yii2反序列化漏洞总结

yii2框架 反序列化漏洞复现 yii 框架

Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。

Yii 是一个通用的 Web 编程框架，即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持，它特别适合开发大型应用， 如门户网站、社区、内容管理系统（CMS）、 电子商务项目和 RESTful Web 服务等。

Yii 当前有两个主要版本：1.1 和 2.0。 1.1 版是上代的老版本，现在处于维护状态。 2.0 版是一个完全重写的版本，采用了最新的技术和协议，包括依赖包管理器 Composer、PHP 代码规范 PSR、命名空间、Traits（特质）等等。 2.0 版代表新一代框架，是未来几年中我们的主要开发版本。

搭建过程

直接官网下载2.0.37，放在phpstudy,修改config/web.php文件里cookieValidationKey的值,这个值没有固定，然后打开目录http://ip/yii2/web

由于是反序列化利用链，我们需要一个入口点，在controllers目录下创建一个Controller:

路由为：http://ip/index.php?r=test/test

controllers/TestController.php