有关如何通过工具链expoit PHP对象注入

最新推荐文章于 2024-08-10 20:38:10 发布
最新推荐文章于 2024-08-10 20:38:10 发布
阅读量357 收藏
点赞数
分类专栏: cve-记录
原文链接:https://blog.ripstech.com/2018/php-object-injection/
版权

翻译有限,请以原文内容为准

回顾关于php的序列化问题

php提供一种通过php类型存储和加载数据的机制。这种机制归结为如下两个方法:

  • serialize()
A PHP object being ‘serialized’

<?php
$object = new stdClass();
$object->data = "Some data!";
$cached = serialize($object);

The resulting ‘serialized’ string

O:8:"stdClass":1:{s:4:"data";s:10:"Some data!";}

以上两个步骤是创建一个新对象然后用 ‘序列化’ 的字符串表示这个对象。
‘O’表示对象、‘8’表示对象名字长度(本例创建了一个stdClass 实例)
‘1’表示对象多包涵的属性个数
属性由属性名和属性值组成,属性名是字符串形式,属性值则可以是任意类型,arrays, integers, strings, objects and NULL是常见类型

  • unserealize()
The serialized string being ‘unserialized’ again

<?php
$object = unserialize('O:8:"stdClass":1:{s:4:"data";s:10:"Some data!";}');
echo $object->data;

上面的代码是php会将序列化字符串解析成一个stdClass并带有后面相应属性的实例。

开发者这样做的原因是为了简单高效的在缓存或数据库中存储resquest请求 (比如一个userSession可以被应用为一个class UserSession的实例,这个对象可以很容易的被存储在$_session这个全局变量中,并且随时调用)

关于反序列化的危害

危害发生场景:当用户输入被传进unserialize(),就可能会构成远程代码执行漏洞。

首先,php解释器有很多低级安全问题 low-level security issues可以被利用

另外根据实际web应用的代码,攻击者也有很多其他的办法。举例如下:

The serialized string being ‘unserialized’ again

<?php
class LoggingClass {

    function __construct($filename, $content) {
        // add .log to the filename so we are really creating a log file!!
        $this->filename = $filename . ".log";
        $this->content = $content;
    }
    
    // This method is executed for each object at the end of the PHP execution
    function __destruct() {
        // flush the logs
        file_put_contents($this->filename, $this->content);
    }

}

$data = unserialize($_GET['data']);

可以看到用户的get请求直接作为unserialize()的输入参数

一些细节

前图的代码里:
LoggingClass:构造函数含有两个参数,一个表文件名,一个表稳文件内容。
__destruct(): 每创建一个LoggingClass对象,在代码结束时__destruct()会自动执行。

截至目前,虽然攻击者可以控制文件内容但是限于文件后缀是.log,无法执行恶意内容。(如果没有这层设置,那么直接命名为shell.php就好了)

然而,如果攻击者将如下内容作为unserialize()参数

A serialized payload

O:12:"LoggingClass":2:{s:8:"filename";s:9:"shell.php";s:7:"content";s:20:"<?php evilCode(); ?>";}

可以看到:filename属性 value设置为“shell.php”

通过修改对象属性直接调用file_put_contents(),达到留下后门的目的。

更多的攻击方式:

