目錄

一、基本概念

1. 序列化

2. 反序列化

二、反序列化漏洞

1. 漏洞產生原因

2. 魔術方法

3.利用魔術方法進行攻擊的示例：

---

一、基本概念

什么是 PHP 反序列化

• PHP 反序列化是將序列化后的字符串恢復為原始 PHP 數(shù)據(jù)類型（如對象、數(shù)組等）的過程。序列化是把數(shù)據(jù)結構轉化為可存儲或傳輸?shù)淖址袷?#xff0c;而反序列化則是其逆操作，將這個字符串重新轉換回原來的數(shù)據(jù)結構，以便在程序中繼續(xù)使用。

1. 序列化-serialize()?函數(shù)

序列化在 PHP 中是一種將復雜數(shù)據(jù)結構轉換為字符串以便存儲或傳輸?shù)闹匾獧C制。它使得可以輕松地保存和恢復對象、數(shù)組等數(shù)據(jù)類型。

通過使用?serialize()?函數(shù)實現(xiàn)、例如：

$arr = array('key1' => 'value1', 'key2' => 'value2');
$serializedData = serialize($arr);
echo $serializedData; 
// 輸出：a:2:{s:4:"key1";s:6:"value1";s:4:"key2";s:6:"value2";}

• 序列化的過程：

  • php中的serialize()函數(shù)負責將給定的數(shù)據(jù)結構轉換為序列化字符串。例如，對于一個包含多個鍵值對的關聯(lián)數(shù)組，序列化后的字符串會清晰地展示每個鍵值對的表示形式。序列化的格式通常以特定的字符開頭，后面跟著數(shù)據(jù)結構的描述信息。例如，對于數(shù)組，通常以a:開頭，接著是數(shù)組元素的數(shù)量，然后是一系列鍵值對的描述。如一個簡單的數(shù)組$arr = array('name' => 'John', 'age' => 30);，序列化后可能是a:2:{s:4:"name";s:4:"John";s:3:"age";i:30;}。其中，a:2表示這是一個包含兩個元素的數(shù)組，s:4:"name";s:4:"John"表示鍵為長度為 4 的字符串name，對應的值為長度為 4 的字符串John，s:3:"age";i:30表示鍵為長度為 3 的字符串age，對應的值為整數(shù) 30。
  • 對于對象的序列化，會包含對象的類名以及各個屬性的信息。如果對象的類中定義了魔術方法，這些方法也會在序列化過程中被考慮進去，但通常不會直接體現(xiàn)在序列化后的字符串中，而是在反序列化時根據(jù)特定的規(guī)則觸發(fā)相應的魔術方法執(zhí)行。

• 序列化的用途：

  • 數(shù)據(jù)存儲：在需要將數(shù)據(jù)保存到文件、數(shù)據(jù)庫或其他持久存儲介質時，序列化可以將復雜的數(shù)據(jù)結構轉換為易于存儲的字符串形式。例如，在一個用戶信息管理系統(tǒng)中，可以將用戶對象序列化后存儲到數(shù)據(jù)庫中，以便在需要時恢復用戶的狀態(tài)。
  • 網(wǎng)絡傳輸：當需要在不同的系統(tǒng)或組件之間傳輸數(shù)據(jù)時，序列化可以確保數(shù)據(jù)以一種通用的格式進行傳輸。例如，在一個分布式應用中，客戶端可以將請求數(shù)據(jù)序列化后發(fā)送給服務器，服務器再將接收到的序列化數(shù)據(jù)反序列化以處理請求。

2. 反序列化-unserialize()?函數(shù)

反序列化則是將序列化后的字符串還原為原始數(shù)據(jù)結構的操作，使用?unserialize()?函數(shù)。例如：

$serializedData = 'a:2:{s:4:"key1";s:6:"value1";s:4:"key2";s:6:"value2";}';
$originalArr = unserialize($serializedData);
print_r($originalArr); 
// 輸出：Array ( [key1] => value1 [key2] => value2 )

• 反序列化的過程：

  • php 中的unserialize()函數(shù)用于執(zhí)行反序列化操作。它接受一個序列化后的字符串作為參數(shù)，并嘗試將其轉換回原始的數(shù)據(jù)結構。在反序列化過程中，PHP 解析器會根據(jù)序列化字符串的格式，逐步還原出數(shù)據(jù)結構的各個部分。對于數(shù)組，會根據(jù)字符串中的鍵值對信息重新構建數(shù)組。對于對象，會根據(jù)類名創(chuàng)建對象，并恢復對象的屬性值。如果序列化字符串中包含對象的引用，反序列化過程也會正確處理這些引用，確?；謴秃蟮膶ο笾g的關系與序列化前一致。
  • 例如，對于前面序列化得到的字符串a:2:{s:4:"name";s:4:"John";s:3:"age";i:30;}，使用unserialize()函數(shù)后，將得到原始的數(shù)組array('name' => 'John', 'age' => 30)。

• 反序列化的用途：

  • 數(shù)據(jù)恢復：從數(shù)據(jù)庫或文件中讀取先前存儲的序列化數(shù)據(jù)，并將其反序列化以恢復數(shù)據(jù)的原始狀態(tài)。例如，在一個電子商務網(wǎng)站中，用戶的購物車信息可以在用戶登錄時從數(shù)據(jù)庫中讀取并反序列化，以便繼續(xù)上次的購物流程。
  • 網(wǎng)絡通信：在接收來自其他系統(tǒng)的序列化數(shù)據(jù)時，進行反序列化以獲取原始的數(shù)據(jù)結構，以便進行進一步的處理。例如，在一個微服務架構中，服務之間的通信可能會涉及到序列化和反序列化數(shù)據(jù)。

