PHP之序列化与反序列化（原生类应用篇上）

之前打卷王杯的时候第二个web题就是利用到原生类文件读取，当时还只是在网上浅浅的了解了一下怎么构造payload，今天就把它说清楚吧！

原生类的简单介绍

什么是原生类，原生就很容易理解是本就存在的，所以原生类实际就是在PHP库里已经被封装好的类，而这些类在用法上包括了目录遍历、文件读取等等一系列的操作，功能越大能够被利用的机会就越大。一起来看看吧！

先看看标准库了解了解：PHP: SPL - Manual

这里面有很多原生类，但是真正能用的上的不多，我们一个一个的讲。

PHP 原生文件操作类

文件操作是原生类会最常遇见的了，它包括遍历目录、读取文件。

1）遍历文件目录类

DirectoryIterator 
FilesystemIterator 
GlobIterator 

这三个都可以遍历文件目录。

①DirectoryIterator类

想了解更多的可以自己查，就在PHP标准库内。

这个类会创建一个指定目录的迭代器，当遇到echo 输出时会触发Directorylterator中的__toString()方法，输出指定目录里面经过排序之后的第一个文件名。

测试一下，

输出第一个文件，这其实并没啥卵用，所以我们用升级版的循环输出每个数组的第一个。 

两个输出的数据一样，这也就印证了，开始我们说的echo触发了Directorylterator 中的__toString()方法 。

查到以后可以通过glob://协议确定路径的具体位置。

 ②FilesystemIterator 类

这个和DirectoryIterator用法几乎一模一样，因为它本来就是继承(extends)那个类的，所以父类有的东西它都可以使用，__toString()也不例外。 

差不多，就多了个路径符。

③GlobIterator类

 和上面两个类用法也算是大同小异，基本相同，小异在上面两个类是基于echo触发了__toString()执行，GlobIterator是基于glob()这个函数，也就是上面所写的glob://协议差不多，所以每次查看路径时都要加上查哪个如果都想看就得加一个星号（*）。

 2）读取文件类

 ①SplFileObject类

当用文件目录遍历到了敏感文件时，可以用SplFileObject类，SplFileInfo 类为单个文件的信息提供了一个高级的面向对象的接口，可以用于对文件内容的遍历、查找、操作。

测试读取文件内容第一行：

";
show_source(__FILE__);

 再测试对文件中的每一行内容进行遍历：

";
show_source(__FILE__);

 

3）测试

先看个简单的

key($this->value);
    }
}


unserialize($_GET['a']);

?>

当遇到这种不知道如何对pop链下手且没有可以利用函数的反序列化基本上就逃不过原生函数了。

构造exp很简单，只需要让key值赋为我们想得的原生函数，value赋为路径，查就完了但是这个方法的局限性就是只能查一个路径上的第一个文件。

exp

key($this->value);
    }
}


$a = new errorr0();
$a->key="FilesystemIterator";
$a->value="./";

echo serialize($a);


?>

如果想查找其它的文件可以用glob://且配合*查找，如

PHP 原生Error&Exception类(XSS实现与hash绕过)

Error内置类

适用于php7

开启报错的情况下

Error能实现xss的原因是Error中也有个__toString()，而且我们能想办法控制它的内容，在配合标签就能实现到xss，而因为Error可以传两个参数，有个参数值的不同则对象不同也就不相等，但对由于__toString()返回的值相同md5和sha1加密后也相同，最后得到的数据也是一样的，所以可以达到hash绕过。一起看看吧！

①XSS

 这种如果不知道原生类的话看起来很难下手的，这里用到了原生类Error。

 构造一个exp为下，

看到了很多的不可见字符啊，说明Error类中有很多public以及protect类型的数据，因为Error是封装的，看不到内部的数据，这种情况下直接url编码就好了。

最终payload测试

alert('hello hack')");
echo urlencode(serialize($a));  
?>

放在errorr0变量中打，在意料之中，弹窗了。

 看一下源码就知道为什么了。

 相当于把插入到前端数据中了。

Exception内置类

Exception继承了Error，因此Error能实现的事Exception也能实现而且操作几乎一样。

所以就不细说了。

 也是弹窗成功。

②Hash

 还是一样先做测试，看看吧！

";
}

if(md5($a) == md5($b))
{
    echo "md5相等";
    
}

?>

这里有个小tips，就是你们肯定发现了我是把$a和$b是在同一行赋值的，如果不在一行会怎么样呢？ 看看，

 怎么回事呢？这里要讲一个非常冷门的知识，就是Error::getLine()，我们查一下这个方法。

这个方法会返回错误发生时的行号， 那也就是说两个Error不在同一行值就肯定不同。

 如果碰到sha1加密绕过也能这样绕！！如果Error不能用也可以用Exception，用法和Error一模一样。

总结但没有结束

还有一个SSRF和XXE的比较难的后半段写

参考：php原生类的总结 - 代码天地

反序列化篇之PHP原生类的运用 | Arsene.Tang

浅析PHP原生类 - 知乎