深入讲解PHP的对象注入(Object Injection)


Posted in PHP onMarch 01, 2017

前言

虽然这篇文章叫做PHP对象注入,但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。

基础知识

在php类中可能会存在一些叫做魔术函数(magic 函数),这些函数会在类进行某些事件的时候自动触发,例如__construct()会在一个对象被创建时调用, __destruct()会在一个对象销毁时调用, __toString当对象被当做一个字符串的时候被调用。常见的魔术函数有__construct() __destruct() __toString() __sleep() __wakeup()

举例如下:

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
  echo $this->varr1."<br>";
 }
 public function __construct(){
  echo "__construct<br>";
 }
 public function __destruct(){
  echo "__destruct<br>";
 }
 public function __toString(){
  return "__toString<br>";
 }
 public function __sleep(){
  echo "__sleep<br>";
  return array('varr1','varr2');
 }
 public function __wakeup(){
  echo "__wakeup<br>";
 }
}

$obj = new test();  //实例化对象,调用__construct()方法,输出__construct
$obj->echoP();   //调用echoP()方法,输出"abc"
echo $obj;    //obj对象被当做字符串输出,调用__toString()方法,输出__toString
$s =serialize($obj);  //obj对象被序列化,调用__sleep()方法,输出__sleep
echo unserialize($s);  //$s首先会被反序列化,会调用__wake()方法,被反序列化出来的对象又被当做字符串,就会调用_toString()方法。
// 脚本结束又会调用__destruct()方法,输出__destruct
?>

原理

为什么会用到序列话这样的方法?主要就是就是方便进行数据的传输,并且数据恢复之后,数据的属性还不会发生变化。例如,将一个对象反序列化之后,还是保存了这个对象的所有的信息。同时还可以将序列化的值保存在文件中,这样需要用的时候就可以直接从文件中读取数据然后进行反序列化就可以了。在PHP使用serialize()unserialize()来进行序列化和反序列化的。

而序列化的危害就在于如果序列化的内容是用户可控的,那么用户就可以注入精心构造的payload。当进行发序列化的时候就有可能会出发对象中的一些魔术方法,造成意想不到的危害。

对象注入

本质上serialize()unserialize()在PHP内部实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。

如果在一个程序中,一个类用于临时将日志存储进某个文件中,当__destruct()方法被调用时,日志文件被删除。

代码大致如下:

logfile.php

<?php
class LogClass {
 public $logfilename = "";
 public function logdata($text) {
  echo "log data".$text."<br/>";
  file_put_contents($this->logfilename,$text,FILE_APPEBD);
 }

 public function __destruct() {
  echo 'deletes'.$this->logfilename;
  unlink(dirname(__FILE__).'/'.$this->logfilename);
 }
}
?>

在其他类中使用LogClass

logLogin.php

<?php
include "index.php";
$obj = new LogClass();
$obj->logfilename = "login.log";
$obj->logdata('记录日志');
?>

上面的这段代码就是一个正常的使用LogClass类来完成日志记录的功能。

下面显示的是存在对象注入漏洞的使用例子。

news.php

<?php
include "logfile.php";
// some codes the use the LogClass
class User {
 public $age = 0;
 public $name = '';
 public function print_data() {
  echo "User".$this->name."is".$this->age."years old.<br/>";
 }
}

// 从用户接受输入发序列化为User对象
$usr = unserialize($_GET["user"]);
?>

上面显示的代码使用了LogClass对象同时还会从用户那里接受输入进行发序列化转化为一个User对象。

当我们提交如下的数据

news.php?user=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

这样的语句是可以正常使用的,也是程序员希望使用的方法。

但是如果提交的数据为:

news.php?user=O:8:"LogClass":1:{s:11:"logfilename";s:9:".htaccess";}

那么最后就会输出delete .htaccess

可以看到通过构造的数据,导致执行了LogClass中的__destruct()方法然后删除了网站中重要的配置文件。

从上面这个例子也可以看出来,如果没有严格控制用户的输入同时对用户的输入进行了反序列化的操作,那么就有可能会实现代码执行的漏洞。

注入点

PHP对象注入一般在处在程序的逻辑上面。例如一个User类定义了__toString()用来进行格式化输出,但是也存在File类定义了__toString()方法读取文件内容然后进行显示,那么攻击者就有可能通过User类的反序列化构造一个File类来读取网站的配置文件。

user.php

<?php
class FileClass {
 public $filename = "error.log";
 public function __toString() {
 echo "filename发生了变化==>" . $this->filename ;
  return @file_get_contents($this->filename);
 }
}

class UserClass {
 public $age = 0;
 public $name = '';
 public function __toString() {
  return 'User '.$this->name." is ".$this->age.' years old. <br/>';
 }
}

$obj = unserialize($_GET['usr']);
echo $obj;  //调用obj的__toString()方法
?>

正常情况下我们应该传入UserClass序列化的字符串,例如user.php?usr=O:9:"UserClass":2:{s:3:"age";i:18;s:4:"name";s:3:"Tom";} ,页面最后就会输出User Tom is 18 years old.