二、反序列化漏洞

1. 漏洞產生原因

PHP 反序列化漏洞主要是由于應用程序在處理用戶輸入的序列化數(shù)據(jù)時沒有進行充分的驗證和過濾，導致攻擊者可以構造惡意的序列化數(shù)據(jù)來執(zhí)行任意代碼或進行其他惡意操作。

• 用戶輸入的不可信性：

  • 在很多應用程序中，用戶可以通過各種方式提供數(shù)據(jù)，這些數(shù)據(jù)可能會被序列化和反序列化。例如，用戶提交的表單數(shù)據(jù)、從外部 API 接收的數(shù)據(jù)或者從文件中讀取的數(shù)據(jù)。如果應用程序沒有對這些數(shù)據(jù)進行嚴格的驗證，攻擊者就可以構造惡意的序列化數(shù)據(jù)并將其提交給應用程序進行反序列化。
  • 例如，一個社交網(wǎng)絡應用允許用戶上傳自定義的頭像圖片，并將圖片的元數(shù)據(jù)（如尺寸、格式等）序列化后存儲在數(shù)據(jù)庫中。如果攻擊者能夠篡改上傳的圖片元數(shù)據(jù)，使其包含惡意的序列化數(shù)據(jù)，那么當應用程序從數(shù)據(jù)庫中讀取并反序列化這些數(shù)據(jù)時，就可能觸發(fā)漏洞。

• 危險的反序列化操作：

  • 當應用程序在反序列化過程中執(zhí)行了一些敏感操作時，就可能存在安全風險。例如，如果一個類的魔術方法（如__wakeup()、__destruct()等）中包含了危險的操作，如執(zhí)行系統(tǒng)命令、訪問敏感文件或進行數(shù)據(jù)庫操作，而應用程序又對用戶輸入的序列化數(shù)據(jù)進行反序列化，那么攻擊者就可以構造惡意的序列化數(shù)據(jù)來觸發(fā)這些危險操作。
  • 以__destruct()方法為例，這個方法在對象被銷毀時自動調用。如果一個類的__destruct()方法中包含了執(zhí)行系統(tǒng)命令的代碼，攻擊者可以構造一個包含該類對象的序列化字符串，并通過某種方式讓應用程序反序列化這個字符串。當應用程序銷毀這個對象時，就會執(zhí)行__destruct()方法中的惡意代碼。

2. 魔術方法

在 PHP 中，魔術方法是一些以雙下劃線開頭和結尾的特殊方法，它們在特定的情況下會自動被調用。在反序列化過程中，一些魔術方法可能會被惡意利用來執(zhí)行攻擊代碼。

• 常見的魔術方法及其作用：

  • __construct()：在對象創(chuàng)建時調用。通常用于初始化對象的屬性。在反序列化過程中，如果一個類定義了__construct()方法，并且反序列化的對象是該類的實例，那么在反序列化完成后，會自動調用這個方法。攻擊者可以通過構造惡意的序列化數(shù)據(jù)，使得在反序列化過程中創(chuàng)建的對象的__construct()方法執(zhí)行惡意代碼。
  • __destruct()：在對象銷毀時調用。這個方法可以用于釋放資源或執(zhí)行一些清理操作。如果一個類的__destruct()方法中包含了危險的操作，如執(zhí)行系統(tǒng)命令或訪問敏感文件，攻擊者可以通過反序列化包含該類對象的序列化數(shù)據(jù)，然后等待對象被銷毀時觸發(fā)__destruct()方法中的惡意代碼。
  • __wakeup()：在使用unserialize()時自動調用。這個方法通常用于在反序列化過程中重新初始化對象的屬性或執(zhí)行一些其他的操作。攻擊者可以在類的__wakeup()方法中插入惡意代碼，當應用程序反序列化包含該類對象的序列化數(shù)據(jù)時，就會執(zhí)行__wakeup()方法中的惡意代碼。
  • __sleep()：在使用serialize()時調用。這個方法可以用于指定在序列化過程中需要保存哪些屬性，或者進行一些其他的準備工作。攻擊者可以通過分析類的__sleep()方法，了解哪些屬性會被序列化，然后構造惡意的序列化數(shù)據(jù)來修改這些屬性的值，從而在反序列化后執(zhí)行惡意操作。

• 3.利用魔術方法進行攻擊的示例：

  • 以下是一個利用__destruct()方法進行攻擊的示例代碼：

class EvilClass {public function __destruct() {// 惡意代碼，比如執(zhí)行系統(tǒng)命令system('rm -rf /'); }
}$evilObj = new EvilClass();
$serializedEvil = serialize($evilObj);
// 假設這里攻擊者可以控制傳入 unserialize 的數(shù)據(jù)
unserialize($serializedEvil); 

在這個例子中，EvilClass類的__destruct()方法中包含了執(zhí)行危險系統(tǒng)命令的代碼。如果攻擊者能夠將序列化后的$evilObj對象傳遞給應用程序進行反序列化，那么當對象被銷毀時，就會執(zhí)行__destruct()方法中的惡意代碼，刪除系統(tǒng)中的所有文件。