参考:

利用条件

  • 存在反序列化操作并且反序列化的值可控。
  • 存在可以触发魔术方法的类。

以上只能使存在反序列化漏洞的网站可以触发反序列化漏洞,但是其受到的影响受限于我们构造的漏洞链的危害程度。

魔术方法

__sleep()和__wakeup()

sleep()执行于serialize操作执行之前。
wakeup()执行于反序列化操作后的第一步,该步骤在php一些版本中可被绕过,但其较为依赖__destruct 魔术方法的存在,因为在我们绕过wakup的执行后,其如果存在析构函数,会调用析构函数结束类。
demo.php

<?php
class test{
    public $a;
    public $b;
    public function __construct($bb){
        $this->a='1';
        $this->b=$bb;
        echo "__construct"."\n";
    }
    public function __sleep(){
        echo "sleep"."\n";
        return array('a');
    }
    public function __wakeup(){
        echo "wakeup"."\n";
    }
    public function __destruct(){
        echo $this->a;
        echo "__destruct"."\n";
    }
}
$a=new test('b');
$ar = serialize($a);
echo $ar."\n";
echo "111111"."\n";
print_r(@unserialize('O:4:"test":2:{s:1:"a";s:1:"1";}')); //O:4:"test":1:{s:1:"a";s:1:"1";}
?>

__toString()

toString() 方法用于一个类被当成字符串时应怎样回应(PHP 5.2.0 之前,__toString()方法只有在直接使用于 echo 或 print 时才能生效)

<?php
class TestClass{
    public $foo;
    public function __construct($foo) {
        $this->foo = $foo;
    }

    public function __toString() {
        return $this->foo;
    }
}
$class = new TestClass('Hello');
echo $class;
?>

__invoke()

当尝试以调用函数的方式调用一个对象时

<?php
class CallableClass 
{
    function __invoke($x) {
        var_dump($x);
    }
}
$obj = new CallableClass;
$obj(5);//int(5)
var_dump(is_callable($obj)); //bool(true)
?>

__set()、__get()、__isset()、__unset()

在给不可访问属性赋值时,__set()会被调用。
读取不可访问属性的值时,__get()会被调用。
当对不可访问属性调用isset()或 empty() 时,__isset()会被调用。
当对不可访问属性调用unset()时,__unset()会被调用。
demo.php

<?php
class PropertyTest {
    //  被重载的数据保存在此  
    private $data = array();
     //  重载不能被用在已经定义的属性  
    public $declared = 1;
     //  只有从类外部访问这个属性时,重载才会发生 
    private $hidden = 2;

    public function __set($name, $value) {
        echo "Setting '$name' to '$value'\n";
        $this->data[$name] = $value;
    }
    public function __get($name) {
        echo "Getting '$name'\n";
        if (array_key_exists($name, $this->data)) {
            return $this->data[$name];
        }
        $trace = debug_backtrace();
        trigger_error(
            'Undefined property via __get():'.$name.' in ' . $trace[0]['file'] .'on line '.$trace[0]['line'],E_USER_NOTICE);
        return null;
    }
    //  PHP 5.1.0之后版本 
    public function __isset($name) {
        echo "Is '$name' set?\n";
        return isset($this->data[$name]);
    }
    //  PHP 5.1.0之后版本 
    public function __unset($name) {
        echo "Unsetting '$name'\n";
        unset($this->data[$name]);
    }
    // 非魔术方法  
    public function getHidden() {
        return $this->hidden;
    }
}

echo "<pre>\n";
$obj = new PropertyTest;
$obj->a = 1;
echo $obj->a . "\n\n";
var_dump(isset($obj->a));
unset($obj->a);
var_dump(isset($obj->a));
echo "\n";
echo $obj->declared . "\n\n";
echo "Let's experiment with the private property named 'hidden':\n";
echo "Privates are visible inside the class, so __get() not used...\n";
echo $obj->getHidden() . "\n";
echo "Privates not visible outside of class, so __get() is used...\n";
echo $obj->hidden . "\n";
?>

__call和__callStatic

在对象中调用一个不可访问方法时,__call()会被调用。
在静态上下文中调用一个不可访问方法时,__callStatic()会被调用。 demo.php

<?php
class MethodTest {
    public function __call($name, $arguments) {
        // 注意: $name 的值区分大小写
        echo "Calling object method '$name' "
             . implode(', ', $arguments). "\n";
    }
    /**  PHP 5.3.0之后版本  */
    public static function __callStatic($name, $arguments) {
        // 注意: $name 的值区分大小写
        echo "Calling static method '$name' "
             . implode(', ', $arguments). "\n";
    }
}
$obj = new MethodTest;
$obj->runTest('in object context');

MethodTest::runTest('in static context');  // PHP 5.3.0之后版本
?>

__clone

当复制完成时,如果定义了__clone()方法,则新创建的对象(复制生成的对象)中的__clone()方法会被调用,可用于修改属性的值(如果有必要的话)。
demo.php

<?php
class SubObject
{
    static $instances = 0;
    public $instance;

    public function __construct() {
        $this->instance = ++self::$instances;
    }
    public function __clone() {
        $this->instance = ++self::$instances;
    }
}

class MyCloneable{
    public $object1;
    public $object2;

    function __clone(){
        // 强制复制一份this->object, 否则仍然指向同一个对象
        $this->object1 = clone $this->object1;
    }
}

$obj = new MyCloneable();

$obj->object1 = new SubObject();
$obj->object2 = new SubObject();

$obj2 = clone $obj;

print("Original Object:\n");
print_r($obj);

print("Cloned Object:\n");
print_r($obj2);

?>

results matching ""

    No results matching ""