php反序列化ctf（Php反序列化pop链原理 重写construct方法）

## PHP 反序列化 CTF 攻略### 简介PHP 反序列化漏洞是 CTF 比赛中常见的 Web 安全漏洞类型，其原理是利用 PHP 反序列化函数 unserialize() 对攻击者可控的序列化字符串进行操作，从而实现任意代码执行等恶意攻击。### 漏洞原理

序列化：

PHP 提供了 serialize() 函数将对象转换为字节流，方便存储和传输。

反序列化：

unserialize() 函数用于将序列化后的字符串还原为 PHP 对象。

魔术方法：

PHP 对象中包含一些特殊的魔术方法，例如 __wakeup()、__destruct() 等，它们会在特定情况下自动调用。

漏洞触发：

当攻击者可以控制传入 unserialize() 函数的序列化字符串时，便可以构造恶意对象，并在反序列化过程中触发魔术方法，执行恶意代码。### 攻击流程1.

寻找反序列化点：

分析代码，寻找调用了 unserialize() 函数的地方，并确认输入是否可控。 2.

构造恶意序列化数据：

根据目标代码的逻辑，构造包含恶意代码的序列化数据。 3.

发起攻击：

将构造好的序列化数据传入反序列化点，触发漏洞，执行恶意代码。### CTF 中常见利用方式#### 1. 对象注入通过构造特定的序列化字符串，将恶意对象注入应用程序中，例如：```php class Evil {public $cmd;public function __destruct() {system($this->cmd);} }$evil = new Evil(); $evil->cmd = 'whoami'; $payload = serialize($evil); ```

利用条件：

应用程序中存在可利用的魔术方法，例如 __destruct()、__wakeup() 等。#### 2. Phar 反序列化Phar 文件是一种 PHP 归档格式，可以包含序列化数据。攻击者可以构造恶意 Phar 文件，并利用 Phar 反序列化漏洞执行代码。```php class Evil {public function __destruct() {echo "Hacked!";} }@unlink("phar.phar"); $phar = new Phar("phar.phar"); $phar->startBuffering(); $phar->setStub(""); $phar->setMetadata(new Evil()); $phar->stopBuffering(); ```

利用条件：

应用程序中存在调用 Phar 文件相关函数的地方，例如 file_exists()、file_get_contents() 等。#### 3. POP 链构造POP（Property Oriented Programming）链，利用多个对象的属性和方法，构造出一条调用链，最终执行恶意代码。

利用条件：

应用程序中存在多个可利用的类和方法，并且攻击者可以控制这些对象的属性。### 防御措施

避免使用 unserialize() 函数：

尽量使用其他安全的数据传输方式，例如 JSON。

严格过滤用户输入：

对用户输入进行严格的过滤和校验，防止恶意数据注入。

使用白名单机制：

限制反序列化的对象类型，只允许白名单中的类进行反序列化。

及时更新安全补丁：

及时更新 PHP 版本和相关组件，修复已知的安全漏洞。### 总结PHP 反序列化漏洞是一种危害性极高的安全漏洞，攻击者可以利用该漏洞执行任意代码，控制服务器。开发人员应重视该漏洞的防御，采取有效的安全措施，保护应用程序安全。

PHP 反序列化 CTF 攻略

简介PHP 反序列化漏洞是 CTF 比赛中常见的 Web 安全漏洞类型，其原理是利用 PHP 反序列化函数 unserialize() 对攻击者可控的序列化字符串进行操作，从而实现任意代码执行等恶意攻击。

漏洞原理* **序列化：** PHP 提供了 serialize() 函数将对象转换为字节流，方便存储和传输。 * **反序列化：** unserialize() 函数用于将序列化后的字符串还原为 PHP 对象。 * **魔术方法：** PHP 对象中包含一些特殊的魔术方法，例如 __wakeup()、__destruct() 等，它们会在特定情况下自动调用。 * **漏洞触发：** 当攻击者可以控制传入 unserialize() 函数的序列化字符串时，便可以构造恶意对象，并在反序列化过程中触发魔术方法，执行恶意代码。

攻击流程1. **寻找反序列化点：** 分析代码，寻找调用了 unserialize() 函数的地方，并确认输入是否可控。 2. **构造恶意序列化数据：** 根据目标代码的逻辑，构造包含恶意代码的序列化数据。 3. **发起攻击：** 将构造好的序列化数据传入反序列化点，触发漏洞，执行恶意代码。

CTF 中常见利用方式

1. 对象注入通过构造特定的序列化字符串，将恶意对象注入应用程序中，例如：```php class Evil {public $cmd;public function __destruct() {system($this->cmd);} }$evil = new Evil(); $evil->cmd = 'whoami'; $payload = serialize($evil); ```**利用条件：** 应用程序中存在可利用的魔术方法，例如 __destruct()、__wakeup() 等。

2. Phar 反序列化Phar 文件是一种 PHP 归档格式，可以包含序列化数据。攻击者可以构造恶意 Phar 文件，并利用 Phar 反序列化漏洞执行代码。```php class Evil {public function __destruct() {echo "Hacked!";} }@unlink("phar.phar"); $phar = new Phar("phar.phar"); $phar->startBuffering(); $phar->setStub(""); $phar->setMetadata(new Evil()); $phar->stopBuffering(); ```**利用条件：** 应用程序中存在调用 Phar 文件相关函数的地方，例如 file_exists()、file_get_contents() 等。

3. POP 链构造POP（Property Oriented Programming）链，利用多个对象的属性和方法，构造出一条调用链，最终执行恶意代码。**利用条件：** 应用程序中存在多个可利用的类和方法，并且攻击者可以控制这些对象的属性。

防御措施* **避免使用 unserialize() 函数：** 尽量使用其他安全的数据传输方式，例如 JSON。 * **严格过滤用户输入：** 对用户输入进行严格的过滤和校验，防止恶意数据注入。 * **使用白名单机制：** 限制反序列化的对象类型，只允许白名单中的类进行反序列化。 * **及时更新安全补丁：** 及时更新 PHP 版本和相关组件，修复已知的安全漏洞。

总结PHP 反序列化漏洞是一种危害性极高的安全漏洞，攻击者可以利用该漏洞执行任意代码，控制服务器。开发人员应重视该漏洞的防御，采取有效的安全措施，保护应用程序安全。