用户可控反序列化→魔术方法→魔术方法中调用的其他函数→同名函数或通过传递可调用的函数→敏感操作
序列化的内容只有类名和成员变量,所以可控点是,类名和成员变量的值。
通过控制类名、可以指定反序列化的类,通过控制变量的值,就可以影响代码执行流程。然后按照我们的期望,将这些“影响”连接在一起,就可以控制代码的执行。
序列化之后的字符串构成:
序列化的内容只有类名和成员变量 成员方法不会被序列化
在序列化时,会执行构造函数,所以就可以通过构造函数来控制各属性的值,得到我们想要属性值然后序列化这些属性值
多加了几个方法,最后输出的还是一样的:
但是添加构造方法之后,序列化的值就改变了,因为序列化的过程会新建对象,新建对象就会调用构造函数:
<?php
class key{
public $a="abc";
public $b=123;
public function __construct(){
$this->a="flag{123456}";
$this->b=new key1();
}
}
class key1{}
echo serialize(new key());
//O:3:"key":2:{s:1:"a";s:12:"flag{123456}";s:1:"b";O:4:"key1":0:{}}
| 类型 | 结构 |
|---|---|
| String | s:size:value; |
| Integer | i:value; |
| Boolean | b:value;(保存1或0) |
| Null | N; |
| Array | a:size:{key definition;value definition;(repeated per element)} |
| Object | O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)} |
__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发
<?php
class A{
public $a=11;
public function __construct($b){ //2
$this->a=$b;
echo "A构造函数\n";
}
public function __wakeup(){
echo "A苏醒函数\n";
}
public function __destruct(){
echo "A析构函数first\n"; //3
echo $this->a."aaa\n";
echo "A析构函数second\n"; //5
}
}
class B{
public $x=1;
public function __construct($b){ //1
$this->x=$b;
echo "B构造函数\n";
}
public function __toString(){ //4
return "flag{a_b_c}";
}
public function __destruct(){
echo "B析构函数\n"; //6
}
}
echo urlencode(serialize(new A(new B("Aa"))));
//O:1:"A":1:{s:1:"a";O:1:"B":1:{s:1:"x";s:2:"Aa";}}
//O%3A1%3A%22A%22%3A1%3A%7Bs%3A1%3A%22a%22%3BO%3A1%3A%22B%22%3A1%3A%7Bs%3A1%3A%22x%22%3Bs%3A2%3A%22Aa%22%3B%7D%7D
//先执行每个对象的构造函数,再执行析构函数
//结果:
//B构造函数
//A构造函数
//A析构函数first
//flag{a_b_c}aaa (只要在构造payload的时候打印出了我们想要的东西,就是构造成功了)
//A析构函数second
//B析构函数
serialize()之后,依次执行:
__construct()
__toString()(如果被特定条件触发了)
__destruct()
析构方法在所有的代码被执行结束之后进行。
<?php
<?php
class A{
public $a=11;
public function __construct($b){
$this->a=$b;
echo "A构造函数\n";
}
public function __wakeup(){
echo "A苏醒函数\n"; //1
}
public function __destruct(){
echo "A析构函数first\n"; //2
echo $this->a."aaa\n";
echo "A析构函数second\n"; //4
}
}
class B{
public $x=1;
public function __construct($b){
$this->x=$b;
echo "B构造函数\n";
}
public function __toString(){
return "flag{a_b_c}"; //3
}
public function __destruct(){
echo "B析构函数\n"; //5
}
}
unserialize($_GET[1]);
//echo urlencode(serialize(new A(new B("Aa"))));
//O:1:"A":1:{s:1:"a";O:1:"B":1:{s:1:"x";s:2:"Aa";}}
//1=O%3A1%3A%22A%22%3A1%3A%7Bs%3A1%3A%22a%22%3BO%3A1%3A%22B%22%3A1%3A%7Bs%3A1%3A%22x%22%3Bs%3A2%3A%22Aa%22%3B%7D%7D
//先执行wakeup函数,再执行触发了的toString函数,最后执行析构函数,就算用到了构造函数改变的值,也**不会主动去执行构造函数**
//结果:
//A苏醒函数
//A析构函数first
//flag{a_b_c}aaa
//A析构函数second
//B析构函数
unserialize()之后,依次执行:
__wakeup()
__toString()(如果被特定条件触发了)
__destruct()
析构方法在所有的代码被执行结束之后进行。
PHP版本:
php5 < 5.6.25
php7 < 7.0.10
把类的属性值加1即可绕过wakeup:
O:5:"hello":1:{s:5:"test4";s:11:"hello,world";}
换成
O:5:"hello":2:{s:5:"test4";s:11:"hello,world";}
(1)echo ($obj) / print($obj) 打印时会触发
(2)反序列化对象与字符串连接时
(3)反序列化对象参与格式化字符串时
(4)反序列化对象与字符串进行==比较时(PHP进行==比较的时候会转换参数类型)
(5)反序列化对象参与格式化SQL语句,绑定参数时
(6)反序列化对象在经过php字符串函数,如 strlen()、addslashes()时
(7)在in_array()方法中,第一个参数是反序列化对象,第二个参数的数组中有toString返回的字符串的时候toString会被调用
(8)反序列化的对象作为 class_exists() 的参数的时候
由于是私有属性,他有自己特殊的格式会在前后加两个 %00 ,所以我们在传输过程中绝对不能忘掉. 反序列化字符串中存在 \x00字符,这个其实是类的私有属性反序列化后的格式,protected 属性也有自己的反序列化格式