深入讲解PHP的对象注入(Object Injection)


Posted in PHP onMarch 01, 2017

前言

虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。

基础知识

在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用, __destruct()会在一个对象销毁时调用, __toString当对象被当做一个字符串的时候被调用。常见的魔术函数有__construct() __destruct() __toString() __sleep() __wakeup()

举例如下:

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
  echo $this->varr1."<br>";
 }
 public function __construct(){
  echo "__construct<br>";
 }
 public function __destruct(){
  echo "__destruct<br>";
 }
 public function __toString(){
  return "__toString<br>";
 }
 public function __sleep(){
  echo "__sleep<br>";
  return array('varr1','varr2');
 }
 public function __wakeup(){
  echo "__wakeup<br>";
 }
}

$obj = new test();  //实例化对象,调用__construct()方法,输出__construct
$obj->echoP();   //调用echoP()方法,输出"abc"
echo $obj;    //obj对象被当做字符串输出,调用__toString()方法,输出__toString
$s =serialize($obj);  //obj对象被序列化,调用__sleep()方法,输出__sleep
echo unserialize($s);  //$s首先会被反序列化,会调用__wake()方法,被反序列化出来的对象又被当做字符串,就会调用_toString()方法。
// 脚本结束又会调用__destruct()方法,输出__destruct
?>

原理

为什么会用到序列话这样的方法?主要就是就是方便进行数据的传输,并且数据恢复之后,数据的属性还不会发生变化。例如,将一个对象反序列化之后,还是保存了这个对象的所有的信息。同时还可以将序列化的值保存在文件中,这样需要用的时候就可以直接从文件中读取数据然后进行反序列化就可以了。在PHP使用serialize()unserialize()来进行序列化和反序列化的。

而序列化的危害就在于如果序列化的内容是用户可控的,那么用户就可以注入精心构造的payload。当进行发序列化的时候就有可能会出发对象中的一些魔术方法,造成意想不到的危害。

对象注入

本质上serialize()unserialize()在PHP内部实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。

如果在一个程序中,一个类用于临时将日志存储进某个文件中,当__destruct()方法被调用时,日志文件被删除。

代码大致如下:

logfile.php

<?php
class LogClass {
 public $logfilename = "";
 public function logdata($text) {
  echo "log data".$text."<br/>";
  file_put_contents($this->logfilename,$text,FILE_APPEBD);
 }

 public function __destruct() {
  echo 'deletes'.$this->logfilename;
  unlink(dirname(__FILE__).'/'.$this->logfilename);
 }
}
?>

在其他类中使用LogClass

logLogin.php

<?php
include "index.php";
$obj = new LogClass();
$obj->logfilename = "login.log";
$obj->logdata('记录日志');
?>

上面的这段代码就是一个正常的使用LogClass类来完成日志记录的功能。

下面显示的是存在对象注入漏洞的使用例子。

news.php

<?php
include "logfile.php";
// some codes the use the LogClass
class User {
 public $age = 0;
 public $name = '';
 public function print_data() {
  echo "User".$this->name."is".$this->age."years old.<br/>";
 }
}

// 从用户接受输入发序列化为User对象
$usr = unserialize($_GET["user"]);
?>

上面显示的代码使用了LogClass对象同时还会从用户那里接受输入进行发序列化转化为一个User对象。

当我们提交如下的数据

news.php?user=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

这样的语句是可以正常使用的,也是程序员希望使用的方法。

但是如果提交的数据为:

news.php?user=O:8:"LogClass":1:{s:11:"logfilename";s:9:".htaccess";}

那么最后就会输出delete .htaccess

可以看到通过构造的数据,导致执行了LogClass中的__destruct()方法然后删除了网站中重要的配置文件。

从上面这个例子也可以看出来,如果没有严格控制用户的输入同时对用户的输入进行了反序列化的操作,那么就有可能会实现代码执行的漏洞。

注入点

PHP对象注入一般在处在程序的逻辑上面。例如一个User类定义了__toString()用来进行格式化输出,但是也存在File类定义了__toString()方法读取文件内容然后进行显示,那么攻击者就有可能通过User类的反序列化构造一个File类来读取网站的配置文件。

user.php

<?php
class FileClass {
 public $filename = "error.log";
 public function __toString() {
 echo "filename发生了变化==>" . $this->filename ;
  return @file_get_contents($this->filename);
 }
}

class UserClass {
 public $age = 0;
 public $name = '';
 public function __toString() {
  return 'User '.$this->name." is ".$this->age.' years old. <br/>';
 }
}

$obj = unserialize($_GET['usr']);
echo $obj;  //调用obj的__toString()方法
?>

正常情况下我们应该传入UserClass序列化的字符串,例如user.php?usr=O:9:"UserClass":2:{s:3:"age";i:18;s:4:"name";s:3:"Tom";} ,页面最后就会输出User Tom is 18 years old.

