46、WEB攻防——通用漏洞PHP反序列化原生类漏洞绕过公私有属性

2024-03-02 20:12

本文主要是介绍46、WEB攻防——通用漏洞PHP反序列化原生类漏洞绕过公私有属性,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文章目录

    • 几种常用的魔术方法
      • 1、__destruct()
      • 2、__tostring()
      • 3、__call()
      • 4、__get()
      • 5、__set()
      • 6、__sleep()
      • 7、__wakeup()
      • 8、__isset()
      • 9、__unset()
      • 9、__invoke()
    • 三种变量属性
    • 极客2019 PHP
    • php原生类

几种常用的魔术方法

1、__destruct()

当删除一个对象或对象操作终止时被调用,其最主要的作用是拿来做垃圾回收机制。当对象销毁时会调用此方法,对象销毁:1.用户主动销毁对象,使用unset()函数;2.当程序结束时由引擎自动销毁。
在这里插入图片描述

2、__tostring()

在对象当作字符串的时候会被调用。但是需要注意的是,执行完__toString()之后,会有返回值。
在这里插入图片描述

3、__call()

调用某个方法,若方法存在,则直接调用;若不存在,则会调用__call()方法。
在这里插入图片描述

4、__get()

读取一个对象的属性时,若属性存在,则直接返回属性值;若不存在,则会调用__get()魔术方法。
在这里插入图片描述

5、__set()

设置一个对象的属性时,若属性存在,则直接赋值;若属性不存在或者无法访问(私有)的属性时,则会调用__set()函数。

__set($name, $value)

  • 用来为私有成员属性设置属性值;
  • 第一个参数为需要设置值多的属性名,第二个参数为需要设置的属性值,__set方法没有返回值。

在这里插入图片描述

6、__sleep()

serialize()之前被调用,可以指定要序列化的对象属性。
在这里插入图片描述

7、__wakeup()

反序列化恢复对象之前调用该方法,也就是使用unserialize()之前会先调用__wakeup()
在这里插入图片描述

var_dump会输出反序列化内容。

8、__isset()

检测对象的某个属性是否存在时执行该函数,当对不可访问属性调用isset()empty()时,触发__isset()
在这里插入图片描述

9、__unset()

在不可访问的属性上使用unset()时触发, 或销毁对象的某个属性时执行此函数。
在这里插入图片描述

  • unset()函数不仅触发__unset(),而且会触发__destruct()
  • 三种对象变量属性:
    • public:在本类内部、外部类、子类中都可以访问;
    • protected:只在本类或子类或父类中可以访问;
    • private:在本类内部可以访问。
  • 序列化数据显示:
    • private属性序列的时候格式是%00类名%00成员名
    • protected属性序列的时候格式是%00*%00成员名
  • 使用new是创建外部类(测试类),子类是通过继承extends父类得到的。

9、__invoke()

当调用函数的方式调用一个对象时触发。
在这里插入图片描述

三种变量属性

  • 三种对象变量属性:
    • public:在本类内部、外部类、子类中都可以访问;
    • protected:只在本类或子类或父类中可以访问;
    • private:在本类内部可以访问。
  • 序列化数据显示:
    • private属性序列的时候格式是%00类名%00成员名
    • protected属性序列的时候格式是%00*%00成员名

在这里插入图片描述

极客2019 PHP

反序列化利用大概分为三类:

  • 魔术方法的调用逻辑,如触发条件;
  • 语言原生类的调用逻辑,如SoapClient
  • 语言自身的安全缺陷,如CVE-2016-7124.

首先,通过目录扫描可以发现网站源码保存在www.zip中(这里就不作叙述);
index.php中包含flag.php,并且接收select传参,并且对传参内容进行反序列化。

在这里插入图片描述
flag.php中存在一个className,而且flag在__destruct()魔术方法中,有两种方式触发__destruct()魔术方法:1.用户主动销毁对象,使用unset()函数;2.当程序结束时由引擎自动销毁。也就是说,当程序执行完,必定会触发__destruct()魔术方法。因此,我们只需要满足__destruct()魔术方法中的两个条件:username=admin&password=100。由于__wakeup()的存在,使得index.php中的unserialize执行之前,就会自动触发__wakeup()
故获取flag的关键在于:绕过__wakeup()。这里可以使用CVE-2016-7124进行绕过__wakeup()CVE-2016-7124:对象中的属性个数超过实际属性个数会绕过__wakeup()

class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "</br>NO!!!hacker!!!</br>";echo "You name is: ";echo $this->username;echo "</br>";echo "You password is: ";echo $this->password;echo "</br>";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "</br>hello my friend~~</br>sorry i can't give you the flag!";die(); }}
}

