php关于反序列化对象注入漏洞
php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。本文主要和大家分享php关于反序列化对象注入漏洞详解,希望能帮助到大家。
分析
php基础
serialize 把一个对象转成字符串形式, 可以用于保存
unserialize 把serialize序列化后的字符串变成一个对象
php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,
比如 __construct, __destruct, __toString, __sleep, __wakeup等等。
这些函数在某些情况下会自动调用,比如
__construct当一个对象创建时被调用,
__destruct当一个对象销毁时被调用,
__toString当一个对象被当作一个字符串使用。
举例说明
举个例子:
<?php
class TestClass
{
public $variable = 'This is a string';
public function PrintVariable()
{
echo $this->variable . '<br />';
}
public function __construct()
{
echo '__construct <br />';
}
public function __destruct()
{
echo '__destruct <br />';
}
public function __toString()
{
return '__toString<br />';
}
}
$object = new TestClass();
$object->PrintVariable();
echo $object;
?>
php允许保存一个对象方便以后重用,这个过程被称为序列化。
为什么要有序列化这种机制呢?
在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?难道要前一个脚本不断的循环,等待后面脚本调用?这肯定是不现实的。
serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值;unserialize则可以将serialize生成的字符串变换回变量。这样在跨脚本传输和执行就完美解决了。
magic函数__construct和__destruct会在对象创建或者销毁时自动调用;
__sleep magic方法在一个对象被序列化的时候调用;
__wakeup magic方法在一个对象被反序列化的时候调用。
<?phpclass User {
public $age = 0;
public $name = '';
public function Printx()
{
echo $this->name.' is '.$this->age.' years old.<br/>';
} public function __construct()
{
echo '__construct<br />';
}
public function __destruct()
{
echo '__destruct<br />';
}
public function __wakeup()
{
echo '__wakeup<br />';
}
public function __sleep()
{
echo '__sleep<br />';
return array('name', 'age');
}
}$usr = new User();
$usr->age = 20;
$usr->name = 'John';
$usr->Printx();
echo serialize($usr);echo '<br/>';
$str = 'O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}';
$user2 = unserialize($str);$user2->Printx();?>
现在我们了解序列化是如何工作的,但是我们如何利用它呢?
有多种可能的方法,取决于应用程序、可用的类和magic函数。
记住,序列化对象包含攻击者控制的对象值。
你可能在Web应用程序源代码中找到一个定义__wakeup或__destruct的类,这些函数会影响Web应用程序。
例如,我们可能会找到一个临时将日志存储到文件中的类。当销毁时对象可能不再需要日志文件并将其删除。把下面这段代码保存为log.php。
<?php //log.php class LogFile {
// log文件名
public $filename = 'error.log';
// 储存日志文件
public function LogData($text)
{
echo 'Log some data: ' . $text . '<br />';
file_put_contents($this->filename, $text, FILE_APPEND);
}
// 删除日志文件
public function __destruct()
{
echo '__destruct deletes "' . $this->filename . '" file. <br />';
unlink(dirname(__FILE__) . '/' . $this->filename);
}
}
?>test.php 假设这是给用户的php。
<?php
//test.php
include 'logfile.php';
// ... 一些使用LogFile类的代码...