这也是一个理想的使用方法。

深入讲解PHP的对象注入(Object Injection)

但是如果我们传入的数据为user.php?usr=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php";} ,页面最后的输出是filename发生了变化==>config.php,执行了FileClass中的__toString()方法。

深入讲解PHP的对象注入(Object Injection)

这样就可以读取到config.php中的源代码了。

漏洞挖掘

这类洞一般都是很难挖掘的,虽然显示看起来很简单,但实际上需要的条件还是相当的苛刻的,而且找对象注入的漏洞一般都是通过审计源代码的方式来进行寻找,看unserialize()的参数是否是可控的,是否存在反序列化其他参数对象的可能。

防御

要对程序中的各种边界条件进行测试

避免用户对于unserialize()参数是可控的,可以考虑使用json_decode方法来进行传参。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对三水点靠木的支持。

PHP 相关文章推荐
一个很方便的 XML 类!!原创的噢
Oct 09 PHP
如何在PHP中使用Oracle数据库(4)
Oct 09 PHP
PHP的中问验证码
Nov 25 PHP
php表单提交问题的解决方法
Apr 12 PHP
phpMyAdmin 链接表的附加功能尚未激活问题的解决方法(已测)
Mar 27 PHP
php中禁止单个IP与ip段访问的代码小结
Jul 04 PHP
PHP中全局变量global和$GLOBALS[]的区别分析
Aug 06 PHP
php加密解密实用类分享
Jan 07 PHP
php中__toString()方法用法示例
Dec 07 PHP
ThinkPHP 模板substr的截取字符串函数详解
Jan 09 PHP
laravel 实现设置时区的简单方法
Oct 10 PHP
Laravel 微信小程序后端实现用户登录的示例代码
Nov 26 PHP
PHP实现图片批量打包下载功能
Mar 01 #PHP
深入解析PHP中SESSION反序列化机制
Mar 01 #PHP
yii2使用GridView实现数据全选及批量删除按钮示例
Mar 01 #PHP
PHP插件PHPMailer发送邮件功能
Feb 28 #PHP
PHP利用正则表达式将相对路径转成绝对路径的方法示例
Feb 28 #PHP
PHP用正则匹配form表单中所有元素的类型和属性值实例代码
Feb 28 #PHP
PHP中让json_encode不自动转义斜杠“/”的方法
Feb 28 #PHP
You might like
追忆往昔!浅谈收音机的百年发展历史
2021/03/01 无线电
判断PHP数组是否为空的代码
2011/09/08 PHP
ubuntu10.04配置 nginx+php-fpm模式的详解
2013/06/03 PHP
php根据分类合并数组的方法实例详解
2013/11/06 PHP
在PHP程序中使用Rust扩展的方法
2015/07/03 PHP
PHP实现适用于自定义的验证码类
2016/06/15 PHP
Yii中srbac权限扩展模块工作原理与用法分析
2016/07/14 PHP
PHP利用超级全局变量$_GET来接收表单数据的实例
2016/11/05 PHP
windows下的WAMP环境搭建图文教程(推荐)
2017/07/27 PHP
javascript for循环设法提高性能
2010/02/24 Javascript
jquery下为Event handler传递动态参数的代码
2011/01/06 Javascript
JS数组的常见用法实例
2015/02/10 Javascript
js实现漂浮回顶部按钮实例
2015/05/06 Javascript
浅析Node.js中使用依赖注入的相关问题及解决方法
2015/06/24 Javascript
jQuery form 表单验证插件(fieldValue)校验表单
2016/01/24 Javascript
JS获得多个同name 的input输入框的值的实现方法
2017/01/09 Javascript
浅谈Node.js轻量级Web框架Express4.x使用指南
2017/05/03 Javascript
jQuery实现radio第一次点击选中第二次点击取消功能
2017/05/15 jQuery
BootStrap daterangepicker 双日历控件
2017/06/02 Javascript
详解vue指令与$nextTick 操作DOM的不同之处
2018/08/02 Javascript
elementUi vue el-radio 监听选中变化的实例代码
2019/06/28 Javascript
Handtrack.js库实现实时监测手部运动(推荐)
2021/02/08 Javascript
[00:35]2016完美“圣”典风云人物:冷冷宣传片
2016/12/08 DOTA
详解Python中的序列化与反序列化的使用
2015/06/30 Python
python安装PIL模块时Unable to find vcvarsall.bat错误的解决方法
2016/09/19 Python
Python计时相关操作详解【time,datetime】
2017/05/26 Python
如何分离django中的媒体、静态文件和网页
2019/11/12 Python
Python爬取豆瓣视频信息代码实例
2019/11/16 Python
python对文件的操作方法汇总
2020/02/28 Python
Python代码覆盖率统计工具coverage.py用法详解
2020/11/25 Python
分享一个python的aes加密代码
2020/12/22 Python
CSS3教程(6):创建网站多列
2009/04/02 HTML / CSS
十一个高级MySql面试题
2014/10/06 面试题
应聘编辑职位自荐信范文
2014/01/05 职场文书
秀!学妹看见都惊呆的Python小招数!【详细语言特性使用技巧】
2021/04/27 Python
MySQL数据库超时设置配置的方法实例
2021/10/15 MySQL