初识PHP反序列化

了解魔术方法：

为什么被称为魔法方法呢？因为是在触发了某个事件之前或之后，魔法函数会自动调用执行，而其他的普通函数必须手动调用才可以执行。PHP 将所有以 __（两个下划线）开头的类方法保留为魔术方法。所以在定义类方法时，除了上述魔术方法，建议不要以 __ 为前缀。

下表为php常见的魔术方法：

方法名	作用
__construct	构造函数，在创建对象时候初始化对象，一般用于对变量赋初值
__destruct	析构函数，和构造函数相反，在对象不再被使用时(将所有该对象的引用设为null)或者程序退出时自动调用
__toString	当一个对象被当作一个字符串被调用，把类当作字符串使用时触发，返回值需要为字符串，例如echo打印出对象就会调用此方法
__wakeup()	使用unserialize时触发，反序列化恢复对象之前调用该方法
__sleep()	使用serialize时触发 ，在对象被序列化前自动调用，该函数需要返回以类成员变量名作为元素的数组(该数组里的元素会影响类成员变量是否被序列化。只有出现在该数组元素里的类成员变量才会被序列化)
__destruct()	对象被销毁时触发
__call()	在对象中调用不可访问的方法时触发，即当调用对象中不存在的方法会自动调用该方法
__callStatic()	在静态上下文中调用不可访问的方法时触发
__get()	读取不可访问的属性的值时会被调用（不可访问包括私有属性，或者没有初始化的属性）
__set()	在给不可访问属性赋值时，即在调用私有属性的时候会自动执行
__isset()	当对不可访问属性调用isset()或empty()时触发
__unset()	当对不可访问属性调用unset()时触发
__invoke()	当脚本尝试将对象调用为函数时触发

触发__tostring的具体场景：

(1)  echo($obj) / print($obj) 打印时会触发

(2) 反序列化对象与字符串连接时

(3) 反序列化对象参与格式化字符串时

(4) 反序列化对象与字符串进行==比较时（PHP进行==比较的时候会转换参数类型）

(5) 反序列化对象参与格式化SQL语句，绑定参数时

(6) 反序列化对象在经过php字符串函数，如 strlen()、addslashes()时

(7) 在in_array()方法中，第一个参数是反序列化对象，第二个参数的数组中有toString返回的字符串的时候toString会被调用

(8) 反序列化的对象作为 class_exists() 的参数的时候

PHP序列化/反序列化

在开发的过程中常常遇到需要把对象或者数组进行序列号存储，反序列化输出的情况。特别是当需要把数组存储到mysql数据库中时，我们时常需要将数组进行序列号操作。

php序列化（serialize）：是将变量转换为可保存或传输的字符串的过程

php反序列化（unserialize）：就是在适当的时候把这个字符串再转化成原来的变量使用

这两个过程结合起来，可以轻松地存储和传输数据，使程序更具维护性。

常见的php系列化和反系列化方式主要有：serialize，unserialize；json_encode，json_decode。 

需要注意的是变量受到不同修饰符（public，private，protected）修饰进行序列化时，序列化后变量的长度和名称会发生变化。

• 使用public修饰进行序列化后，变量$team的长度为4，正常输出。
• 使用private修饰进行序列化后，会在变量$team_name前面加上类的名称，在这里是object，并且长度会比正常大小多2个字节，也就是9+6+2=17。
• 使用protected修饰进行序列化后，会在变量$team_group前面加上*，并且长度会比正常大小多3个字节，也就是10+3=13。

通过对比发现，在受保护的成员前都多了两个字节，受保护的成员在序列化时规则：

1. 受Private修饰的私有成员，序列化时: \x00 +  [私有成员所在类名]  + \x00 [变量名]

 

2. 受Protected修饰的成员，序列化时：\x00 + * + \x00 + [变量名]

 

其中，"\x00"代表ASCII为0的值，即空字节，" * " 必不可少。

 序列化格式中的字母含义：

a - array	b - boolean
d - double	i - integer
o - common object	r - reference
s - string	C - custom object
O - class	N - null
R - pointer reference	U - unicode string