2改为3,即可获取flag。
在这里插入图片描述

php原生类

php原生类
在这里插入图片描述

  1. PHP有哪些原生类

    //查找PHP所有原生类
    <?php
    $classes = get_declared_classes();
    foreach ($classes as $class) {$methods = get_class_methods($class);foreach ($methods as $method) {if (in_array($method, array('__destruct','__toString','__wakeup','__call','__callStatic','__get','__set','__isset','__unset','__invoke','__set_state'))) {print $class . '::' . $method . "\n";}}
    } 
    
  2. 常见使用的原生类
    浅析PHP原生类

  3. 配合官方文档利用php原生类

  4. 反序列化字符逃逸
    [安恒月赛]反序列化字符逃逸

这篇关于46、WEB攻防——通用漏洞PHP反序列化原生类漏洞绕过公私有属性的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/767296

相关文章

SpringBoot3.X 整合 MinIO 存储原生方案

《SpringBoot3.X整合MinIO存储原生方案》本文详细介绍了SpringBoot3.X整合MinIO的原生方案,从环境搭建到核心功能实现,涵盖了文件上传、下载、删除等常用操作,并补充了... 目录SpringBoot3.X整合MinIO存储原生方案:从环境搭建到实战开发一、前言:为什么选择MinI

Linux线程之线程的创建、属性、回收、退出、取消方式

《Linux线程之线程的创建、属性、回收、退出、取消方式》文章总结了线程管理核心知识:线程号唯一、创建方式、属性设置(如分离状态与栈大小)、回收机制(join/detach)、退出方法(返回/pthr... 目录1. 线程号2. 线程的创建3. 线程属性4. 线程的回收5. 线程的退出6. 线程的取消7.

Python通用唯一标识符模块uuid使用案例详解

《Python通用唯一标识符模块uuid使用案例详解》Pythonuuid模块用于生成128位全局唯一标识符,支持UUID1-5版本,适用于分布式系统、数据库主键等场景,需注意隐私、碰撞概率及存储优... 目录简介核心功能1. UUID版本2. UUID属性3. 命名空间使用场景1. 生成唯一标识符2. 数

python删除xml中的w:ascii属性的步骤

《python删除xml中的w:ascii属性的步骤》使用xml.etree.ElementTree删除WordXML中w:ascii属性,需注册命名空间并定位rFonts元素,通过del操作删除属... 可以使用python的XML.etree.ElementTree模块通过以下步骤删除XML中的w:as

如何使用Maven创建web目录结构

《如何使用Maven创建web目录结构》:本文主要介绍如何使用Maven创建web目录结构的问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录创建web工程第一步第二步第三步第四步第五步第六步第七步总结创建web工程第一步js通过Maven骨架创pytho

Java Web实现类似Excel表格锁定功能实战教程

《JavaWeb实现类似Excel表格锁定功能实战教程》本文将详细介绍通过创建特定div元素并利用CSS布局和JavaScript事件监听来实现类似Excel的锁定行和列效果的方法,感兴趣的朋友跟随... 目录1. 模拟Excel表格锁定功能2. 创建3个div元素实现表格锁定2.1 div元素布局设计2.

如何使用Haporxy搭建Web群集

《如何使用Haporxy搭建Web群集》Haproxy是目前比较流行的一种群集调度工具,同类群集调度工具有很多如LVS和Nginx,本案例介绍使用Haproxy及Nginx搭建一套Web群集,感兴趣的... 目录一、案例分析1.案例概述2.案例前置知识点2.1 HTTP请求2.2 负载均衡常用调度算法 2.

Python打印对象所有属性和值的方法小结

《Python打印对象所有属性和值的方法小结》在Python开发过程中,调试代码时经常需要查看对象的当前状态,也就是对象的所有属性和对应的值,然而,Python并没有像PHP的print_r那样直接提... 目录python中打印对象所有属性和值的方法实现步骤1. 使用vars()和pprint()2. 使

Maven 配置中的 <mirror>绕过 HTTP 阻断机制的方法

《Maven配置中的<mirror>绕过HTTP阻断机制的方法》:本文主要介绍Maven配置中的<mirror>绕过HTTP阻断机制的方法,本文给大家分享问题原因及解决方案,感兴趣的朋友一... 目录一、问题场景:升级 Maven 后构建失败二、解决方案:通过 <mirror> 配置覆盖默认行为1. 配置示

CSS3中的字体及相关属性详解

《CSS3中的字体及相关属性详解》:本文主要介绍了CSS3中的字体及相关属性,详细内容请阅读本文,希望能对你有所帮助... 字体网页字体的三个来源:用户机器上安装的字体,放心使用。保存在第三方网站上的字体,例如Typekit和Google,可以link标签链接到你的页面上。保存在你自己Web服务器上的字