原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
serialize ()//将一个对象转换成一个字符串
unseriglize ( )//将字符串还原成一个对象
触发: unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法:
参考: https://www.cnblogs.com/20175211lyz/p/11403397.html
演示案例:先搞一把PHP反序列化热身题稳住-无类问题-本地
在橹一把CTF反序列化小真题压压惊-无类执行-实例
然后抗一把CTF反序列化练习题围观下-有类魔术方法触发-本地
最后顶一把网鼎杯2020青龙大真题舒服下-有类魔术方法触发-实例