1. 信息收集与分析

• 确定目标应用程序：首先需要找到存在反序列化漏洞的 PHP 应用程序。这可能是一个网站、Web 服务、内部系统等。可以通过网络扫描、漏洞报告、安全评估等方式来发现潜在的目标。
• 分析应用程序逻辑：了解目标应用程序的功能和业务逻辑，包括数据的存储、处理和传输方式。确定哪些部分可能涉及到反序列化操作，以及这些操作对应用程序的影响。
• 查找可利用的类和魔术方法：对应用程序的源代码或字节码进行分析，查找包含可被利用的魔术方法的类。常见的可利用魔术方法包括__destruct()、__wakeup()、__call()等。这些方法在特定条件下会自动执行，可能导致安全漏洞。

2. 构造恶意序列化数据

• 确定攻击向量：根据目标应用程序的具体情况和可利用的类，确定合适的攻击向量。例如，如果目标应用程序在反序列化对象时执行了数据库查询操作，可以考虑构造恶意的 SQL 语句来进行 SQL 注入攻击；如果可以执行系统命令，可以构造命令执行的 payload。
• 利用魔术方法的逻辑漏洞：针对可利用的魔术方法，构造恶意的序列化数据，以触发这些方法中的漏洞。例如，如果__destruct()方法中存在文件删除操作，可以构造一个对象，使其在销毁时删除重要文件。以下是一个简单的示例

  class EvilClass {public function __destruct() {unlink('/path/to/important/file.txt');}
  }$evilObj = new EvilClass();
  $serializedEvil = serialize($evilObj);

• 修改对象属性和引用关系：通过构造序列化数据，可以修改对象的属性值和对象之间的引用关系，从而影响应用程序的正常逻辑。例如，在一个具有权限管理的应用程序中，可以通过修改用户对象的权限属性来提升权限。假设存在以下类：

class User {public $username;public $isAdmin = false;public function __wakeup() {if ($this->isAdmin) {// 执行管理员操作}}
}$userObj = new User();
$userObj->username = 'attacker';
$userObj->isAdmin = true;
$serializedUser = serialize($userObj);

攻击者可以通过构造上述序列化数据，将isAdmin属性设置为true，从而在反序列化后执行管理员操作。

3. 注入恶意序列化数据

• 找到数据注入点：确定应用程序中接受用户输入并进行反序列化的位置。常见的数据注入点包括表单提交、URL 参数、Cookie、文件上传等。通过分析应用程序的请求处理逻辑和代码，可以找到这些注入点。
• 选择合适的注入方式：根据数据注入点的类型和应用程序的限制，选择合适的注入方式。例如，如果是表单提交，可以使用工具如 Burp Suite 来拦截和修改请求，将恶意序列化数据注入到表单字段中；如果是 URL 参数，可以直接在浏览器地址栏中修改参数值。
• 绕过过滤和验证机制：有些应用程序可能会对用户输入进行过滤和验证，以防止恶意数据的注入。攻击者需要尝试绕过这些机制，例如使用编码、加密、混淆等技术来隐藏恶意序列化数据的真实内容，使其能够通过验证并被正确反序列化。

4. 触发漏洞并执行攻击

• 发送恶意请求：将包含恶意序列化数据的请求发送到目标应用程序，触发反序列化操作。根据注入点的不同，可以使用不同的工具和方法来发送请求，如浏览器、curl 命令、HTTP 客户端库等。
• 监控和验证攻击效果：观察应用程序的响应和行为，验证攻击是否成功。如果攻击成功，可能会导致系统命令执行、数据篡改、权限提升等预期的效果。例如，如果是执行系统命令的攻击，可以检查服务器上是否执行了相应的命令；如果是权限提升攻击，可以尝试访问受限制的功能和资源。