Secarma 公司的安全研究員 Sam Thomas 發現一種新型利用技術,可導致黑客通過使用此前被認為風險較低的函數觸發 PHP 語言中嚴重的反序列化漏洞。
這種新技術導致成千上萬款 web 應用程序易遭遠程代碼執行攻擊,包括一些受熱門內容管理系統驅動的網站如 WordPress 和 Typo3。
PHP 反序列化或對象注入漏洞最早發生在2009年,它可導致攻擊者通過向 unserialized () PHP 函數提供惡意輸入的方法執行多種攻擊。序列化是將數據對象轉換為純字符串的過程,而反序列化函數幫助程序從字符串重新創建對象。
Thomas 發現攻擊者能使用針對 Phar 文件的低風險函數觸發反序列化攻擊,而無需在各種場景中使用 unserialize () 函數。
Phar 文件是 PHP 中的一種存檔格式,它以序列化格式存儲元數據,當文件操作函數 (fopen、file_exists、file_get_contents 等)試圖訪問存檔文件時就會被反序列化。
對 WordPress 站點發動 PHP 反序列化攻擊
Thomas 在2018年黑帽大會上演示瞭如何使用 WordPress 站點的某個作者賬戶完全控制 web 服務器,從而發動反序列化攻擊。
想要成功利用該缺陷,攻擊者所需要做的就是將有效的包含惡意 payload 對象的 Phar 文檔上傳到目標的本地文件系統並通過 “phar://” 流包裝器訪問。
Thomas 表示,攻擊者甚至能夠通過 JPEG 圖像利用該漏洞。而這個圖像實際上是通過修改前100個字節轉換為有效 JPEG 的 Phar 文檔。將這個構造的縮略圖上傳至目標 WordPress 服務器後,攻擊者能夠通過 “phar://” 流包裝器將同樣的圖片文件作為 Phar 文檔進行調用,最終在程序反序列化元數據時執行任意代碼。
去年早些時候,Thomas 將問題告知 WordPress,後者證實該問題存在。然而,公司發佈的這個補丁並未完全解決這個問題。
Thomas 還在2018年6月9日將漏洞告知 Typo3 公司,後者發佈版本 7.6.30、8.7.17 和 9.3 解決了該問題。
閱讀更多 輕鬆學PHP 的文章
