魔術php
① 2021強網杯 [強網先鋒]賭徒-php反序列化復現過程
本文以2021強網杯 [強網先鋒]賭徒為例,深入解析PHP反序列化漏洞的復現過程,旨在提供對PHP源代碼審計和漏洞理解的深入洞察。試驗環境包括虛擬機和瀏覽器等工具,以構建實驗環境並進行漏洞復現。
構建實驗環境的步驟包括下載和安裝Centos7.9操作系統、配置網路參數、安裝phpstudy,以及搭建網站環境。通過下載並安裝「小皮面板」工具,選擇無docker版本,並執行命令行操作進行環境配置。在瀏覽器中輸入指定IP訪問網站,測試網站功能,確保環境搭建成功。
構建「2021強網杯 [強網先鋒]賭徒」考試環境的關鍵是利用魔術函數構建復雜對象結構。在根目錄下,通過創建flag文件並設置內容,以及在網站目錄建立包含魔術函數的index.php文件,構建了實驗環境的核心代碼邏輯。通過小皮面板設置,確保實驗環境構建無誤。
解題思路中,首先訪問試題網址進行初步分析,使用dirsearch.py進行網站目錄掃描,下載並打開壓縮文件,發現包含關鍵代碼的index.php文件。通過分析源代碼,發現本題屬於PHP反序列化漏洞,關鍵在於利用魔術函數觸發特定行為,最終獲取flag。
序列化與反序列化是對象狀態轉換的兩大過程,前者將對象狀態轉化為可存儲或傳輸的字元串,後者則將字元串恢復為原對象。PHP中的魔術方法如__construct、__destruct、__toString等,為構造EXP提供了便利。通過構建一個簡單的person類實例,序列化後輸出對象狀態,展示了序列化過程。
利用反序列化進行攻擊的關鍵在於構造特定的序列化字元串,觸發魔術方法執行惡意代碼。以Start、Info和Room類構建復雜對象結構,通過調用特定魔術方法,最終獲取flag文件的Base64編碼。此過程包括對象的創建、屬性的設定、魔術方法的調用,以及最終的序列化輸出。
編寫PHP代碼生成序列化字元串,並在瀏覽器中執行,輸出序列化值。注意處理private變數序列化時需要添加%00以繞過訪問限制。使用base64 decode工具解碼輸出的字元串,獲取flag。確保執行序列化字元串時不進行URL編碼,以免影響執行效果。
總結,PHP反序列化復現過程涉及深入理解魔術函數、對象創建、屬性設定及序列化反序列化原理。通過構建復雜對象結構,利用魔術方法觸發特定行為,最終獲取flag。此過程不僅考驗了對PHP語言特性的理解,也鍛煉了利用漏洞進行滲透測試的能力。願讀者通過本案例學習,不斷進步。
② PHP中常用的11個魔術方法
在PHP中,常用的11個魔術方法及其功能概述如下:
__get 和 __set
- __get:用於獲取未聲明的屬性。
- __set:用於設置未聲明的屬性。
- 這兩個方法特別適用於處理私有或受保護屬性的訪問。
__isset 和 __unset
- __isset:用於檢查未定義的屬性是否存在。
- __unset:用於刪除未定義的屬性。
- 這兩個方法也處理私有或受保護屬性的訪問控制。
__call
- 當嘗試調用未聲明的方法時,此方法會被調用。
- 對於實現方法重載或執行自定義行為非常有用。
__autoload
- 自動載入類的功能。
- 當嘗試使用尚未定義的類時,此方法會被調用,允許在類未被直接載入前載入它們。
__construct 和 __destruct
- __construct:構造方法,在實例創建時執行,用於初始化對象。
- __destruct:析構方法,在對象銷毀時執行,用於釋放資源。
__clone
- 在對象復制時,此方法被自動調用。
- 使用clone語句復制對象時,用於執行任何額外的初始化操作。
__toString
- 當嘗試將對象轉換為字元串時,此方法會被調用。
- 確保對象可以被正確顯示。
__sleep 和 __wakeup
- __sleep:在對象序列化前執行,用於清理不需要存儲的對象狀態。
- __wakeup:在反序列化後執行,用於重建任何被序列化時丟失的資源。
__set_state
- 當調用var_export函數時,此方法被調用。
- 用於反序列化對象狀態。
__invoke
- 當嘗試以函數調用方式調用對象時,此方法被自動調用。
- 實現對象作為函數的使用。
__callStatic
- 與__call方法類似,但用於處理靜態方法的調用。
- 確保靜態方法的正確執行。
這些魔術方法極大地增強了PHP類的靈活性和功能,允許開發者以更簡潔的方式實現復雜的功能。在使用時,應確保所有魔術方法都被定義為公共的,以確保它們的正確執行。