小迪安全学习笔记--第37天：web漏洞--反序列化之PHP和java全解（上)

PHP反序列化

原理:未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

serialize ()//将一个对象转换成一个字符串

unseriglize ( )//将字符串还原成一个对象

触发: unserialize函数的变量可控，文件中存在可利用的类，类中有魔术方法:

参考: https://www.cnblogs.com/20175211lyz/p/11403397.html

演示案例:

先搞一把PHP反序列化热身题稳住-无类问题-本地

在橹一把CTF反序列化小真题压压惊-无类执行-实例

然后抗一把CTF反序列化练习题围观下-有类魔术方法触发-本地

最后顶一把网鼎杯2020青龙大真题舒服下-有类魔术方法触发-实例