解析PHP对象注入漏洞_PHP教程-php教程-PHP中文网

解析PHP对象注入漏洞

首页

后端开发

php教程

解析PHP对象注入漏洞_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 13, 2016 am 10:07 AM

对象漏洞

解析PHP对象注入漏洞

0、前言

逛乌云知识库的时候看到一篇有趣的译文：www.Bkjia.com

说的是一种注入方式，叫对象注入。对象也能注入？

是的，只要是存在污染数据，没有什么是不可能注入的，但是这个漏洞有点太古怪了，所以我觉得有趣。

1、原理

在程序编写的时候，往往需要序列化一些运行时数据，所谓序列化就是按照一定的格式将运行时数据写入本地文件。这样做可以对数据进行本地保存，用的时候直接读文件就可以把运行时产生的数据读出。在PHP中就是serialize和unserialize函数了。

能够注入的原理就是在反序列化的时候，引入了污染数据造成的，比如：

$obj = unserialize($_GET[‘injection’]) ;

通过这个语句，我们可以自己按照序列化数据的格式进行构造，得到我们想要的对象$obj。

有人就要问了，你仅仅得到这个对象$obj有啥用？先看看下面的实例。

2、情景

该情景也是来源于译文中的demo，这里还原一下：

<!--?php 
header(Content-type:text/html;charset=UTF-8);
// … 一些include ...
class FileClass
{
    // 文件名
 
    public $filename = error.log;
 
    //当对象被作为一个字符串会读取这个文件
 
    public function __toString()
    {
        echo filename发生了变化==--> . $this->filename ;
        return file_get_contents($this->filename) ;                
    }
}
 
// Main User class
 
class User
{
    // Class data
 
    public $age = 0;
    public $name = &#39;&#39;;
 
    // 允许对象作为一个字符串输出上面的data
 
    public function __toString()
    {
        return &#39;User &#39; . $this->name . &#39; is &#39; . $this->age . &#39; years old. 
&#39;;
    }
}
 
// 用户可控
 
$obj = unserialize($_GET[&#39;usr_serialized&#39;]);
 
// 输出 __toString
var_dump($obj) ;
echo $obj;

?>

登录后复制

上面的代码是从用户可控的数据获取一个序列化数据，然后调用unserialize方法对$_GET['usr_serialized']进行反序列化，那么这个$obj就可以被我们控制了。

正常的方式是提交：

http://127.0.0.1/code/objin.php?usr_serialized=O:4:User:2:{s:3:age;i:20;s:4:name;s:4:John;}

上面的序列化数据是一个User类的对象，其中$age=20, $name=John。

这时，echo $obj ;直接echo对象，就能调用魔术方法__toString，在User类中已经对这个魔术方法进行了重载，即输出一段字符串，运行效果如下：

上面的代码是从用户可控的数据获取一个序列化数据，然后调用unserialize方法对$_GET['usr_serialized']进行反序列化，那么这个$obj就可以被我们控制了。

正常的方式是提交：

http://127.0.0.1/code/objin.php?usr_serialized=O:4:User:2:{s:3:age;i:20;s:4:name;s:4:John;}

上面的序列化数据是一个User类的对象，其中$age=20, $name=John。

这时，echo $obj ;直接echo对象，就能调用魔术方法__toString，在User类中已经对这个魔术方法进行了重载，即输出一段字符串，运行效果如下：

3、漏洞挖掘

这类漏洞相当隐蔽，但是一旦出现效果很到位。挖掘主要是找找unserialize函数中的参数是否是污染数据。找到相应的控制位置，再看看哪个类可以利用起来完成我们的攻击，比如本情景中的FileClass类。

