深入讲解PHP的对象注入(Object Injection)


Posted in PHP onMarch 01, 2017

前言

虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。

基础知识

在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用, __destruct()会在一个对象销毁时调用, __toString当对象被当做一个字符串的时候被调用。常见的魔术函数有__construct() __destruct() __toString() __sleep() __wakeup()

举例如下:

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
  echo $this->varr1."<br>";
 }
 public function __construct(){
  echo "__construct<br>";
 }
 public function __destruct(){
  echo "__destruct<br>";
 }
 public function __toString(){
  return "__toString<br>";
 }
 public function __sleep(){
  echo "__sleep<br>";
  return array('varr1','varr2');
 }
 public function __wakeup(){
  echo "__wakeup<br>";
 }
}

$obj = new test();  //实例化对象,调用__construct()方法,输出__construct
$obj->echoP();   //调用echoP()方法,输出"abc"
echo $obj;    //obj对象被当做字符串输出,调用__toString()方法,输出__toString
$s =serialize($obj);  //obj对象被序列化,调用__sleep()方法,输出__sleep
echo unserialize($s);  //$s首先会被反序列化,会调用__wake()方法,被反序列化出来的对象又被当做字符串,就会调用_toString()方法。
// 脚本结束又会调用__destruct()方法,输出__destruct
?>

原理

为什么会用到序列话这样的方法?主要就是就是方便进行数据的传输,并且数据恢复之后,数据的属性还不会发生变化。例如,将一个对象反序列化之后,还是保存了这个对象的所有的信息。同时还可以将序列化的值保存在文件中,这样需要用的时候就可以直接从文件中读取数据然后进行反序列化就可以了。在PHP使用serialize()unserialize()来进行序列化和反序列化的。

而序列化的危害就在于如果序列化的内容是用户可控的,那么用户就可以注入精心构造的payload。当进行发序列化的时候就有可能会出发对象中的一些魔术方法,造成意想不到的危害。

对象注入

本质上serialize()unserialize()在PHP内部实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。

如果在一个程序中,一个类用于临时将日志存储进某个文件中,当__destruct()方法被调用时,日志文件被删除。

代码大致如下:

logfile.php

<?php
class LogClass {
 public $logfilename = "";
 public function logdata($text) {
  echo "log data".$text."<br/>";
  file_put_contents($this->logfilename,$text,FILE_APPEBD);
 }

 public function __destruct() {
  echo 'deletes'.$this->logfilename;
  unlink(dirname(__FILE__).'/'.$this->logfilename);
 }
}
?>

在其他类中使用LogClass

logLogin.php

<?php
include "index.php";
$obj = new LogClass();
$obj->logfilename = "login.log";
$obj->logdata('记录日志');
?>

上面的这段代码就是一个正常的使用LogClass类来完成日志记录的功能。

下面显示的是存在对象注入漏洞的使用例子。

news.php

<?php
include "logfile.php";
// some codes the use the LogClass
class User {
 public $age = 0;
 public $name = '';
 public function print_data() {
  echo "User".$this->name."is".$this->age."years old.<br/>";
 }
}

// 从用户接受输入发序列化为User对象
$usr = unserialize($_GET["user"]);
?>

上面显示的代码使用了LogClass对象同时还会从用户那里接受输入进行发序列化转化为一个User对象。

当我们提交如下的数据

news.php?user=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

这样的语句是可以正常使用的,也是程序员希望使用的方法。

但是如果提交的数据为:

news.php?user=O:8:"LogClass":1:{s:11:"logfilename";s:9:".htaccess";}

那么最后就会输出delete .htaccess

可以看到通过构造的数据,导致执行了LogClass中的__destruct()方法然后删除了网站中重要的配置文件。

从上面这个例子也可以看出来,如果没有严格控制用户的输入同时对用户的输入进行了反序列化的操作,那么就有可能会实现代码执行的漏洞。

注入点

PHP对象注入一般在处在程序的逻辑上面。例如一个User类定义了__toString()用来进行格式化输出,但是也存在File类定义了__toString()方法读取文件内容然后进行显示,那么攻击者就有可能通过User类的反序列化构造一个File类来读取网站的配置文件。

user.php

<?php
class FileClass {
 public $filename = "error.log";
 public function __toString() {
 echo "filename发生了变化==>" . $this->filename ;
  return @file_get_contents($this->filename);
 }
}

class UserClass {
 public $age = 0;
 public $name = '';
 public function __toString() {
  return 'User '.$this->name." is ".$this->age.' years old. <br/>';
 }
}

$obj = unserialize($_GET['usr']);
echo $obj;  //调用obj的__toString()方法
?>

正常情况下我们应该传入UserClass序列化的字符串,例如user.php?usr=O:9:"UserClass":2:{s:3:"age";i:18;s:4:"name";s:3:"Tom";} ,页面最后就会输出User Tom is 18 years old.

