漏洞。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、PHP魔术方法详解

在涉及到面向对象的编程中，PHP自身提供了一些魔术方法，之所以被称为魔术方法，是因为这些特殊的方法不需要再代码中去显示的调用，而是在一些特定的场景下被触发。
PHP魔术方法及其调用时机如下表所示：

魔术方法	调用时机
__wakeup()	当进行反序列化操作时，会执行这个函数
__sleep()	当进行序列化操作时，会执行这个函数
__destruct()	当对象被销毁时，会执行这个函数
__construct()	当对象被创建时，会执行这个函数
__call()	当对象被调用不可访问的方法时，会执行这个函数
__callstatic()	当对象在静态上下文中调用不可访问的方法时，会执行这个函数
__get()	当对象被读取不可访问的属性或者要读取的属性不存在时，会执行这个函数
__set()	当对象被写入不可访问的属性时，会执行这个函数
__isset()	当对象在不可访问的属性上调用isset()函数或者empty()函数时，会执行这个函数
__unset()	当对象在不可访问的属性上调用unset()函数时，会执行这个函数
__invoke()	当对象被当作函数调用时，会执行这个函数

二、PHP魔术方法示例

下面，我将使用一段简单的代码，对上述部分函数进行简单的实现，以便让读者更好的理解魔术方法的作用。示例代码如下所示：

<?php
class cl1{
	public $param1;
	public $param2;
	function __construct(){
		echo "对象已经被创建，调用了__construct()函数<br>";
		$param1="prama1";
		$param2="param2";
	}
	function __wakeup(){
		echo "对象已经被反序列化，调用了__wakeup()函数<br>";
	}
	function __sleep(){
		echo "对象已经被序列化，调用了__sleep()函数<br>";
	}
	function __toString(){
		echo "对象已经当作字符串输出，调用了__toString()函数<br>";
		return "toString()函数必须输入一个字符串<br>";
	}
	function __destruct(){
		echo "对象已经被销毁，调用了__destruct()函数<br>";
	}
}
$a=new cl1;
echo $a;
$str1=serialize($a);
echo "Attention!!!The value of \$str1 is:".$str1."<br>";
$str2='O:3:"cl1":2:{s:6:"param1";N;s:6:"param2";N;}';
$b=unserialize($str2);
?>

上述代码执行结果如下所示：

在上图中，需要注意两点：
1、为什么最后的__destruct()函数执行了两遍？
这是因为当PHP函数执行结束后，PHP创建的对象就会被自动销毁，至于为什么执行了两遍，是因为最后销毁了2个对象，即一开始创建的对象a，以及反序列化生成的对象b。
2、注意str1变量的值为空！
这是因为序列化执行了__sleep()魔术方法，因此导致了该对象序列化后的结果为空。

三、PHP反序列化漏洞

PHP的反序列化操作可能造成反序列化漏洞。反序列化漏洞主要是产生于面向对象的PHP代码中，且主要是因为魔术方法的不合理调用而产生的。但是，在一些CTF的题目中，也存在一些非面向对象的PHP反序列化考点。
PHP反序列化本身只是一种正常的操作，其危害主要在于Web站点没有对用户发送的数据进行校验，导致用户发送了精心构造的PHP分序列化后的数据，这主要是配合其他漏洞，例如SQL注入、代码执行、目录遍历等。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200