PHP反序列化详解（二）——PHP魔术方法与PHP反序列化漏洞

今天继续给大家介绍渗透测试相关知识，本文主要内容是PHP反序列化详解（二）——PHP魔术方法与PHP反序列化漏洞。

免责声明：

本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！

再次强调：严禁对未授权设备进行渗透测试！

一、PHP魔术方法详解

在涉及到面向对象的编程中，PHP自身提供了一些魔术方法，之所以被称为魔术方法，是因为这些特殊的方法不需要再代码中去显示的调用，而是在一些特定的场景下被触发。

PHP魔术方法及其调用时机如下表所示：

二、PHP魔术方法示例

下面，我将使用一段简单的代码，对上述部分函数进行简单的实现，以便让读者更好的理解魔术方法的作用。示例代码如下所示：

<?phpclass cl1{public $param1;public $param2;function __construct(){echo "对象已经被创建，调用了__construct()函数<br>";$param1="prama1";$param2="param2";}function __wakeup(){echo "对象已经被反序列化，调用了__wakeup()函数<br>";}function __sleep(){echo "对象已经被序列化，调用了__sleep()函数<br>";}function __toString(){echo "对象已经当作字符串输出，调用了__toString()函数<br>";return "toString()函数必须输入一个字符串<br>";}function __destruct(){echo "对象已经被销毁，调用了__destruct()函数<br>";}}$a=new cl1;echo $a;$str1=serialize($a);echo "Attention!!!The value of \$str1 is:".$str1."<br>";$str2='O:3:"cl1":2:{s:6:"param1";N;s:6:"param2";N;}';$b=unserialize($str2);?>

上述代码执行结果如下所示：

在上图中，需要注意两点：

1、为什么最后的__destruct()函数执行了两遍？

这是因为当PHP函数执行结束后，PHP创建的对象就会被自动销毁，至于为什么执行了两遍，是因为最后销毁了2个对象，即一开始创建的对象a，以及反序列化生成的对象b。

2、注意str1变量的值为空！

这是因为序列化执行了__sleep()魔术方法，因此导致了该对象序列化后的结果为空。

三、PHP反序列化漏洞

PHP的反序列化操作可能造成反序列化漏洞。反序列化漏洞主要是产生于面向对象的PHP代码中，且主要是因为魔术方法的不合理调用而产生的。但是，在一些CTF的题目中，也存在一些非面向对象的PHP反序列化考点。

PHP反序列化本身只是一种正常的操作，其危害主要在于Web站点没有对用户发送的数据进行校验，导致用户发送了精心构造的PHP分序列化后的数据，这主要是配合其他漏洞，例如SQL注入、代码执行、目录遍历等。

原创不易，转载请说明出处：/weixin_40228200