这也是一个理想的使用方法。

深入讲解PHP的对象注入(Object Injection)

但是如果我们传入的数据为user.php?usr=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php";} ,页面最后的输出是filename发生了变化==>config.php,执行了FileClass中的__toString()方法。

深入讲解PHP的对象注入(Object Injection)

这样就可以读取到config.php中的源代码了。

漏洞挖掘

这类洞一般都是很难挖掘的,虽然显示看起来很简单,但实际上需要的条件还是相当的苛刻的,而且找对象注入的漏洞一般都是通过审计源代码的方式来进行寻找,看unserialize()的参数是否是可控的,是否存在反序列化其他参数对象的可能。

防御

要对程序中的各种边界条件进行测试

避免用户对于unserialize()参数是可控的,可以考虑使用json_decode方法来进行传参。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对三水点靠木的支持。

PHP 相关文章推荐
五个PHP程序员工具
May 26 PHP
smarty的保留变量问题
Oct 23 PHP
Linux下实现PHP多进程的方法分享
Aug 16 PHP
PHP获取本周第一天和最后一天示例代码
Feb 24 PHP
php异常处理使用示例
Feb 25 PHP
PHP中比较两个字符串找出第一个不同字符位置例子
Apr 08 PHP
php基于GD库画五星红旗的方法
Feb 24 PHP
php 如何设置一个严格控制过期时间的session
May 05 PHP
Laravel中如何增加自定义全局函数详解
May 09 PHP
浅谈PHP中如何实现Hook机制
Nov 14 PHP
PHP自定义序列化接口Serializable用法分析
Dec 29 PHP
PHP如何使用array_unshift()在数组开头插入元素
Sep 01 PHP
PHP实现图片批量打包下载功能
Mar 01 #PHP
深入解析PHP中SESSION反序列化机制
Mar 01 #PHP
yii2使用GridView实现数据全选及批量删除按钮示例
Mar 01 #PHP
PHP插件PHPMailer发送邮件功能
Feb 28 #PHP
PHP利用正则表达式将相对路径转成绝对路径的方法示例
Feb 28 #PHP
PHP用正则匹配form表单中所有元素的类型和属性值实例代码
Feb 28 #PHP
PHP中让json_encode不自动转义斜杠“/”的方法
Feb 28 #PHP
You might like
php fputcsv命令 写csv文件遇到的小问题(多维数组连接符)
2011/05/24 PHP
PHP三元运算符的结合性介绍
2012/01/10 PHP
解析php中的escape函数
2013/06/29 PHP
php实现的zip文件内容比较类
2014/09/24 PHP
php常用的安全过滤函数集锦
2014/10/09 PHP
在PHP语言中使用JSON和将json还原成数组的方法
2016/07/19 PHP
ThinkPHP 整合Bootstrap Ajax分页样式
2016/12/23 PHP
swoole_process实现进程池的方法示例
2018/10/29 PHP
laravel 5.3 单用户登录简单实现方法
2019/10/14 PHP
Json字符串转换为JS对象的高效方法实例
2013/05/01 Javascript
简单实现node.js图片上传
2016/12/18 Javascript
JS实现小球的弹性碰撞效果
2017/11/11 Javascript
webpack学习教程之前端性能优化总结
2017/12/05 Javascript
node.js使用redis储存session的方法
2018/09/26 Javascript
4 种滚动吸顶实现方式的比较
2019/04/09 Javascript
8个有意思的JavaScript面试题
2019/07/30 Javascript
解决layer图标icon不加载的问题
2019/09/04 Javascript
js实现星星打分效果
2020/07/05 Javascript
如何在 ant 的table中实现图片的渲染操作
2020/10/28 Javascript
[01:23:24]DOTA2-DPC中国联赛 正赛 PSG.LGD vs Elephant BO3 第三场 2月7日
2021/03/11 DOTA
Python的mysql数据库的更新如何实现
2017/07/31 Python
python实现人脸识别经典算法(一) 特征脸法
2018/03/13 Python
python实现list由于numpy array的转换
2018/04/04 Python
Python实现繁体中文与简体中文相互转换的方法示例
2018/12/18 Python
python 一个figure上显示多个图像的实例
2019/07/08 Python
CSS3旋转——彩色扇子兼容firefox浏览器
2013/06/04 HTML / CSS
wordpress添加Html5的表单验证required方法小结
2020/08/18 HTML / CSS
Boda Skins皮衣官网:奢侈皮夹克,全球配送
2016/12/15 全球购物
施华洛世奇英国官网:SWAROVSKI英国
2017/03/13 全球购物
Sofft鞋官网:世界知名鞋类品牌
2017/03/28 全球购物
商业街策划方案
2014/05/31 职场文书
三潭印月的导游词
2015/02/12 职场文书
大学生心理健康活动总结
2015/05/08 职场文书
中学生国庆节演讲稿2015
2015/07/30 职场文书
2016年学校“3.12”植树节活动总结
2016/03/16 职场文书
前端JS获取URL参数的4种方法总结
2022/04/05 Javascript