45、WEB攻防——通用漏洞PHP反序列化POP链构造魔术方法原生类

• 序列化：将java、php等代码中的对象转化为数组或字符串等格式。代表函数serialize()，将一个对象转换成一个字符；
• 反序列化：将数组或字符串等格式还成对象。代表函数unserialize()，将字符串还原成一个对象。
  

PHP反序列化漏洞原理：未对用户输入的序列化字符串进行检测，在反序列化过程中自动触发某些魔术方法，从而导致反序列化漏洞的产生。关键在于魔术方法自动被触发

触发：unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法（不仅仅这些）：

__construct() //构造函数，当对象new的时候自动调用
__destruct() //构造函数，当对象被销毁时被自动调用
__wakeup() //unserialize()时会被自动调用
__invoke() //当尝试以调用函数的方法调用一个对象时，会被自动调用
__call() //在对象上下文调用不可访问的方法时触发
__callStatci() //在静态上下文调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性

• 函数名前面有__的就是魔术方法，如__construct()。
• 在代码中，new会创建一个对象，这时候自动调用__construct()；代码执行结束，会自动销毁对象，此时会自动调用__destruct()。

将一个类demotest进行序列化后得到的序列化数据和发序列话数据如下：

尽管在原对象中cmd变量的值是ipconfig，但是在GET传输过程中，可以修改cmd的值，最终得到自己想要的结果。

黑盒中基本上探测不到反序列化漏洞~

生成POP链什么意思？其实就是构造能够满足unserialize后面代码的类，然后使用serialize生成序列化数据传输到目标中。

反序列化利用大概分为三类：

• 魔术方法的调用逻辑-如触发条件
• 语言原生类的调用逻辑-如SoapClient。原生类就是PHP自带的类。
• 语言自身的安全缺陷-如CVE-2016-7124

入门教学 | Typecho反序列化漏洞分析
PHP原生类的反序列化利用