麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

前記

前段時(shí)間，在美國的BlackHat會議上宣布了一種針對PHP應(yīng)用程序的新漏洞利用方式。你可以在這篇文章中了解到它。

概要

WF曲速未來消息：來自Secarma的安全研究員Sam Thomas發(fā)現(xiàn)了一種新的漏洞利用方式，可以在不使用php函數(shù)unserialize()的前提下，引起嚴(yán)重的php對象注入漏洞。這個(gè)新的攻擊方式被他公開在了美國的BlackHat會議演講上，演講主題為：”不為人所知的php反序列化漏洞”。它可以使攻擊者將相關(guān)漏洞的嚴(yán)重程度升級為遠(yuǎn)程代碼執(zhí)行。

流包裝

大多數(shù)PHP文件操作允許使用各種URL協(xié)議去訪問文件路徑，如data://，zlib://或php://。其中一些包裝器通常用于利用遠(yuǎn)程文件包含漏洞，攻擊者可以在其中控制文件包含的完整文件路徑。例如，包裝器被注入泄漏源代碼，否則將被執(zhí)行，或者注入自己的PHP代碼執(zhí)行：

Phar元數(shù)據(jù)

但到目前為止，沒有人關(guān)注phar://。Phar（PHP Archive）文件的有趣之處在于它們包含序列化格式的元數(shù)據(jù)。讓我們創(chuàng)建一個(gè)Phar文件，并添加一個(gè)包含一些數(shù)據(jù)作為元數(shù)據(jù)的對象：

我們新創(chuàng)建的test.phar文件現(xiàn)在具有以下內(nèi)容。我們可以看到我們的對象存儲為序列化字符串。

PHP對象注入

如果現(xiàn)在通過phar://包裝器對我們現(xiàn)有的Phar文件進(jìn)行文件操作，則其序列化元數(shù)據(jù)將被反序列化。這意味著我們在元數(shù)據(jù)中注入的對象將被加載到應(yīng)用程序中。如果此應(yīng)用程序具有已命名的類AnyClass，并且具有魔術(shù)方法函數(shù)__destruct()或__wakeup()定義，則會自動調(diào)用這些方法。這意味著我們可以在代碼庫中觸發(fā)任何析構(gòu)函數(shù)或喚醒方法。更糟糕的是，如果這些方法函數(shù)對我們注入的數(shù)據(jù)進(jìn)行操作，那么這可能會導(dǎo)致進(jìn)一步的漏洞：

漏洞利用

首先，攻擊者必須能夠在目標(biāo)Web服務(wù)器上植入精心制作的Phar文件。而Sam Thomas發(fā)現(xiàn)了一些關(guān)于如何將Phar文件隱藏到JPG中的好技巧，因此常見的圖像上傳功能已足夠。

到目前為止，這似乎仍不是關(guān)鍵，因?yàn)楣粽呷绻梢钥刂浦T如完整的include()，fopen()，file_get_contents()，file()等文件操作的函數(shù)，則可以造成嚴(yán)重的漏洞。因此，通常需要在這些函數(shù)使用前驗(yàn)證用戶的輸入。

但是，phar://在任何文件操作中都會觸發(fā)反序列化。因此，其他文件操作，例如file_exists()簡單地檢查文件的存在，直到現(xiàn)在被認(rèn)為對安全風(fēng)險(xiǎn)不太敏感并且受到較少保護(hù)。但是現(xiàn)在攻擊者可以注入phar://包裝器并獲得代碼執(zhí)行：

總結(jié)

WF曲速未來提醒：可以通過RIPS的污點(diǎn)分析，然后就可以在PHP文件操作中自動檢測用戶輸入的未經(jīng)過濾或驗(yàn)證的信息。這樣，我們即可檢測文件刪除、泄露、寫入、創(chuàng)建、包含（等等）漏洞。