PHP对象注入一般在处在程序的逻辑上面。例如一个User类定义了__toString()用来进行格式化输出,但是也存在File类定义了__toString()方法读取文件内容然后进行显示,那么攻击者就有可能通过User类的反序列化构造一个File类来读取网站的配置文件。
user.php
<?php class FileClass { public $filename = "error.log"; public function __toString() { echo "filename发生了变化==>" . $this->filename ; return @file_get_contents($this->filename); } } class UserClass { public $age = 0; public $name = ''; public function __toString() { return 'User '.$this->name." is ".$this->age.' years old. <br/>'; } } $obj = unserialize($_GET['usr']); echo $obj; //调用obj的__toString()方法 ?>
正常情况下我们应该传入UserClass序列化的字符串,例如user.php?usr=O:9:"UserClass":2:{s:3:"age";i:18;s:4:"name";s:3:"Tom";} ,页面最后就会输出User Tom is 18 years old. 。
这也是一个理想的使用方法。
但是如果我们传入的数据为user.php?usr=O:9:"FileClass":1:{s:8:"filename";s:10:"config.php";} ,页面最后的输出是filename发生了变化==>config.php,执行了FileClass中的__toString()方法。
这样就可以读取到config.php中的源代码了。
漏洞挖掘
这类洞一般都是很难挖掘的,虽然显示看起来很简单,但实际上需要的条件还是相当的苛刻的,而且找对象注入的漏洞一般都是通过审计源代码的方式来进行寻找,看unserialize()的参数是否是可控的,是否存在反序列化其他参数对象的可能。
防御
要对程序中的各种边界条件进行测试
避免用户对于unserialize()参数是可控的,可以考虑使用json_decode方法来进行传参。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。
您可能感兴趣的文章: