前言
在之前的BlackHat 2018大會上公布了一款針對PHP應(yīng)用程序的全新攻擊技術(shù)。我們將通過這篇文章簡單介紹下。
創(chuàng)新互聯(lián)主營達(dá)茂旗網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,
成都App制作,達(dá)茂旗h5
小程序設(shè)計(jì)搭建,達(dá)茂旗網(wǎng)站營銷推廣歡迎達(dá)茂旗等地區(qū)企業(yè)咨詢
來自Secarma的安全研究員Sam Thomas發(fā)現(xiàn)了一種新的開發(fā)技術(shù)��,它可以導(dǎo)致
PHP對象注入漏洞
——而無需使用PHPunserialize()函數(shù)��。這項(xiàng)新技術(shù)是在BlackHat 2018大會上公布的���,利用
PHP反序列化漏洞
升實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行�����。我們在RIPS代碼分析引擎中添加了對這種新型攻擊的檢測��。
常見樣式
大多數(shù)PHP文件操作允許在訪問文件路徑時(shí)使用各種url樣式�����,如data://�、zlib://或php://。這些操作通常用于遠(yuǎn)程文件�����,攻擊者可以在其中控制文件包含完整的文件路徑��。
遠(yuǎn)程文件包含漏洞利用:
include($_GET['file'])
include('php://filter/convert.base64-encode/resource=index.php');
include('data://text/plain;base64,cGhwaW5mbygpCg==');
Phar元數(shù)據(jù)
但到目前為止����,很少有人關(guān)注phar://這個(gè)點(diǎn)。Phar(PHP Archive)文件的有趣之處在于它們包含序列化格式的
元數(shù)據(jù)
�。讓我們創(chuàng)建一個(gè)Phar文件,并添加一個(gè)包含一些數(shù)據(jù)作為元數(shù)據(jù)的對象:
// create new Phar$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub('');
// add object of any class as meta data
class AnyClass {}
$object = new AnyClass;
$object->data = 'rips';
$phar->setMetadata($object);
$phar->stopBuffering();
我們新建的test.phar文件有以下內(nèi)容��。我們可以看到對象被存儲為一個(gè)序列化的字符串�。
PHP對象注入
如果現(xiàn)在通過phar://對我們現(xiàn)有的Phar文件執(zhí)行文件操作,則其序列化元數(shù)據(jù)將被反序列化���。這意味著我們在元數(shù)據(jù)中注入的對象被加載到應(yīng)用程序的范圍中�。如果此應(yīng)用程序具有已命名的AnyClass類并且具有魔術(shù)方法destruct()或wakeup()定義,則會自動(dòng)調(diào)用這些方法�。這意味著我們可以在代碼庫中觸發(fā)任何析構(gòu)函數(shù)或wakeup方法。更糟糕的是����,如果這些方法對我們注入的數(shù)據(jù)進(jìn)行操作,那么這可能會導(dǎo)致進(jìn)一步的漏洞����。
class AnyClass {
function __destruct() {
echo $this->data;
}
}
// output: rips
include('phar://test.phar');
利用
首先����,攻擊者必須能夠在目標(biāo)Web服務(wù)器上植入一個(gè)Phar文件。Sam Thomas發(fā)現(xiàn)了一個(gè)如何將Phar文件隱藏到JPG文件中的
技巧
���,因此只要常見的圖片上傳功能就足夠���。但這并不重要,因?yàn)槿绻粽呖梢栽讪琻clude()���,fopen()����,file_get_contents(),file()等操作中控制完整的文件路徑�,那么將會造成嚴(yán)重的安全漏洞。因此���,通常會在用戶輸入中驗(yàn)證這些功能��。但是現(xiàn)在攻擊者可以通過phar://注入并獲得代碼執(zhí)行���。
到目前為止看起來無害的代碼示例:
file_exists($_GET['file']);
md5_file($_GET['file']);
filemtime($_GET['file']);
filesize($_GET['file']);
總結(jié)
通過RIPS的分析,我們可以自動(dòng)檢測用戶輸入是否在PHP文件操作中未經(jīng)驗(yàn)證�。
這樣,我們檢測是否存在文件刪除���、文件泄露�、文件寫入�����,文件操作��,文件創(chuàng)建、文件包含(等等)漏洞�。
此外,RIPS對敏感字符串分析使我們能夠精確評估文件路徑是完全還是由攻擊者控制�����,以及是否可以phar://注入���。最后����,我們在RIPS代碼分析器中添加了一個(gè)名為Phar Deserialization的新漏洞類型�,以檢測這種新類型的代碼風(fēng)險(xiǎn)。
本文轉(zhuǎn)載自“
FreeBuf.COM
”�,原文由
周大濤編譯
網(wǎng)站欄目:PHPphar:協(xié)議對象注入技術(shù)介紹-創(chuàng)新互聯(lián)
當(dāng)前路徑:
http://weahome.cn/article/hohse.html
重慶分公司
重慶分公司
