Secarma 公司的安全研究员 Sam Thomas 发现一种新型利用技术,可导致黑客通过使用此前被认为风险较低的函数触发 PHP 语言中严重的反序列化漏洞。
这种新技术导致成千上万款 web 应用程序易遭远程代码执行攻击,包括一些受热门内容管理系统驱动的网站如 WordPress 和Typo3。
PHP 反序列化或对象注入漏洞最早发生在2009年,它可导致攻击者通过向 unserialized () PHP 函数提供恶意输入的方法执行多种攻击。序列化是将数据对象转换为纯字符串的过程,而反序列化函数帮助程序从字符串重新创建对象。
Thomas 发现攻击者能使用针对 Phar 文件的低风险函数触发反序列化攻击,而无需在各种场景中使用 unserialize () 函数。
Phar 文件是 PHP 中的一种存档格式,它以序列化格式存储元数据,当文件操作函数 (fopen、file_exists、file_get_contents 等)试图访问存档文件时就会被反序列化。
对 WordPress 站点发动 PHP 反序列化攻击
Thomas 在2018年黑帽大会上演示了如何使用 WordPress 站点的某个作者账户完全控制 web 服务器,从而发动反序列化攻击。
想要成功利用该缺陷,攻击者所需要做的就是将有效的包含恶意 payload 对象的 Phar 文档上传到目标的本地文件系统并通过“phar://” 流包装器访问。
Thomas 表示,攻击者甚至能够通过 JPEG 图像利用该漏洞。而这个图像实际上是通过修改前100个字节转换为有效 JPEG 的Phar 文档。将这个构造的缩略图上传至目标 WordPress 服务器后,攻击者能够通过 “phar://” 流包装器将同样的图片文件作为 Phar 文档进行调用,最终在程序反序列化元数据时执行任意代码。
去年早些时候,Thomas 将问题告知 WordPress,后者证实该问题存在。然而,公司发布的这个补丁并未完全解决这个问题。
Thomas 还在2018年6月9日将漏洞告知 Typo3 公司,后者发布版本 7.6.30、8.7.17 和 9.3 解决了该问题。
本文由360代码卫士翻译自TheHackerNews
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