// 简单的类定义
class User
{
// 类数据
public $age = 0;
public $name = '';
// 输出数据
public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
// 重建用户输入的数据
$usr = unserialize($_GET['usr_serialized']);
?>123.php
<?php
//123.php
include 'logfile.php';
$obj = new LogFile();
$obj->filename = '1.php';
echo serialize($obj) . '<br />';
?>开始有一个1.php: 
现在用户传入一个序列化字符串,test.php将其反序列化,
http://127.0.0.1/test.php?usr_serialized=
O:7:%22LogFile%22:1:{s:8:%22filename%22;s:5:%221.php%22;}
结果,解析出来的对象,在释放过程中,调用了log.php的__destruct()函数,把文件1.php给删除了。
利用总结
在变量可控并且进行了unserialize操作的地方注入序列化对象,实现代码执行或者其它坑爹的行为。
先不谈 __wakeup 和 __destruct,还有一些很常见的注入点允许你利用这个类型的漏洞,一切都是取决于程序逻辑。
举个例子,某用户类定义了一个__toString为了让应用程序能够将类作为一个字符串输出(echo $obj),而且其他类也可能定义了一个类允许__toString读取某个文件。
也可以使用其他magic函数:
如果对象将调用一个不存在的函数__call将被调用;
如果对象试图访问不存在的类变量__get和__set将被调用。
但是利用这种漏洞并不局限于magic函数,在普通的函数上也可以采取相同的思路。
例如User类可能定义一个get方法来查找和打印一些用户数据,但是其他类可能定义一个从数据库获取数据的get方法,这从而会导致SQL注入漏洞。
set或write方法会将数据写入任意文件,可以利用它获得远程代码执行。
唯一的技术问题是注入点可用的类,但是一些框架或脚本具有自动加载的功能。最大的问题在于人:理解应用程序以能够利用这种类型的漏洞,因为它可能需要大量的时间来阅读和理解代码。
相关推荐:
以上是php关于反序列化对象注入漏洞的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
热门话题
7658
15
1393
52
91
11
73
19
38
113
适用于 Ubuntu 和 Debian 的 PHP 8.4 安装和升级指南
Dec 24, 2024 pm 04:42 PM
PHP 8.4 带来了多项新功能、安全性改进和性能改进,同时弃用和删除了大量功能。 本指南介绍了如何在 Ubuntu、Debian 或其衍生版本上安装 PHP 8.4 或升级到 PHP 8.4
我后悔之前不知道的 7 个 PHP 函数
Nov 13, 2024 am 09:42 AM
如果您是一位经验丰富的 PHP 开发人员,您可能会感觉您已经在那里并且已经完成了。您已经开发了大量的应用程序,调试了数百万行代码,并调整了一堆脚本来实现操作
如何设置 Visual Studio Code (VS Code) 进行 PHP 开发
Dec 20, 2024 am 11:31 AM
Visual Studio Code,也称为 VS Code,是一个免费的源代码编辑器 - 或集成开发环境 (IDE) - 可用于所有主要操作系统。 VS Code 拥有针对多种编程语言的大量扩展,可以轻松编写
在PHP API中说明JSON Web令牌(JWT)及其用例。
Apr 05, 2025 am 12:04 AM
JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息,主要用于身份验证和信息交换。1.JWT由Header、Payload和Signature三部分组成。2.JWT的工作原理包括生成JWT、验证JWT和解析Payload三个步骤。3.在PHP中使用JWT进行身份验证时,可以生成和验证JWT,并在高级用法中包含用户角色和权限信息。4.常见错误包括签名验证失败、令牌过期和Payload过大,调试技巧包括使用调试工具和日志记录。5.性能优化和最佳实践包括使用合适的签名算法、合理设置有效期、
您如何在PHP中解析和处理HTML/XML?
Feb 07, 2025 am 11:57 AM
本教程演示了如何使用PHP有效地处理XML文档。 XML(可扩展的标记语言)是一种用于人类可读性和机器解析的多功能文本标记语言。它通常用于数据存储
php程序在字符串中计数元音
Feb 07, 2025 pm 12:12 PM
字符串是由字符组成的序列,包括字母、数字和符号。本教程将学习如何使用不同的方法在PHP中计算给定字符串中元音的数量。英语中的元音是a、e、i、o、u,它们可以是大写或小写。 什么是元音? 元音是代表特定语音的字母字符。英语中共有五个元音,包括大写和小写: a, e, i, o, u 示例 1 输入:字符串 = "Tutorialspoint" 输出:6 解释 字符串 "Tutorialspoint" 中的元音是 u、o、i、a、o、i。总共有 6 个元
解释PHP中的晚期静态绑定(静态::)。
Apr 03, 2025 am 12:04 AM
静态绑定(static::)在PHP中实现晚期静态绑定(LSB),允许在静态上下文中引用调用类而非定义类。1)解析过程在运行时进行,2)在继承关系中向上查找调用类,3)可能带来性能开销。
什么是PHP魔术方法(__ -construct,__destruct,__call,__get,__ set等)并提供用例?
Apr 03, 2025 am 12:03 AM
PHP的魔法方法有哪些?PHP的魔法方法包括:1.\_\_construct,用于初始化对象;2.\_\_destruct,用于清理资源;3.\_\_call,处理不存在的方法调用;4.\_\_get,实现动态属性访问;5.\_\_set,实现动态属性设置。这些方法在特定情况下自动调用,提升代码的灵活性和效率。
