pop链 php,POP链

最新推荐文章于 2024-07-31 09:50:42 发布
最新推荐文章于 2024-07-31 09:50:42 发布
阅读量533 收藏
点赞数
文章标签: pop链 php

在二进制安全领域,Return-oriented programming(ROP)是一种常用的绕过防护攻击方式。攻击者可以利用内存中已有的进程片段(称作gadgets),通过汇集这些进程片构建一个攻击途径(称作gadget chains)。

在2009年,Esser提出这种代码复用产生攻击的思想在PHP系统中同样适用[1][2]。

0x01 PHP对象注入攻击

PHP对象注入攻击本质上属于一种代码复用技术。那么为何代码可以复用?得益于魔术方法,在一定的条件下魔术方法可以不被调用直接触发,得以代码复用。

这种触发形式层层相扣,在魔术方法中触发另一个类的魔术方法,这便形成了POP链。

d68187f853dc1ebf8d6fa55826fdcbb9.png

POP链的入口点在哪?

触发魔术方法,我们需要这个类在内存中的对象值。而像数组、对象这种复杂数据结构在非内存使用的情况下通常是以序列化形式存在。我的理解是将复杂数据结构转化成另一中便于存储或者传输的形式存在,比如存入数据库,显然一个字符串更合适。当进程调用时在还原成原来的形式调入内存,这就是反序列化。

反序列化的对象当然能触发类中的魔术方法,从而触发POP链。string serialize ( mixed $value )

serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。

这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。

0x02 TypechoPOP链

typecho/install.php

03f722f069bbcecaab7e912cb541139f.png

第230行反序列化操作,在内存中还原数据。

第232行new了一个Db类,触发指定__construct函数,参数可控

ee85903c1e86fcf613eb8aea7d57b2b3.png

第120行进行了字符串连接操作,如果$adapterName是一个object结构数据,触发__toString函数。在项目中搜索包含__toString方法的任意类

4d1974c9a32dad374764ad4014763342.png搜索项目发现了3处包含__toString方法的

找到下一个可利用的魔术方法点或者漏洞触发点

Typecho/Feed.php->toString()

60ac4a05d24c9df8556cf87ec11b29e2.png

60ac4a05d24c9df8556cf87ec11b29e2.png

**在第290行,出现了object->attr结构,对象名可控,此时,只要类内不包含screenName这个属性,便会触发get方法。**在项目中搜索包含__get方法&&没有screenName属性的任意类

2cf92b76ffbf37716245fa683ea56121.png

搜索项目发现了13处包含__get方法的类(盗图)

/Typecho/Request.php

e1e325974ae6e796bee034abe0c4f566.png

调函数

69d8d43f9cbfba1a15edfaa1992705a7.png

再调函数

e4d2941e197aaba78bbed61bf1d877a0.png

最终跳到了第164行,两个参数都可控,命令执行。

58a03025678bf26a76d4a57cb38ff764.png

简单总结一下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19$config=unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));

$db=new Typecho_Db($config['adapter'], $config['prefix']);

Public function ($adapterName,$prefix='typecho_')

$adapterName='Typecho_Db_Adapter_'.$adapterName;

Public function__toString()

'.htmlspecialchars($this->_subTitle).'

Public function ($key)

Return $this->get($key);

Public function get($key,$default=NULL)

Return $this->_applyFilter($value);

Private function_applyFilter($value)

call_user_func($filter,$value);

Peepeepoopoo
关注
21-5 PHP反序列化漏洞-POP构造
weixin_43263566的博客
01-20 448
举例来说,假设有以下调用关系:A --> B,B --> C,A --> B --> C。在读代码时,会遇到很多干扰函数或代码,这些函数或代码没有任何作用,只会干扰我们的阅读。总之,要想有效地读懂代码,需要对编程语言的语法和常见函数有一定的了解,同时要有耐心和细心,逐行分析代码,找出关键点。方法中使用了正则表达式检查,我们需要构造一个恶意的序列化对象,以绕过正则表达式的检测。首先,根据代码中的逻辑,我们需要构造一个经过序列化的有效对象,并将其作为。: 这是一个构造函数的魔术方法,在创建类的实例时自动调用。
POP的构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4379
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP中的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问...
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2551
最近开始刷攻防世界的web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
php审计之pop挖掘
weixin_51441054的博客
06-20 489
PHP审计之pop挖掘
POP
最新发布
qq_52579508的博客
07-31 574
1 : 如何控制你的对象里的成员属性的对象是那一个??2: 学习使用反推法。
php中的pop构造
blackguest07的博客
03-02 1492
php中反序列化漏洞的原理,pop的构造。
php反序列化之pop构造
weixin_72667582的博客
07-12 346
原题如下。
pop php,PHP反序列化入门之寻找POP(一)
weixin_34547167的博客
04-01 736
环境搭建运行环境要求PHP >= 7.1.3OpenSSL PHP ExtensionPDO PHP ExtensionMbstring PHP Extension安装题目环境运行题目代码漏洞点在 routes/web.php 文件中,定义了 web 程序的路由,当我们以 GET 或 POST 方法访问 app/Http/Controllers/EditorController.php 类中...
PHP反序列化--pop
2302_79800344的博客
03-18 1471
pop知识是PHP反序列化模块不可或缺的组成部分
php反序列化pop.html
07-25
php反序列化pop.html
ThinkPHP 6.x反序列化POP(一)1
08-03
反序列化是将序列化的对象恢复成原生的PHP对象的过程,而POP则是通过控制反序列化过程,触发一系列预设的函数调用,通常用于实现远程代码执行(RCE)或权限提升等攻击。在ThinkPHP 6.x中,由于特定的类和方法设计,...
php反序列化学习(中)--pop的构造
qq_75120258的博客
04-24 1054
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
[WEB]pop
qq_61109509的博客
04-17 611
文章目录魔法方法小技巧分析 学长给的一道题 魔法方法 __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数,session反序列化同样会调用 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set
利用PHP垃圾回收机制构造POP
Tajang的大千世界
02-07 3272
一个小trick
PHP 魔术方法浅谈
ansong8919的博客
03-23 209
php中把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类中调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
php pop,PHP反序列化入门之寻找POP(二)
weixin_42103128的博客
04-01 467
前言上篇 文章 ,我们是通过 PendingBroadcast 类 __destruct 方法中的 $this->events->dispatch ,然后直接走 $this->events 对象的 __call 方法,本文将探索直接走 $this->events 对象 dispatch 方法的 POPPOP一我们直接搜索 ‘function dispatch(‘ ,...
php pop,PHP反序列化新手入门之找寻POP(二)
weixin_31640639的博客
04-01 415
文中以 code-breaking 中 lumenserial 为例子,训练PHP反序列化 POP 的找寻,题型详细地址:https://code-breaking.com/puzzle/7/ 。上篇 文章内容 ,我们都是根据 PendingBroadcast 类 __destruct 方法中的 $this->events->dispatch ,随后立即走 $this->eve...
php反序列化pop
10-17
PHP反序列化POP是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。 下面是一个简单的POP示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public $c; function __construct($c) { $this->c = $c; } function __destruct() { if (isset($this->c)) { unserialize($this->c); } } } class C { public $cmd; function __construct($cmd) { $this->cmd = $cmd; } } $cmd = 'ls -al'; $c = new C($cmd); $b = new B(serialize($c)); $a = new A(serialize($b)); $payload = serialize($a); ``` 在上面的代码中,我们构造了三个类A、B、C,其中类A包含一个成员变量$b,类B包含一个成员变量$c,类C包含一个成员变量$cmd。我们通过构造一个对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值