PHP反序列化漏洞

在反序列化过程中，其功能就类似于创建了一个新的对象（复原一个对象可能更恰当），并赋予其相应的属性值。如果让攻击者操纵任意反序列数据， 那么攻击者就可以实现任意类对象的创建，如果一些类存在一些自动触发的方法（魔术方法），那么就有可能以此为跳板进而攻击系统应用。

挖掘反序列化漏洞的条件是：

　　1. 代码中有可利用的类，并且类中有__wakeup()，__sleep()，__destruct()这类特殊条件下可以自己调用的魔术方法。

 

　　2. unserialize()函数的参数可控。

 php序列化复现（一）

<?php
class A{
    var $test = "demo";
    function __destruct(){
        @eval($this->test);
    }
}
$test = $_POST['test'];
$len = strlen($test)+1;
$p = "O:1:\"A\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}"; // 构造序列化对象
$test_unser = unserialize($p); // 反序列化同时触发_destruct函数
?>

代码分析：

如上代码，最终的目的是通过调用__destruct()这个析构函数，将恶意的payload注入，导致代码执行。根据上面的魔术方法的介绍，当程序跑到unserialize()反序列化的时候，会触发__destruct()方法，同时也可以触发__wakeup()方法。但是如果想注入恶意payload，还需要对$test的值进行覆盖，题目中已经给出了序列化链，很明显是对类A的$test变量进行覆盖，将POST接收的phpin佛（）值覆盖所定义的值，这里也可以传入一句话木马等，利用我们的eval危险函数（任意命令执行）进行执行。

 PHP对象注入复现2

web2.php

<?php 
$txt = $_GET["txt"]; 
$file = $_GET["file"]; 
$password = $_GET["password"]; 
if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf"))
{ 
    echo "hello friend!<br>"; 
    if(preg_match("/flag/",$file))
    { 
       echo "不能现在就给你flag哦"; 
       exit(); 
    }
    else
    { 
       include($file); 
       $password = unserialize($password); 
       echo $password; 
    } 
}
else
{ 
       echo "you are not the number of bugku ! "; 
} 
?>

 hint.php

<?php  
class Flag{//flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
            return ("good");
        }  
    }  
}  
?>

题干给了两段代码，让我们获取flag，分析如下：

在web2.php中，我们发现了这一行代码，就是对我们所输入的内容做了限制，第一步先进入这个if语句中。

首先发现了file_get_contents()函数（用于将文件的内容读入到一个字符串中的方法），而且输入的值要为 所要求的，针对这个函数的解决办法，我们可以采用php的伪协议 php://input 来进行绕过 （可以访问请求的原始数据的只读流。即可以直接读取到POST上没有经过解析的原始数据。）

 按照上面分析的方向是对的，但目前我们拿不到flag，原因是对flag进行了限制，只要输入$file=filg就会返回“不能现在就给你flag”；那我们的侧重点就是如何获取这个flag，分析第二个代码（hint.php）

 hint.php文件中使用了魔术方法__tostring()方法，当一个对象被当作一个字符串被调用时即可触发，方法的主要作用是读取并打印传进来的$file，估计是通过反序列化漏洞来读取flag.php的内容。追踪以下调用链，在index.php文件中发现使用echo将反序列化的对象当作字符串打印，此处就会触发__tostring()方法，并且unserialize()内的变量可控，满足反序列化漏洞条件。直接构造payload

 PHP对象注入复现3：

web3.php

<?php
class test{
    var $test = '123';
    function __wakeup(){
        $fp = fopen("flag.php","w");
        fwrite($fp,$this->test);
        fclose($fp);
    }
}
$a = $_GET['id'];
print_r($a);
echo "</br>";
$a_unser = unserialize($a);
require "flag.php";
?>            

如上代码主要通过调用魔术方法__wakeup将$test的值写入flag.php文件中，当调用unserialize()反序列化操作时会触发__wakeup魔术方法，接下来就需要构造传进去的payload，先生成payload：

 在执行unserialize()方法时会触发__wakeup()方法执行，将传入的字符串反序列化后，会替换掉test类里面$test变量的值，将php探针写入flag.php文件中，并通过下面的require引用，导致命令执行。