PHP Objiect Injection

标签：Objiect 对象应用程序漏洞 PHP 攻击者 Injection 序列化

一、概述

PHP Object Injection（PHP对象注入）是一种安全漏洞，可以允许攻击者在应用程序中注入恶意对象。这种漏洞出现在未正确过滤和验证用户输入数据的情况下，特别是在序列化和反序列化操作中。

在PHP中，对象序列化是将对象转换为可以存储或传输的格式的过程。反序列化则是将存储或传输的数据重新转换为对象的过程。攻击者利用这个过程中的漏洞，注入恶意序列化数据，使得应用程序在反序列化时执行攻击者指定的代码。这可以导致各种安全问题，包括远程代码执行、敏感信息泄露和身份验证绕过等。

攻击者通常利用此漏洞来执行他们自己的恶意代码。他们可以构造一个带有恶意类和有效负载的序列化对象，以便在反序列化时执行该代码。恶意代码可能包括执行操作系统命令、读取或写入文件、更改程序逻辑等。

为了防止PHP对象注入漏洞，开发人员应该始终对用户输入数据进行充分的验证和过滤，特别是在进行对象序列化和反序列化操作时。此外，应该避免使用不可信的数据来构造对象，并确保正确配置程序以减少攻击面。定期更新PHP版本和相关库也很重要，因为新的PHP版本通常包含修复已知的漏洞。

二、PHP对象注入的危害

远程代码执行：攻击者可以构造恶意对象，在反序列化时执行恶意代码。这可能导致攻击者能够在受影响的应用程序上执行任意代码，包括执行操作系统命令、访问敏感数据、修改文件系统等。

敏感信息泄露：攻击者可以利用对象注入漏洞来访问和窃取应用程序中的敏感数据，如数据库凭据、用户个人信息等。

身份验证绕过：通过注入恶意对象，攻击者可以绕过身份验证和访问控制机制，获取未经授权的权限。

数据篡改：攻击者可以修改被序列化的数据中的对象属性和值，导致应用程序在反序列化时使用恶意数据，可能导致数据的意外修改、损坏或篡改。

拒绝服务（DoS）攻击：攻击者可能构造恶意对象，导致应用程序在反序列化时执行资源密集型或无限循环的操作，从而耗尽服务器资源，导致应用程序无法响应其他合法的请求。

社交工程和钓鱼攻击：攻击者可以构造看似合法的序列化数据，欺骗用户点击恶意链接或执行恶意操作，从而获取用户的敏感信息或执行其他恶意活动。

扩大攻击面：通过成功利用对象注入漏洞攻击应用程序，攻击者可能获得对整个系统的控制权，从而对其他系统和网络资源进行进一步的攻击。

因此，保护应用程序免受对象注入漏洞的影响至关重要，开发人员应该始终对用户输入数据进行充分的验证、过滤和授权，以最小化潜在的攻击风险。

三、PHP对象注入的原理

3.1 PHP命令执行漏洞：

PHP应用程序有时需要调用一些执行系统命令的函数，如php中的system，exec，shell exec，passthru，popen等，当用户可以控制这些函数的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令注入攻击/命令执行漏洞。

使用条件：

1.用户可以控制函数输入

2.存在可以执行代码的危险函数

3.2 PHP文件包含漏洞：

通过PHP函数某些特性函数利用URL动态引入文件时，传入的文件名没有经过合理的验证，从而操作了预想之外的文件，就可能导致意外的文件泄漏甚至恶意代码注入。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，被包含的文件可以是各种文件格式，当文件中包含恶意代码，就会形成远程命令执行或文件上传漏洞。

常见文件包含函数：

include（）：包含并运行指定文件。只生成警告，脚本会继续执行
require（）：包含并运行指定文件。在出错时产生错误,脚本中止运行
include_once（）：在脚本执行期间包含并运行制定文件。与include区别:检查是否被包含过,如果是则不会再次包含。
require_once（）：在脚本执行期间包含并运行制定文件。与require区别:检查是否被包含过,如果是则不会再次包含。

3.3 PHP伪协议：

PHP 带有很多内置 URL 风格的封装协议，可用于类似 fopen()、 copy()、 file_exists() 和 filesize() 的文件系统函数。除了这些封装协议，还能通过stream_wrapper_register() 来注册自定义的封装协议。

file:// — 访问本地文件系统

http:// — 访问 HTTP(s) 网址

ftp:// — 访问 FTP(s) URLs

php:// — 访问各个输入/输出流（I/O streams）

zlib:// — 压缩流

data:// — 数据（RFC 2397）

glob:// — 查找匹配的文件路径模式

phar:// — PHP 归档

ssh2:// — Secure Shell 2

rar:// — RAR

ogg:// — 音频流

expect:// — 处理交互式的流

标签：Objiect,对象,应用程序,漏洞,PHP,攻击者,Injection,序列化
From： https://blog.csdn.net/qq_67812668/article/details/141094756