深入讲解PHP的对象注入(Object Injection)

前言

虽然这篇文章叫做PHP对象注入，但是本质上还是和PHP的序列化的不正确使用有关。如果你阅读了PHP中的SESSION反序列化机制对序列化就会有一个大致的认识。PHP对象注入其实本质上也是由于序列化引起的。

基础知识

在php类中可能会存在一些叫做魔术函数(magic 函数)，这些函数会在类进行某些事件的时候自动触发，例如__construct()会在一个对象被创建时调用， __destruct()会在一个对象销毁时调用， __toString当对象被当做一个字符串的时候被调用。常见的魔术函数有__construct() 、 __destruct() 、 __toString() 、 __sleep() 、 __wakeup() 。

举例如下：

<?php
class test{
 public $varr1="abc";
 public $varr2="123";
 public function echoP(){
  echo $this->varr1."<br>";
 }
 public function __construct(){
  echo "__construct<br>";
 }
 public function __destruct(){
  echo "__destruct<br>";
 }
 public function __toString(){
  return "__toString<br>";
 }
 public function __sleep(){
  echo "__sleep<br>";
  return array('varr1','varr2');
 }
 public function __wakeup(){
  echo "__wakeup<br>";
 }
}

$obj = new test();  //实例化对象，调用__construct()方法，输出__construct
$obj->echoP();   //调用echoP()方法，输出"abc"
echo $obj;    //obj对象被当做字符串输出，调用__toString()方法，输出__toString
$s =serialize($obj);  //obj对象被序列化，调用__sleep()方法，输出__sleep
echo unserialize($s);  //$s首先会被反序列化，会调用__wake()方法，被反序列化出来的对象又被当做字符串，就会调用_toString()方法。
// 脚本结束又会调用__destruct()方法，输出__destruct
?>

原理

为什么会用到序列话这样的方法？主要就是就是方便进行数据的传输，并且数据恢复之后，数据的属性还不会发生变化。例如，将一个对象反序列化之后，还是保存了这个对象的所有的信息。同时还可以将序列化的值保存在文件中，这样需要用的时候就可以直接从文件中读取数据然后进行反序列化就可以了。在PHP使用serialize()和unserialize()来进行序列化和反序列化的。

而序列化的危害就在于如果序列化的内容是用户可控的，那么用户就可以注入精心构造的payload。当进行发序列化的时候就有可能会出发对象中的一些魔术方法，造成意想不到的危害。

对象注入

本质上serialize()和unserialize()在PHP内部实现上是没有漏洞的，漏洞的主要产生是由于应用程序在处理对象、魔术函数以及序列化相关问题的时候导致的。

如果在一个程序中，一个类用于临时将日志存储进某个文件中，当__destruct()方法被调用时，日志文件被删除。

代码大致如下:

logfile.php

<?php
class LogClass {
 public $logfilename = "";
 public function logdata($text) {
  echo "log data".$text."<br/>";
  file_put_contents($this->logfilename,$text,FILE_APPEBD);
 }

 public function __destruct() {
  echo 'deletes'.$this->logfilename;
  unlink(dirname(__FILE__).'/'.$this->logfilename);
 }
}
?>

在其他类中使用LogClass

logLogin.php

<?php
include "index.php";
$obj = new LogClass();
$obj->logfilename = "login.log";
$obj->logdata('记录日志');
?>

上面的这段代码就是一个正常的使用LogClass类来完成日志记录的功能。

下面显示的是存在对象注入漏洞的使用例子。

news.php

<?php
include "logfile.php";
// some codes the use the LogClass
class User {
 public $age = 0;
 public $name = '';
 public function print_data() {
  echo "User".$this->name."is".$this->age."years old.<br/>";
 }
}

// 从用户接受输入发序列化为User对象
$usr = unserialize($_GET["user"]);
?>

上面显示的代码使用了LogClass对象同时还会从用户那里接受输入进行发序列化转化为一个User对象。

当我们提交如下的数据

news.php?user=O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"John”;}

这样的语句是可以正常使用的，也是程序员希望使用的方法。

但是如果提交的数据为：

news.php?user=O:8:"LogClass":1:{s:11:"logfilename";s:9:".htaccess";}

那么最后就会输出delete .htaccess。

可以看到通过构造的数据，导致执行了LogClass中的__destruct()方法然后删除了网站中重要的配置文件。

从上面这个例子也可以看出来，如果没有严格控制用户的输入同时对用户的输入进行了反序列化的操作，那么就有可能会实现代码执行的漏洞。

注入点

PHP对象注入一般在处在程序的逻辑上面。例如一个User类定义了__toString()用来进行格式化输出，但是也存在File类定义了__toString()方法读取文件内容然后进行显示，那么攻击者就有可能通过User类的反序列化构造一个File类来读取网站的配置文件。

user.php

<?php
class FileClass {
 public $filename = "error.log";
 public function __toString() {
 echo "filename发生了变化==>" . $this->filename ;
  return @file_get_contents($this->filename);
 }
}

class UserClass {
 public $age = 0;
 public $name = '';
 public function __toString() {
  return 'User '.$this->name." is ".$this->age.' years old. <br/>';
 }
}

