快捷導航

深入講解PHP的對象注入(Object Injection)

更新時間：2017年03月01日 11:51:49 作者：乘物游心

這篇文章主要介紹了PHP中對象注入的相關(guān)資料，文中通過示例代碼介紹的非常詳細，相信對大家具有一定的參考價值，需要的朋友們下面來一起看看吧。

前言

雖然這篇文章叫做PHP對象注入，但是本質(zhì)上還是和PHP的序列化的不正確使用有關(guān)。如果你閱讀了PHP中的SESSION反序列化機制對序列化就會有一個大致的認識。PHP對象注入其實本質(zhì)上也是由于序列化引起的。

基礎(chǔ)知識

在php類中可能會存在一些叫做魔術(shù)函數(shù)(magic 函數(shù))，這些函數(shù)會在類進行某些事件的時候自動觸發(fā)，例如__construct()會在一個對象被創(chuàng)建時調(diào)用， __destruct()會在一個對象銷毀時調(diào)用， __toString當對象被當做一個字符串的時候被調(diào)用。常見的魔術(shù)函數(shù)有__construct() 、 __destruct() 、 __toString() 、 __sleep() 、 __wakeup() 。

舉例如下：

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
  echo $this->varr1."<br>";
 }
 public function __construct(){
  echo "__construct<br>";
 }
 public function __destruct(){
  echo "__destruct<br>";
 }
 public function __toString(){
  return "__toString<br>";
 }
 public function __sleep(){
  echo "__sleep<br>";
  return array('varr1','varr2');
 }
 public function __wakeup(){
  echo "__wakeup<br>";
 }
}

$obj = new test();  //實例化對象，調(diào)用__construct()方法，輸出__construct
$obj->echoP();   //調(diào)用echoP()方法，輸出"abc"
echo $obj;    //obj對象被當做字符串輸出，調(diào)用__toString()方法，輸出__toString
$s =serialize($obj);  //obj對象被序列化，調(diào)用__sleep()方法，輸出__sleep
echo unserialize($s);  //$s首先會被反序列化，會調(diào)用__wake()方法，被反序列化出來的對象又被當做字符串，就會調(diào)用_toString()方法。
// 腳本結(jié)束又會調(diào)用__destruct()方法，輸出__destruct
?>

原理

為什么會用到序列話這樣的方法？主要就是就是方便進行數(shù)據(jù)的傳輸，并且數(shù)據(jù)恢復之后，數(shù)據(jù)的屬性還不會發(fā)生變化。例如，將一個對象反序列化之后，還是保存了這個對象的所有的信息。同時還可以將序列化的值保存在文件中，這樣需要用的時候就可以直接從文件中讀取數(shù)據(jù)然后進行反序列化就可以了。在PHP使用serialize()和unserialize()來進行序列化和反序列化的。

而序列化的危害就在于如果序列化的內(nèi)容是用戶可控的，那么用戶就可以注入精心構(gòu)造的payload。當進行發(fā)序列化的時候就有可能會出發(fā)對象中的一些魔術(shù)方法，造成意想不到的危害。

對象注入

本質(zhì)上serialize()和unserialize()在PHP內(nèi)部實現(xiàn)上是沒有漏洞的，漏洞的主要產(chǎn)生是由于應(yīng)用程序在處理對象、魔術(shù)函數(shù)以及序列化相關(guān)問題的時候?qū)е碌摹?br />

如果在一個程序中，一個類用于臨時將日志存儲進某個文件中，當__destruct()方法被調(diào)用時，日志文件被刪除。

代碼大致如下:

logfile.php

<?php
class LogClass {
 public $logfilename = "";
 public function logdata($text) {
  echo "log data".$text."<br/>";
  file_put_contents($this->logfilename,$text,FILE_APPEBD);
 }

 public function __destruct() {
  echo 'deletes'.$this->logfilename;
  unlink(dirname(__FILE__).'/'.$this->logfilename);
 }
}
?>

在其他類中使用LogClass

logLogin.php

<?php
include "index.php";
$obj = new LogClass();
$obj->logfilename = "login.log";
$obj->logdata('記錄日志');
?>

上面的這段代碼就是一個正常的使用LogClass類來完成日志記錄的功能。

下面顯示的是存在對象注入漏洞的使用例子。

news.php

<?php
include "logfile.php";
// some codes the use the LogClass
class User {
 public $age = 0;
 public $name = '';
 public function print_data() {
  echo "User".$this->name."is".$this->age."years old.<br/>";
 }
}

// 從用戶接受輸入發(fā)序列化為User對象
$usr = unserialize($_GET["user"]);
?>

上面顯示的代碼使用了LogClass對象同時還會從用戶那里接受輸入進行發(fā)序列化轉(zhuǎn)化為一個User對象。

當我們提交如下的數(shù)據(jù)

news.php?user=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

這樣的語句是可以正常使用的，也是程序員希望使用的方法。

但是如果提交的數(shù)據(jù)為：

news.php?user=O:8:"LogClass":1:{s:11:"logfilename";s:9:".htaccess";}

那么最后就會輸出delete .htaccess。

可以看到通過構(gòu)造的數(shù)據(jù)，導致執(zhí)行了LogClass中的__destruct()方法然后刪除了網(wǎng)站中重要的配置文件。

從上面這個例子也可以看出來，如果沒有嚴格控制用戶的輸入同時對用戶的輸入進行了反序列化的操作，那么就有可能會實現(xiàn)代碼執(zhí)行的漏洞。

注入點

PHP對象注入一般在處在程序的邏輯上面。例如一個User類定義了__toString()用來進行格式化輸出，但是也存在File類定義了__toString()方法讀取文件內(nèi)容然后進行顯示，那么攻擊者就有可能通過User類的反序列化構(gòu)造一個File類來讀取網(wǎng)站的配置文件。

user.php

<?php
class FileClass {
 public $filename = "error.log";
 public function __toString() {
 echo "filename發(fā)生了變化==>" . $this->filename ;
  return @file_get_contents($this->filename);
 }
}

class UserClass {
 public $age = 0;
 public $name = '';
 public function __toString() {
  return 'User '.$this->name." is ".$this->age.' years old. <br/>';
 }
}

$obj = unserialize($_GET['usr']);
echo $obj;  //調(diào)用obj的__toString()方法
?>

正常情況下我們應(yīng)該傳入UserClass序列化的字符串，例如user.php?usr=O:9:"UserClass":2:{s:3:"age";i:18;s:4:"name";s:3:"Tom";} ，頁面最后就會輸出User Tom is 18 years old. 。

這也是一個理想的使用方法。

但是如果我們傳入的數(shù)據(jù)為user.php?usr=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php";} ,頁面最后的輸出是filename發(fā)生了變化==>config.php,執(zhí)行了FileClass中的__toString()方法。