Before all
段考完有空了,來看之前一直想看的POP Chain,順便用這篇筆記紀錄其他關於php序列化的弱點/相關知識
POP Chain的部分可能還暫時偏基礎但我會盡量寫
還要努力🐳
php class
在理解序列化/反序列化前要先理解class
一個php class的結構大概會是長這樣
1 | class Whale |
操作範例:
1 | $www=new Whale('whale120'); |
一個變數/函數的權限分為public
, protected
, private
,當中代表的分別為外界可採訪,可以繼承但外界不能採訪,以及不能繼承也不能採訪,如果都沒定義那就會被歸類在public
再來,一個class裡面可以有很多的變數,而這些變數就跟C++
裡面的struct呼叫方法很像。
如上例,如果我想取得一個Whale物件的名字(name
)我只要以variavle_name->name
就可以抓到內容。
最後注意到那些__
開頭的函數(像是__get
, __set
)等等,那些是php內建的魔法函數(Magic Methods),會在一些特定情形被觸發。
Magic Methods
一些 magics 的整理:
其他遇到的時候google一下都可以owob
__construct
這個最好理解,就是在物件被創造時可以初始化它的方法
像是剛剛的程式碼:
1 | public function __construct($name) |
在初始化的時候就會變成要:
1 | $www=new Whale('whale120'); |
要塞個東西進去初始化它的name。
__get
繼續以剛剛的class做例子,假設我沒定義__get
函數,那當我抓取是public
變數的name
時,它一樣可以正常回傳。
但假設我今天抓的是protected
, private
類型的變數,那就會出現error
像這樣。
看到這裡,應該就想的到__get
函數的功能了吧~
沒錯,它就是在抓一個class物件裡面比較隱私的內容時會觸發的函數。
那會這樣做的原因是開發員可能會希望一些比較private的物件資訊可以被保護(像是設定__get
只能抓身分證前四碼之類的)。
最後,如果那個attribute不存在也會先通過__get
__set
跟__get
幾乎一模一樣,在編輯protected
, private
的attribute內容時會觸發的函數,會有兩個位置,第一個放現在的attribute name, 第二個放變數醬
__invoke
當物件要被當作函數使用時會觸發的magic
什麼時候會被當function用呢?
像是:
1 | $function=$Whale->name; |
恩,超怪…
__toString
當有人試著把物件當作字串解析時會觸發的magic
Example:
1 | $this->url=new Whale |
__wakeup
在物件收到unserialize()
反序列化函數呼叫時會觸發的magic
__sleep
__wakeup
相反,在序列化的時候觸發
什麼是序列化/反序列化?
Serialization/Unserialization
想想看今天網站想把一個array/class 物件當作cookie塞給你怎辦?
當然是把它變成一個字串咯,這就是serialize()
函數會做的事
然後unserialize
就是反過來把字串解回去array/class 物件
看個我之前社內賽的題目:
1 |
|
這題簡單來說就是會塞個序列化後的Cat物件給你當cookie,然後要透過unserialize的過程去觸發__wakeup
,最後做command injection然後請容我現在不想重打一遍
POP Chain
終於進到主題了,什麼是pop chain呢?
當一個網站會去使用php的unserialize函數去解你丟進去的東西(譬如說cookie),那如果你能透過串起一些剛剛的magic最後做到你想做的事情,這個產生的payload就叫做POP Chain。
直接用Port Swigger上的一題當範例:
source code:
1 |
|
首先,這個網站的cookie是會經過php反序列的,所以先去尋找__wakeup
的magic出現在哪?
答案就是CustomTemplate
,然後__wakeup
會去觸發它裡面的build_product()
函數:
再來觀察哪個class帶有弱點,會發現DefaultMap
的__get
magic有個call_user_func($this->callback, $name);
的段落,而call_user_func
這個函數在php裡面可以以字串的方式去呼叫函數/參數。
官方網站解釋:https://php.golaravel.com/function.call-user-func.html
而這題的目標是執行rm /home/carlos/morale.txt
,所以可以利用:
1 | call_user_func('exec', 'rm /home/carlos/morale.txt'); |
達成目標。
仔細觀察DefaultMap
的段落:
1 | class DefaultMap { |
如果希望執行call_user_func('exec', 'rm /home/carlos/morale.txt');
,有兩點:
1.必須能呼叫到__get
,也就是有人去存取那個物件的callback
attribute
2.必須使name
='rm /home/carlos/morale.txt'
而且那個DefaultMap
物件的callback
當下等於'exec'
。
再回去觀察一次CustomTemplate
的build_product()
函數
1 | private function build_product() { |
發現它會建立一個Product
物件,去看看Product
的內容:
1 | class Product { |
如果把desc
變成DefaultMap
物件,那就可以透過__construct
去呼叫DefaultMap
的'rm /home/carlos/morale.txt'
attribute(當然,它不存在,但前面說過不存在的也會通過__get
),最後再把DefaultMap
的callback
預設成'exec'
就可以完成剛剛的RCE規劃了!
FINAL PAYLOAD:
1 |
|
我還有看到一個不錯的範例在:https://blog.csdn.net/cosmoslin/article/details/120297881
phar://
在php中有許多奇奇怪怪的協議,像是LFI時可以利用的php://
協議,而在php中phar://
的協議可以把那個檔案當作php phar的物件反序列化一次。
Github Repo:https://github.com/kunte0/phar-jpg-polyglot/tree/master
同場加映
不只php有反序列化的洞,而因為這些套件現在都是互相用來用去的所以其實有很多別人整理好的gadget
phpgcc
打現存的php套件的POP CHAIN生成工具
https://github.com/ambionics/phpggc
ysoserial
JAVA 現存反序列化攻擊PAYLOAD們
https://github.com/frohoff/ysoserial
P.S. KALI LINUX上面的debug方式
調回去java11,前面接上:
1 | PATH=/usr/lib/jvm/java-11-openjdk-amd64/bin:$PATH |
後面再打jar ......
疑似CommonsCollections那一系列比較容易過(?)
Ruby
把rs.instance_variable_set('@git_set', "id")
那行第二個參數的id換成想要的command
然後丟去onlinegdb跑
來源:https://devcraft.io/2021/01/07/universal-deserialisation-gadget-for-ruby-2-x-3-x.html
好像2.X~3.X都能打,挺萬能的(?
1 | # Autoload the required classes |
After all
今天好累,我改天會去看防護和繞過防護的方法orz
我還要多練習><