PHP反序列化漏洞简介

要学习PHP反序列漏洞，先了解下PHP序列化和反序列化是什么东西。

php程序为了保存和转储对象，提供了序列化的方法，php序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串，但仅保留对象里的成员变量，不保留函数方法。

php序列化的函数为serialize。反序列化的函数为unserialize。

序列化

举个栗子：

<?phpclass Test{         public$a = 'ThisA';         protected$b = 'ThisB';         private$c = 'ThisC';         publicfunction test1(){                  return'this is test1 ';         }}$test = new Test();var_dump(serialize($test));?>

输出：

解释一下：

O代表是对象；:4表示改对象名称有4个字符；:”Test”表示改对象的名称；:3表示改对象里有3个成员。

接着是括号里面的。我们这个类的三个成员变量由于变量前的修饰不同，在序列化出来后显示的也不同。

第一个变量a序列化后为 s:1:”a”;s:5:”ThisA”;

由于变量是有变量名和值的。所以序列化需要把这两个都进行转换。序列化后的字符串以分号分割每一个变量的特性。

这个要根据分号来分开看，分号左边的是变量名，分号右边的是变量的值。

先看左边的。其实都是同理的。s表示是字符串，1表示该字符串中只有一个字符，”a”表示该字符串为a。右边的同理可得。

第二个变量和第一个变量有所不同，多了个乱码和 * 号。这是因为第一个变量a是public属性，而第二个变量b是protected属性，php为了区别这些属性所以进行了一些修饰。这个乱码查了下资料，其实是 %00（url编码，hex也就是0x00）。表示的是NULL。所以protected属性的表示方式是在变量名前加个%00*%00

第三个变量的属性是private。表示方式是在变量名前加上%00类名%00

可以看到虽然Test类中有test1这个方法，但是序列化后的字符串中并没有包含这个方法的信息。所以序列化不保存方法。

反序列化

<?phpclass Test{         public$a = 'ThisA';         protected$b = 'ThisB';         private$c = 'ThisC';         publicfunction test1(){                  return'this is test1 ';         }}$test = new Test();$sTest = serialize($test);$usTest = unserialize($sTest);var_dump($usTest);?>

输出：

可以看到类的成员变量被还原了，但是类方法没有被还原，因为序列化的时候就没保存方法。

魔术方法

大概了解了php序列化和序列化的过程，那么就来介绍一下相关的魔术方法。

__construct 当一个对象创建时被调用

__destruct 当一个对象销毁时被调用

__toString 当一个对象被当作一个字符串使用

__sleep 在对象被序列化之前运行

__wakeup 在对象被反序列化之后被调用

直接举栗子吧：

<?phpclassTest{         public function __construct(){                  echo 'construct run';         }         public function __destruct(){                  echo 'destruct run';         }         public function __toString(){                  echo 'toString run';         }         public function __sleep(){                  echo 'sleep run';         }         public function __wakeup(){                  echo 'wakeup run';         }}/**/echo'new了一个对象，对象被创建，执行__construct</br>';$test= new Test();/**/echo'</br>serialize了一个对象，对象被序列化，先执行__sleep，再序列化</br>';$sTest= serialize($test);/**/echo'</br>unserialize了一个序列化字符串，对象被反序列化，先反序列化，再执行__wakeup</br>';$usTest= unserialize($sTest);/**/echo'</br>把Test这个对象当做字符串使用了，执行__toString</br>';$string= 'hello class ' . $test;/**/echo'</br>程序运行完毕，对象自动销毁，执行__destruct</br>';?>

输出：

可以看到有一个警告一个报错，是因为__sleep函数期望能return一个数组，而__toString函数则必须返回一个字符串。由于我们都是echo的没有写return，所以引发了这些报错，那么我们就按照报错的来，要什么加什么。

输出：

现在只需要明白这5个魔法函数的执行顺序即可，至于里面的代码就要看程序员或者出题人怎么写了。欢迎大佬指点。