PHP反序列化漏洞

首先说到反序列化漏洞，就必须认识什么是序列化

PHP中的serialize和unserialize就是序列化和反序列化函数

serialize() 函数用于序列化对象或数组，并返回一个字符串。

serialize() 函数序列化对象后，可以很方便的将它传递给其他需要它的地方，且其类型和结构不会改变。

如果想要将已序列化的字符串变回 PHP 的值，可使用 unserialize()。

PHP 版本要求: PHP 4, PHP 5, PHP 7

形象的说，就像去淘宝买桌子，序列化过程就像卖家将桌子拆分为几个部分，然后再打包运送；反序列化就像买家在收到快递后，将桌子重新拼装好。也就是说，序列化的目的是方便数据的传输和存储。

在PHP应用中，序列化和反序列化一般用做缓存，比如session缓存，cookie等。

常见的序列化格式：

• 二进制格式
• 字节数组
• json字符串
• xml字符串

先看最简易的一个例子

//test.php
<?php
	class A{
		public $target="demo";
		function __destruct(){
			echo "destructing!<br/>";
			echo $this->target."<br/>";
			echo "destructed!<br/>";
		}
	}

	$a = $_GET['test'];
	$a_unser = unserialize($a);
?>

明显可以看到这里有反序列化函数unserialize，通过get方式传递了test参数并保存在$a中可以自己写一个序列化的脚本

//test1.php
<?php
	class A{
		public $target = "admin";
	}
	
	$a = serialize(new A);
	echo $a;
?>

注意：想要自己序列化的数据成功被反序列化，在自己的脚本中构造的类要同名（这里是class A），类中的变量也要同名（这里是$target）

先跑一边自己的脚本，得到admin序列化的结果

再将结果传递到test.php中的test参数中

现在将<script>alert(document.cookie)</script>序列化，结果为O:1:"A":1:{s:6:"target";s:29:"<script>alert(/xss/)</script>";}，传参后变成了利用XSS漏洞