$obj = unserialize($_GET['usr']);
echo $obj;  //调用obj的__toString()方法
?>

正常情况下我们应该传入UserClass序列化的字符串，例如user.php?usr=O:9:"UserClass":2:{s:3:"age";i:18;s:4:"name";s:3:"Tom";} ，页面最后就会输出User Tom is 18 years old. 。

这也是一个理想的使用方法。

但是如果我们传入的数据为user.php?usr=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php";} ,页面最后的输出是filename发生了变化==>config.php,执行了FileClass中的__toString()方法。

这样就可以读取到config.php中的源代码了。

漏洞挖掘

这类洞一般都是很难挖掘的，虽然显示看起来很简单，但实际上需要的条件还是相当的苛刻的，而且找对象注入的漏洞一般都是通过审计源代码的方式来进行寻找，看unserialize()的参数是否是可控的，是否存在反序列化其他参数对象的可能。

防御

要对程序中的各种边界条件进行测试

避免用户对于unserialize()参数是可控的，可以考虑使用json_decode方法来进行传参。

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对的支持。

# 对象注入  # PHP序列化/对象注入漏洞分析  # 序列化  # 就会  # 就有  # 会在  # 就可以  # 都是  # 这篇文章  # 本质上  # 配置文件  # 源代码  # 类中  # 的是  # 是一个  # 发生了  # 如果你  # 还可以  # 很难  # 是由于  # 还会  # 这段 

相关文章： 如何通过远程VPS快速搭建个人网站？  建站主机与虚拟主机有何区别？如何选择最优方案？  焦点电影公司作品,电影焦点结局是什么？  如何零基础在云服务器搭建WordPress站点？  整蛊网站制作软件,手机不停的收到各种网站的验证码短信,是手机病毒还是人为恶搞?有这种手机病毒吗？  网站规划与制作是什么,电子商务网站系统规划的内容及步骤是什么？  家庭建站与云服务器建站，如何选择更优？  如何在阿里云服务器自主搭建网站？  免费制作小说封面的网站有哪些,怎么接网站批量的封面单？  如何快速重置建站主机并恢复默认配置？  建站之星2.7模板：企业网站建设与h5定制设计专题  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  黑客如何利用漏洞与弱口令入侵网站服务器？  如何高效配置香港服务器实现快速建站？  道歉网站制作流程,世纪佳缘致歉小吴事件，相亲网站身份信息伪造该如何稽查？  C++中引用和指针有什么区别？（代码说明）  建站之星后台管理：高效配置与模板优化提升用户体验  模具网站制作流程,如何找模具客户？  如何通过服务器快速搭建网站？完整步骤解析  移动端手机网站制作软件,掌上时代，移动端网站的谷歌SEO该如何做？  如何制作新型网站程序文件,新型止水鱼鳞网要拆除吗？  一键制作网站软件下载安装,一键自动采集网页文档制作步骤？  如何选择高性价比服务器搭建个人网站？  如何在Ubuntu系统下快速搭建WordPress个人网站？  交易网站制作流程,我想开通一个网站，注册一个交易网址，需要那些手续？  海南网站制作公司有哪些,海口网是哪家的？  建站之星各版本价格是多少？  如何挑选最适合建站的高性能VPS主机？  如何在IIS7上新建站点并设置安全权限？  小程序网站制作需要准备什么资料,如何制作小程序？  建站之星安装需要哪些步骤及注意事项？  导航网站建站方案与优化指南：一站式高效搭建技巧解析  大连网站制作公司哪家好一点,大连买房网站哪个好？  如何在景安服务器上快速搭建个人网站？  广州网站制作的公司,现在专门做网站的公司有没有哪几家是比较好的，性价比高，模板也多的？  如何用PHP快速搭建CMS系统？  攀枝花网站建设,攀枝花营业执照网上怎么年审？  上海网站制作网站建设公司,建筑电工证网上查询系统入口？  青岛网站设计制作公司,查询青岛招聘信息的网站有哪些？  小米网站链接制作教程,请问miui新增网页链接调用服务有什么用啊？  网站图片在线制作软件,怎么在图片上做链接？  mc皮肤壁纸制作器,苹果平板怎么设置自己想要的壁纸我的世界？  南京做网站制作公司,南京哈发网络有限公司，公司怎么样，做网页美工DIV+CSS待遇怎么样？  建站之星如何开启自定义404页面避免用户流失？  建站VPS配置与SEO优化指南：关键词排名提升策略  网页设计网站制作软件,microsoft office哪个可以创建网页？  建站之星备案流程有哪些注意事项？  网站制作软件免费下载安装,有哪些免费下载的软件网站？  如何设计高效校园网站？  建站之星后台搭建步骤解析：模板选择与产品管理实操指南