例题:
<?php
//flag is in flag.php
highlight_file(__FILE__);
error_reporting(0);
class Modifier {
private $var;
public function append($value)
{
include($value);
echo $flag;
}
public function __invoke(){
$this->append($this->var);
}
}
class Show{
public $source;
public $str;
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
echo $this->source;
}
}
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
if(isset($_GET['pop'])){
unserialize($_GET['pop']);
}
?>
这是一道经典的反序列化题目,如果有能力可以自己先做做,我的上一篇文章有反序列化的做题方法,大家如果做不出来自行去看就是。我这篇文章就是用五步法做出反序列化题目的,推荐大家可以看看我的上一篇文章五步法带你搞定反序列化难题-CSDN博客
学了方法用就是了,我的方法有五个步骤,可以带你解决大多数的反序列化难题。
第一步:先看哪个对象下面的函数和属性能够帮我执行恶意代码
public function append($value)
{
include($value);
echo $flag;
}
第二步:
我能控制的是啥?
if(isset($_GET['pop'])){
unserialize($_GET['pop']);
第三步:(大概看懂就好,没必要像我下面那样那么详细,只是为了大家能够更直观的理解而已。)
这串代码的正常情况下会怎么执行。
首先你先GET 'pop',经过反序列化以后
-
如果反序列化的对象是
Show
类的实例,那么在任何尝试将对象当作字符串打印出来时,都会调用__toString()
魔术方法。这里的__toString()
方法返回的是$this->str->source
,即尝试访问str
属性里的source
属性。 -
如果反序列化的对象是
Show
类的实例,并且对象被销毁(例如在脚本执行结束时),__wakeup()
方法会被调用。在这个例子中,__wakeup()
方法会输出$this->source
的值。 -
如果反序列化的对象是
Test
类的实例,并且尝试访问一个未定义的属性,__get()
魔术方法会被调用。这个方法会尝试调用$this->p
作为函数,这里$this->p
应该是一个可调用的结构(比如是一个闭包或对象的方法)。 -
如果反序列化的对象是
Modifier
类的实例,并且对象以函数的方式被调用(由于实现了__invoke()
魔术方法),__invoke()
方法将被执行。该方法会调用append()
方法,并将$this->var
作为参数传递。append()
方法会包含$value
指定的文件,并尝试输出一个名为$flag
的变量。
第四步:4.要执行恶意代码,该怎么做?(即为通过我所能控制的东西,如何才能执行恶意代码?)记住!!!!!!!!!!!!从后往前推导!!!
1.public function append($value)
{
include($value);
echo $flag;
}
这里有一个文件包含,首先你得调用append吧,往里面传个参数,value=flag.php
问:那怎么调用append呢?
public function __invoke(){
$this->append($this->var);
}
}
答:通过触发invoke()——魔术方法,调用append,再使var=flag.php
问:invoke怎么触发?
答:把对象当成函数
问题:怎么把对象当成函数?
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
这串代码中有个return fuction就直接把function当成函数了
问:怎么触发return fuction?
答:触发get()——魔术方法,并且将p当成一个对象,就直接p=Modifier ,这样就能够满足触发invoke()——魔术方法,做到把对象当成函数。
问题:怎么触发get()——魔术方法?
答:调用不存在的成员属性
问:如何调用不存在的成员属性?
答:想想还有哪里没有使用的,(类-》实例-》属性)
class Show{
public $source;
public $str;
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
echo $this->source;
}
}
触发tostring()——魔术方法,然后给$str赋值对象Test,因为Test中不存在成员属性source,所以就能够调用不存在的成员属性,从而触发get()——魔术方法
问:如何触发tostring()——魔术方法?
答:把对象当成字符串
问:如何把对象当成字符串?
答:相信大家仔细观察就能够发现整段代码就只剩下
public function __wakeup(){
echo $this->source;
}
这个没有使用了,
直接触发魔术方法wakeup()——将source赋值show,就是将自己这个对象赋值给source,就能把对象当成字符串,从而触发tostring()魔术方法
问题:如何触发wakeup()魔术方法?
答:反序列化会触发wakeup()魔术方法。(终于推导到我所能控制的东西了!!!)
第五步:分析完毕,直接注释掉一些代码,稍作整改,构造pop链。
像这样直接把不必要的fuction删除,输出那些也删除,报错的代码也删除,就只剩下了上面的代码,留下成员属性就好了。
接着$var=flag.php(私有属性只能在本来的类给他赋值)
$mod=new Modifier();
$test=new Test();
$test->p=$mod;
$show=new show();
$show source=$show;
$show ->str=$test;
echo serialize($show);
本题到此结束,但是要注意Modifier下面的$var是个私有属性,所以得到的pop链Modifier两侧直接改成%00就好了。
希望大家可以从五步法中掌握更多的反序列化难题,真诚的希望大家能够从我的文章学到知识,如果觉得不错,希望大家可以收藏后吸收本文,在以后遇到反序列化难题的时候手里握着五步法,相信大家都能够从容不迫地应对。
-------------来自补天阁