实际案例

虽然直接将用户输入传参进unserialize()是极度禁止的,但仍有很多真实案例

未完…还需拓展

csdnfala
关注
专栏目录
深入讲解PHP对象注入(Object Injection)
12-19
前言 虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。 基础知识 在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用, __destruct()会在一个对象销毁时调用, __toString当对象被当做一个字符串的时候被调用。常见的魔术函数有__construct() 、 __destruct() 、 __toString() 、 __
带你搞懂PHP对象注入详细教程
我的博客,不一样的自我表达
04-17 450
不过需要注意的是,利用场景不限于magic函数,也有一些方式可以在一半的函数中利用这个漏洞,打个比方,一个模块可能定义了一个叫get的函数进行一些敏感的操作,比如访问数据库,这就可能造成sql注入,取决于函数本身的操作。你可以看到,我们创建了一个对象,序列化了它(然后__sleep被调用),之后用序列化对象重建后的对象创建了另一个对象,接着php脚本结束的时候两个对象的__destruct都会被调用。事实上,利用这玩意的可能性有很多种,关键取决于应用程序的流程与,可用的类,与magic函数。
PHP Objiect Injection
qq_67812668的博客
08-10 1125
PHP反序列化漏洞是一种非常危险的安全漏洞,存在于使用PHP的应用程序中。PHP反序列化的核心思想还是在于unserialize函数,漏洞利用的核心思路在于控制魔术方法中的代码从而产生代码注入,SQL注入,目录遍历等一系列的漏洞利用。防御本漏洞就要严格控制unserialize函数的参数,对unserialize后的变量内容进行检查,确保绿色输入。
理解PHP对象注入
清枫逸寒
02-22 728
PHP对象注入并不是一种十分常见的漏洞,这种漏洞可能会比较难利用,但是这种漏洞可能比较危险。为了学习这种漏洞,首先需要理解基础的PHP代码。
PHP对象注入
Fly_鹏程万里
09-17 1410
在理解对象注入之前要知道的一些东西。 PHP中的序列化 在说序列化之前,我记得以前有过这样一个疑问:为什么需要序列化? 后来我在网上搜到了这样一个回答很好的解决了我的疑问。 “你有一个应用程序,需要传一些数据给其它应用程序,但数据保存在你的进程的堆栈中,其它进程无法访问你的应用程序进程的堆栈,要想把你的程序的数据给其它程序使用,必须将数据以某种形式传给其它进程,这个‘某种形式’就是序列化 ...
sec_misc_expoit:收集一些工具,以后就不要每次再找了,阿门
06-22
《Ruby安全工具集合:sec_misc_expoit与Heartbeat的深度探索》 在信息技术领域,安全始终是至关重要的一环。而作为动态编程语言的Ruby,虽然以其简洁、易读的特性受到开发者的喜爱,但同时也面临着各种安全挑战。...
ExploitDev:各种ASM,C和C ++工具,shellcode和利用实验
03-30
C++的面向对象特性可以用于构造复杂、可重用的exploits。然而,由于这些语言缺乏内置的安全机制,如内存管理,因此它们也是产生缓冲区溢出等漏洞的主要来源。 3. **缓冲区溢出**: 描述中的"stack exploit"和...
PHP反序列化漏洞学习
qq_62078839的博客
07-14 395
序列化是将变量转换为可保存或传输的字符串的过程,反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。序列化:反序列化: 例如: 输出的结果为: 在序列化后的结果中的字母标识为: 在这个代码中运用到了 __construct()魔术方法序列化魔术方法这里拿PIKACHU靶场一题来举例 这里给了一个例子我们看看源码 这里并没有出现什么危险函数但construct析构函数中有个打印字符串的函数我们可以利用XSS漏洞弹个窗......
带你搞懂PHP对象注入
主题模板站的博客
01-29 238
不过需要注意的是,利用场景不限于magic函数,也有一些方式可以在一半的函数中利用这个漏洞,打个比方,一个模块可能定义了一个叫get的函数进行一些敏感的操作,比如访问数据库,这就可能造成sql注入,取决于函数本身的操作。你可以看到,我们创建了一个对象,序列化了它(然后__sleep被调用),之后用序列化对象重建后的对象创建了另一个对象,接着php脚本结束的时候两个对象的__destruct都会被调用。事实上,利用这玩意的可能性有很多种,关键取决于应用程序的流程与,可用的类,与magic函数。
expose php,(总结)隐藏PHP版本与PHP基本安全设置
weixin_35747785的博客
03-09 2427
为了安全起见,最好还是将PHP版本隐藏,以避免一些因PHP版本漏洞而引起的攻击。1、隐藏PHP版本就是隐藏 “X-Powered-By: PHP/5.2.13” 这个信息。方法很简单:编辑php.ini配置文件,修改或加入: expose_php = Off 保存后重新启动Nginx或Apache等相应的Web服务器即可。[root@bkjz /]# curl -I www.ha97.comHTT...
PHP】反序列化漏洞(又名“PHP对象注入”)
weixin_45844670的博客
08-22 3636
PHP对象注入(俗称反序列化漏洞)相关函数漏洞成因实现例子 相关函数 在利用这个漏洞之前我们要先了解相关的函数都有什么,弱点在哪里 看不懂下面的不要紧 后面我会慢慢解释 unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。与之相对的函数serialize()序列化函数。 掌握语言的最好方法就是自己动手敲 我们举个例子 &l
一种针对PHP对象注入漏洞的新型利用方法
代码技巧
09-08 987
前言就在前段时间的BlackHat黑客大会上,来自Secarma的安全研究专家Sam Thomas介绍了一种可导致严重PHP对象注入漏洞出现的新型漏洞利用技术,这种技术不...
php对象注入,PHP序列化/对象注入漏洞分析
weixin_30376865的博客
03-11 199
本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell。如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作。漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化。为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 。它会被动检测PHP和Java序列化的存在。分析我们检测到了应用里使用了PHP序列化,...
解析PHP对象注入漏洞
Exploit的小站~
02-03 3081
 0、前言 逛乌云知识库的时候看到一篇有趣的译文:http://drops.wooyun.org/papers/4820。 说的是一种注入方式,叫对象注入对象也能注入? 是的,只要是存在污染数据,没有什么是不可能注入的,但是这个漏洞有点太古怪了,所以我觉得有趣。   1、原理 在程序编写的时候,往往需要序列化一些运行时数据,所谓序列化就是按照一定的格式将运行时数据写入本地文件。
PHP Object Injection(PHP对象注入
Bendawang's Blog
03-18 4797
PHP Object Injection(PHP对象注入
1300张图片训练效果
最新发布
10-31
1300张图片训练效果
springboot116基于java的教学辅助平台.zip
10-31
教学辅助平台的出现,是为了更好地服务于教育工作者和学生,提高教学效果和学习效率。该平台集成了多个功能模块,旨在为用户提供全面、便捷的教学辅助服务。 平台首页作为导航入口,提供了清晰的界面布局和便捷的导航功能,方便用户快速找到所需功能。需要注意的是,“首页”这一选项在导航菜单中出现了多次,可能是设计上的冗余,需要进一步优化。 “个人中心”模块允许用户查看和管理自己的个人信息,包括修改密码等账户安全设置,确保用户信息的准确性和安全性。 在教育教学方面,“学生管理”和“教师管理”模块分别用于管理学生和教师的信息,包括学生档案、教师资料等,方便教育工作者进行学生管理和教学安排。同时,“课程信息管理”、“科目分类管理”和“班级分类管理”模块提供了课程信息的发布、科目和班级的分类管理等功能,有助于教育工作者更好地组织和管理教学内容。 此外,“课程作业管理”模块支持教师布置和批改作业,学生可以查看和提交作业,实现了作业管理的线上化,提高了教学效率。而“交流论坛”模块则为学生和教师提供了一个交流和讨论的平台,有助于促进师生互动和学术交流。 最后,“系统管理”模块为平台管理员提供了系统配置.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值