这也是一个理想的使用方法。

深入讲解PHP的对象注入(Object Injection)

但是如果我们传入的数据为user.php?usr=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php";} ,页面最后的输出是filename发生了变化==>config.php,执行了FileClass中的__toString()方法。

深入讲解PHP的对象注入(Object Injection)

这样就可以读取到config.php中的源代码了。

漏洞挖掘

这类洞一般都是很难挖掘的,虽然显示看起来很简单,但实际上需要的条件还是相当的苛刻的,而且找对象注入的漏洞一般都是通过审计源代码的方式来进行寻找,看unserialize()的参数是否是可控的,是否存在反序列化其他参数对象的可能。

防御

要对程序中的各种边界条件进行测试

避免用户对于unserialize()参数是可控的,可以考虑使用json_decode方法来进行传参。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对三水点靠木的支持。

PHP 相关文章推荐
php下过滤HTML代码的函数
Dec 10 PHP
PHP 中检查或过滤IP地址的实现代码
Nov 27 PHP
PHP调用Linux的命令行执行文件压缩命令
Jan 27 PHP
使用php发送有附件的电子邮件-(PHPMailer使用的实例分析)
Apr 26 PHP
php对称加密算法示例
May 07 PHP
ThinkPHP字符串函数及常用函数汇总
Jul 18 PHP
php常用文件操作函数汇总
Nov 22 PHP
PHP常见漏洞攻击分析
Feb 21 PHP
php截取视频指定帧为图片
May 16 PHP
再谈PHP中单双引号的区别详解
Jun 12 PHP
PHP命名空间namespace及use的简单用法分析
Aug 03 PHP
laravel 数据验证规则详解
Oct 23 PHP
PHP实现图片批量打包下载功能
Mar 01 #PHP
深入解析PHP中SESSION反序列化机制
Mar 01 #PHP
yii2使用GridView实现数据全选及批量删除按钮示例
Mar 01 #PHP
PHP插件PHPMailer发送邮件功能
Feb 28 #PHP
PHP利用正则表达式将相对路径转成绝对路径的方法示例
Feb 28 #PHP
PHP用正则匹配form表单中所有元素的类型和属性值实例代码
Feb 28 #PHP
PHP中让json_encode不自动转义斜杠“/”的方法
Feb 28 #PHP
You might like
php file_get_contents函数轻松采集html数据
2010/04/22 PHP
解决laravel 表单提交-POST 异常的问题
2019/10/15 PHP
PHP PDO和消息队列的个人理解与应用实例分析
2019/11/25 PHP
关于jquery append() html时的小问题的解决方法
2010/12/16 Javascript
javascript动态加载三
2012/08/22 Javascript
input标签内容改变的触发事件介绍
2014/06/18 Javascript
微信小程序 加载 app-service.js 错误解决方法
2016/10/12 Javascript
BootStrap学习笔记之nav导航栏和面包屑导航
2017/01/03 Javascript
使用vue.js实现checkbox的全选和多个的删除功能
2017/02/17 Javascript
nodejs搭建本地服务器并访问文件的方法
2017/03/03 NodeJs
从零开始学习Node.js系列教程六:EventEmitter发送和接收事件的方法示例
2017/04/13 Javascript
Vue官方文档梳理之全局配置
2017/11/22 Javascript
JavaScript实现求最大公共子串的方法
2018/02/03 Javascript
vue2.0获取鼠标位置的方法
2018/09/13 Javascript
scrapyd schedule.json setting 传入多个值问题
2019/08/07 Javascript
Js代码中的span拼接问题解决
2019/11/22 Javascript
python中的hashlib和base64加密模块使用实例
2014/09/02 Python
python使用WMI检测windows系统信息、硬盘信息、网卡信息的方法
2015/05/15 Python
Python实现递归遍历文件夹并删除文件
2016/04/18 Python
Python+matplotlib+numpy实现在不同平面的二维条形图
2018/01/02 Python
django项目环境搭建及在虚拟机本地创建django项目的教程
2019/08/02 Python
PIL对上传到Django的图片进行处理并保存的实例
2019/08/07 Python
解析PyCharm Python运行权限问题
2020/01/08 Python
Python 模拟生成动态产生验证码图片的方法
2020/02/01 Python
Python无头爬虫下载文件的实现
2020/04/02 Python
德国运动鞋网上商店:Afew Store
2018/01/05 全球购物
澳大利亚音乐商店:Bava’s Music City
2019/05/05 全球购物
大学生专科学习生活的自我评价
2013/12/07 职场文书
区优秀教师事迹材料
2014/02/10 职场文书
新年爱情寄语
2014/04/08 职场文书
向国旗敬礼活动总结范文2014
2014/09/27 职场文书
先进党组织事迹材料
2014/12/26 职场文书
入党积极分子培养人意见
2015/06/02 职场文书
导游词之井冈山
2019/11/20 职场文书
tensorflow学习笔记之tfrecord文件的生成与读取
2021/03/31 Python
mysql的单列多值存储实例详解
2022/04/05 MySQL