什么是php原生类
原生类就是php内置类,不用定义php自带的类,即不需要在当前脚本写出,但也可以实例化的类
我们可以通过脚本找一下php原生类
几个ctf常用的php原生类
遍历文件目录的类
DirectoryIterator 类
类介绍
DirectoryIterator extends SplFileInfo implements SeekableIterator {
public __construct ( string $path )
public current ( ) : DirectoryIterator
public getATime ( ) : int
public getBasename ( string $suffix = ? ) : string
public getCTime ( ) : int
public getExtension ( ) : string
public getFilename ( ) : string
public getGroup ( ) : int
public getInode ( ) : int
public getMTime ( ) : int
public getOwner ( ) : int
public getPath ( ) : string
public getPathname ( ) : string
public getPerms ( ) : int
public getSize ( ) : int
public getType ( ) : string
public isDir ( ) : bool
public isDot ( ) : bool
public isExecutable ( ) : bool
public isFile ( ) : bool
public isLink ( ) : bool
public isReadable ( ) : bool
public isWritable ( ) : bool
public key ( ) : string
public next ( ) : void
public rewind ( ) : void
public seek ( int $position ) : void
public __toString ( ) : string // 以字符串形式获取文件名
public valid ( ) : bool
}
可以看到这里有我门常见的__construct和__toString这里我们可以反序列化利用
这里会创建一个指定目录的迭代器。当执行到echo函数时,会触发DirectoryIterator类中的
__toString()方法,输出指定目录里面经过排序之后的第一个文件名
测试代码
echo以字符串的形式输入,会触发 __toString()以字符串的形式输入根目录的第一个文件名
也可以结合glob协议进行多目录遍历
如果想显示所有的文件可以用foreach函数来遍历,比如
');} 
FilesystemIterator
基本和DirectoryIterator一样
GlobIterato
名字可以看出这个类是自带glob协议的,所以不用再使用glob协议了例如
文件读取类
SplFileObject
当用文件目录遍历到了敏感文件时,可以用SplFileObject类,同样通过echo触发SplFileObject中的__toString()方法。(该类不支持通配符,所以必须先获取到完整文件名称才行),而且这个方法只能读一行
test1
key($this->value); }} unserialize($_GET['a']); ?>这个反序列化没有任何可以直接利用的魔法函数,只有一个wakeup可以进入
echo new $this->key($this->value);
构造exp很简单,只需要让key值赋为我们想得的原生函数,value赋为路径,查就完了但是这个方法的局限性就是只能查一个路径上的第一个文件。
key($this->value); }} $a = new xxh();$a->key="SplFileObject";$a->value="./";echo serialize($a);?>PHP 原生Error&Exception类(XSS实现与hash绕过)
Error内置类
适用于php7
开启报错的情况下
Error类是php 的一个内置类,用于自动自定义一个Error ,在php7的情况下可能会造成一个xss漏洞,因为他内置有一个 __toString()方法,在ctf反序列化中,如果flag在cookie中可以尝试利用Error去触发__toString()
alert('1')");echo serialize($a);
Excepthin 内置类
适用于 php5,7
开启报错的情况下:
exp
alert('1')");$b = serialize($a);echo urlencode($b);也可以成功弹窗
命令执行
如果有eval的话就可以rce
这就不限于Error函数了、
其他类
ReflectionMethod类
他本身具有的方法
class ReflectionMethod extends ReflectionFunctionAbstract implements Reflector { ReflectionMethod::__construct — ReflectionMethod 的构造函数 ReflectionMethod::export — 输出一个回调方法 ReflectionMethod::getClosure — 返回一个动态建立的方法调用接口,译者注:可以使用这个返回值直接调用非公开方法。 ReflectionMethod::getDeclaringClass — 获取被反射的方法所在类的反射实例 ReflectionMethod::getModifiers — 获取方法的修饰符 ReflectionMethod::getPrototype — 返回方法原型 (如果存在) ReflectionMethod::invoke — Invoke ReflectionMethod::invokeArgs — 带参数执行 ReflectionMethod::isAbstract — 判断方法是否是抽象方法 ReflectionMethod::isConstructor — 判断方法是否是构造方法 ReflectionMethod::isDestructor — 判断方法是否是析构方法 ReflectionMethod::isFinal — 判断方法是否定义 final ReflectionMethod::isPrivate — 判断方法是否是私有方法 ReflectionMethod::isProtected — 判断方法是否是保护方法 (protected) ReflectionMethod::isPublic — 判断方法是否是公开方法 ReflectionMethod::isStatic — 判断方法是否是静态方法 ReflectionMethod::setAccessible — 设置方法是否访问 ReflectionMethod::__toString — 返回反射方法对象的字符串表达 final private ReflectionFunctionAbstract::__clone(): void public ReflectionFunctionAbstract::getAttributes(?string $name = null, int $flags = 0): array public ReflectionFunctionAbstract::getClosureScopeClass(): ?ReflectionClass public ReflectionFunctionAbstract::getClosureThis(): object public ReflectionFunctionAbstract::getDocComment(): string public ReflectionFunctionAbstract::getEndLine(): int public ReflectionFunctionAbstract::getExtension(): ReflectionExtension public ReflectionFunctionAbstract::getExtensionName(): string public ReflectionFunctionAbstract::getFileName(): string public ReflectionFunctionAbstract::getName(): string public ReflectionFunctionAbstract::getNamespaceName(): string public ReflectionFunctionAbstract::getNumberOfParameters(): int public ReflectionFunctionAbstract::getNumberOfRequiredParameters(): int public ReflectionFunctionAbstract::getParameters(): array public ReflectionFunctionAbstract::getReturnType(): ?ReflectionType public ReflectionFunctionAbstract::getShortName(): string public ReflectionFunctionAbstract::getStartLine(): int public ReflectionFunctionAbstract::getStaticVariables(): array public ReflectionFunctionAbstract::hasReturnType(): bool public ReflectionFunctionAbstract::inNamespace(): bool public ReflectionFunctionAbstract::isClosure(): bool public ReflectionFunctionAbstract::isDeprecated(): bool public ReflectionFunctionAbstract::isGenerator(): bool public ReflectionFunctionAbstract::isInternal(): bool public ReflectionFunctionAbstract::isUserDefined(): bool public ReflectionFunctionAbstract::isVariadic(): bool public ReflectionFunctionAbstract::returnsReference(): bool abstract public ReflectionFunctionAbstract::__toString(): void可以看到这里也有一个__toString函数,也可以触发反序列化漏洞
ReflectionMethod 类中有很多继承方法可以使用,比如这个 getDocComment() 方法,我们可以用它来获取类中各个函数注释内容
getDocComment());?>?a=ReflectionMethod&b=a&c=b
利用原生类ReflectionMethod中的getDocComment()函数类读取注释
ZipArchive类
可以通过本类执行一些文件操作,在CTF可以用来删除waf
open(打开一个压缩包文件)
$zip = new \ZipArchive; $zip->open('test_new.zip', \ZipArchive::CREATE)常用方法
ZipArchive::addEmptyDir:添加一个新的文件目录ZipArchive::addFile:将文件添加到指定zip压缩包中ZipArchive::addFromString:添加新的文件同时将内容添加进去ZipArchive::close:关闭ziparchiveZipArchive::extractTo:将压缩包解压ZipArchive::open:打开一个zip压缩包ZipArchive::deleteIndex:删除压缩包中的某一个文件,如:deleteIndex(0)代表删除第一个文件ZipArchive::deleteName:删除压缩包中的某一个文件名称,同时也将文件删除来源地址:https://blog.csdn.net/kuzemax/article/details/132144440
