LEN

PHP 反序列化注入踩坑
运气真不错 牛市来了 服务就让人盯上了 教训很深刻 50w 的学费.服务代买使用 php CI框架 写的. 最近线...
扫描右侧二维码阅读全文
17
2019/05

PHP 反序列化注入踩坑

运气真不错 牛市来了 服务就让人盯上了 教训很深刻 50w 的学费.

服务代买使用 php CI框架 写的. 最近线上服务器出现错误

[2019-05-15 22:03:21]127.0.0.1
content: [15-May-2019 22:03:21 Asia/Shanghai] PHP Fatal error: DISEVAL - Use of eval is forbidden in /data/release/project/system/View/Parser.php(526) : eval()'d code on line 1
[2019-05-15 22:03:21]127.0.0.1
content: [15-May-2019 22:03:21 Asia/Shanghai] PHP Stack trace:
[2019-05-15 22:03:21]127.0.0.1
content: [15-May-2019 22:03:21 Asia/Shanghai] PHP 1. {main}() /data/release/project/public/index.php:0
[2019-05-15 22:03:21]127.0.0.1
content: [15-May-2019 22:03:21 Asia/Shanghai] PHP 2. CodeIgniter\CodeIgniter->run() /data/release/project/public/index.php:46
[2019-05-15 22:03:21]127.0.0.1
content: [15-May-2019 22:03:21 Asia/Shanghai] PHP 3. CodeIgniter\CodeIgniter->handleRequest() /data/release/project/system/CodeIgniter.php:203
[2019-05-15 22:03:21]127.0.0.1
content: [15-May-2019 22:03:21 Asia/Shanghai] PHP 4. CodeIgniter\CodeIgniter->runController() /data/release/project/system/CodeIgniter.php:248
[2019-05-15 22:03:21]127.0.0.1
content: [15-May-2019 22:03:21 Asia/Shanghai] PHP 5. App\Controllers\Member->emailActivate() /data/release/project/system/CodeIgniter.php:713

运维同学通过 nginx 日志logtail 最后定位到 一个对外的api接口. 该接口uri中参数通过 base64 加密并通过 serialize 函数序列化.
服务端接收参数后 解base64 然后在使用 unserialize 反序列化.
正常来看实际没什么问题. 但 由于反序列化的特性 unserialize — 从已存储的表示中创建 PHP 的值 这个php值 可以杀死对象.

经过测试 反序列化可以在已知条件下调用所有项目中存在的所有方法.

黑客 发现漏洞后 通过大量测试 , 得知当前框架, 直接就可以开始行动了

经过观察 近一周的试探及数据收集 在凌晨黑客开始对服务器进程数据篡改.

问题查找比较费劲 主要问题在于 反序列化的数据解出来可能是 php对象 真实厉害呀 会触发析构及其他魔术方法.

举个栗子

    // 序列化对象 Ci 默认数据库配置
    public function se()
    {
        $class = new Config/Database();
        $classStr = serialize($class);
        echo base64_encode($classStr);
    }

    // 解包
    public function uns()
    {
        $a = $_POST['a'];
        try {
            $ser =$a;

        $class = unserialize( base64_decode($ser));
        }catch (\Exception $e){
            var_dump($e->getMessage());
        }

        var_dump($class);
    }

总结下:
线上禁用 unserialize 方法, 防止反序列化注入, 形成webshell
通过反序列化 调用 Ci 生成模板缓存的方法, 实现消息回包. 实际上代码以上可以全部获取 接收回包的方式

最后修改:2019 年 07 月 01 日 01 : 16 PM
如果觉得我的文章对你有用,请随意赞赏

发表评论