本站声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

热AI工具

热工具

热门话题

gmail邮箱登陆入口在哪里

7530

CakePHP 教程

1378

steam的账户名称是什么格式

win11激活密钥永久

NYT连接提示和答案

显示更多

Related knowledge

使用PHP的json_encode()函数将数组或对象转换为JSON字符串 Nov 03, 2023 pm 03:30 PM

JSON（JavaScriptObjectNotation）是一种轻量级的数据交换格式，已经成为Web应用程序之间数据交换的常用格式。PHP的json_encode()函数可以将数组或对象转换为JSON字符串。本文将介绍如何使用PHP的json_encode()函数，包括语法、参数、返回值以及具体的示例。语法json_encode()函数的语法如下：st

20步内越狱任意大模型！更多'奶奶漏洞”全自动发现 Nov 05, 2023 pm 08:13 PM

不到一分钟、不超过20步，任意绕过安全限制，成功越狱大型模型！而且不必知道模型内部细节——只需要两个黑盒模型互动，就能让AI全自动攻陷AI，说出危险内容。听说曾经红极一时的“奶奶漏洞”已经被修复了:如今，面对“侦探漏洞”、“冒险家漏洞”和“作家漏洞”，人工智能应该采取何种应对策略呢？一波猛攻下来，GPT-4也遭不住，直接说出要给供水系统投毒只要……这样那样。关键这只是宾夕法尼亚大学研究团队晒出的一小波漏洞，而用上他们最新开发的算法，AI可以自动生成各种攻击提示。研究人员表示，这种方法相比于现有的

Java中的缓冲区溢出漏洞及其危害 Aug 09, 2023 pm 05:57 PM

Java中的缓冲区溢出漏洞及其危害缓冲区溢出是指当我们向一个缓冲区写入超过其容量的数据时，会导致数据溢出到其他内存区域。这种溢出行为常常被黑客利用，可以导致代码执行异常、系统崩溃等严重后果。本文将介绍Java中的缓冲区溢出漏洞及其危害，同时给出代码示例以帮助读者更好地理解。Java中广泛使用的缓冲区类有ByteBuffer、CharBuffer、ShortB

如何将 MySQL 查询结果数组转换为对象？ Apr 29, 2024 pm 01:09 PM

将MySQL查询结果数组转换为对象的方法如下：创建一个空对象数组。循环结果数组并为每一行创建一个新的对象。使用foreach循环将每一行的键值对赋给新对象的相应属性。将新对象添加到对象数组中。关闭数据库连接。

使用Python的__contains__()函数定义对象的包含操作 Aug 22, 2023 pm 04:23 PM

使用Python的__contains__()函数定义对象的包含操作Python是一种简洁而强大的编程语言，提供了许多强大的功能来处理各种类型的数据。其中之一是通过定义__contains__()函数来实现对象的包含操作。本文将介绍如何使用__contains__()函数来定义对象的包含操作，并且给出一些示例代码。__contains__()函数是Pytho

OpenAI DALL-E 3 模型存生成'不当内容”漏洞，一微软员工上报后反遭'封口令” Feb 04, 2024 pm 02:40 PM

2月2日消息，微软软件工程部门经理ShaneJones最近发现OpenAI旗下的DALL-E3模型存在漏洞，据称可以生成一系列不适宜内容。ShaneJones向公司上报了该漏洞，但却被要求保密。然而，他最终还是决定向外界披露了这个漏洞。▲图源ShaneJones对外披露的报告本站注意到，ShaneJones在去年12月通过独立研究发现OpenAI文字生成图片的DALL-E3模型存在一项漏洞。这个漏洞能够绕过AI护栏（AIGuardrail），导致生成一系列NSFW不当内容。这个发现引起了广泛关注

Java中的逗号运算符漏洞和防护措施 Aug 10, 2023 pm 02:21 PM

Java中的逗号运算符漏洞和防护措施概述：在Java编程中，我们经常使用逗号运算符来同时执行多个操作。然而，有时候我们可能会忽略逗号运算符的一些潜在漏洞，这些漏洞可能导致意外的结果。本文将介绍Java中逗号运算符的漏洞，并提供相应的防护措施。逗号运算符的用法：逗号运算符在Java中的语法为expr1,expr2，可以说是一种序列运算符。它的作用是先计算ex