PHPGGC 是一个包含 unserialize() 载荷的库,同时提供了一个从命令行或编程方式生成这些载荷的工具。当你在网站上遇到一个没有代码的 unserialize 函数,或者只是尝试构建一个漏洞利用时,这个工具可以让你生成载荷,而无需经历寻找和组合 gadget 的繁琐步骤。它可以被视为 frohoff 的 ysoserial 的等效工具,但适用于 PHP。目前,该工具支持的 gadget 链包括:CodeIgniter4、Doctrine、Drupal7、Guzzle、Laravel、Magento、Monolog、Phalcon、Podio、Slim、SwiftMailer、Symfony、Wordpress、Yii 和 ZendFramework。 之前的时候就想着说记得有一个,但是忘了叫啥了。