PHP HOOK的若干方法

2024-06-16 03:32
文章标签 方法 php 若干 hook

本文主要是介绍PHP HOOK的若干方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

0x00 针对OP进行hook

在PHP内核中,每一个OP操作都是由一个固定的Handler函数去负责的,看_zend_op的结构体属性第一个就是opcode_handler_t,表示该OP对应的handler函数具体是哪个。

主要是调用zend_set_user_opcode_handler,将对应的ZEND OP的handler函数替换成自己定义的函数实现HOOK机制。

比如我们对ZEND_ECHO这条OP指令进行HOOK,即调用如下语句:

zend_set_user_opcode_handler(ZEND_ECHO, hook_echo_handler);

这时候当PHP执行ZEND_ECHO指令(即调用echo输出)的时候就会先调用我们的handler函数,这样就实现了HOOK。

HOOK之后,需要从opline里获取到参数,大致思路是,根据HOOK的OP指令的不同,获取op1或者op2,然后根据op1_type或者op2_type分情况抽取参数值:

(1)    IS_TMP_VAR

如果op的类型为临时变量,则调用get_zval_ptr_tmp获取参数值。

(2)    IS_VAR

如果是变量类型,则直接从opline->var.ptr里获取

(3)    IS_CV

如果是编译变量参考ZEND_ECHO_SPEC_CV_HANDLER中的处理方式,是直接从EG(active_symbol_table)中寻找。

(4)IS_CONST

如果op类型是常量,则直接获取opline->op1.zv即可。

上述方法都是从PHP源码中选取的,比如一个ZEND_ECHO指令的Handler会有多个,分别处理不同类型的op,这里有:

ZEND_ECHO_SPEC_VAR_HANDLER

ZEND_ECHO_SPEC_TMP_HANDLER

ZEND_ECHO_SPEC_CV_HANDLER

ZEND_ECHO_SPEC_CONST_HANDLER

参考其中的源码实现即可。

 

0x01 针对FCALL进行hook

很多PHP内置函数的调用底层都是ZEND_FCALL进行实现的。


因此,我们需要HOOK两个OP,ZEND_DO_FCALL和ZEND_DO_FCALL_BY_NAME。

我们自己的handler中,通过获取函数名称来对不同的函数进行hook操作。

HOOK思路如下:

(1)    从EG(current_execute_data)->function_state.function中获取原有的函数。

(2)    然后分直接方法调用和类方法调用来执行HOOK操作

(3)    HOOK完成后,恢复原有函数,将function_state.function重新赋值

在函数调用时,函数参数是保存在一个zend虚拟机的栈结构中,因此我们需要移动指针来获取函数中的所有参数。

在FCALL的自定义handler中,函数参数分布图如下:


参数是放入了EG(argument_stack),因此首先获取一个栈顶指针:

void** p = EG(argument_stack)->top ;

函数的参数个数保存在int arg_count = opline->extended_value;中,拿到参数个数之后,我们就可以移动指针了。

比如获取该函数的各个参数,表达式为:

zval *arg1 =*((zval**)(p - arg_count)) ;   //参数1

zval *arg2 =*((zval**)(p - (arg_count - 1))) ;  //参数2

zval *arg3 =*((zval**)(p - (arg_count - 2))) ;  //参数3

栈顶指针的类型为void **,是一个指向指针的指针,即在vm_stack中保存的实际上保存的是参数的指针,因此栈顶指针是一个指针的指针(void** p)。

0x02 针对PHP_FUNCTION进行HOOK

这种形式的HOOK最为简单,在寻找危险函数的时候只需要寻找PHP_FUNCTION(funcName)即看到。

主要思路是在PHP扩展中定义函数别名,然后初始化时从function_table中删除原有的函数定义,并且注册我们自己编写的扩展函数,在执行HOOK操作之后,再恢复原有的内置函数即可。

internal_function是保存内置函数的属性,在恢复原有函数的时候手动调用一次即可。


这篇关于PHP HOOK的若干方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1065362

相关文章

macOS无效Launchpad图标轻松删除的4 种实用方法

《macOS无效Launchpad图标轻松删除的4种实用方法》mac中不在appstore上下载的应用经常在删除后它的图标还残留在launchpad中,并且长按图标也不会出现删除符号,下面解决这个问... 在 MACOS 上,Launchpad(也就是「启动台」)是一个便捷的 App 启动工具。但有时候,应

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

Python实现无痛修改第三方库源码的方法详解

《Python实现无痛修改第三方库源码的方法详解》很多时候,我们下载的第三方库是不会有需求不满足的情况,但也有极少的情况,第三方库没有兼顾到需求,本文将介绍几个修改源码的操作,大家可以根据需求进行选择... 目录需求不符合模拟示例 1. 修改源文件2. 继承修改3. 猴子补丁4. 追踪局部变量需求不符合很

mysql出现ERROR 2003 (HY000): Can‘t connect to MySQL server on ‘localhost‘ (10061)的解决方法

《mysql出现ERROR2003(HY000):Can‘tconnecttoMySQLserveron‘localhost‘(10061)的解决方法》本文主要介绍了mysql出现... 目录前言:第一步:第二步:第三步:总结:前言:当你想通过命令窗口想打开mysql时候发现提http://www.cpp

Mysql删除几亿条数据表中的部分数据的方法实现

《Mysql删除几亿条数据表中的部分数据的方法实现》在MySQL中删除一个大表中的数据时,需要特别注意操作的性能和对系统的影响,本文主要介绍了Mysql删除几亿条数据表中的部分数据的方法实现,具有一定... 目录1、需求2、方案1. 使用 DELETE 语句分批删除2. 使用 INPLACE ALTER T

MySQL INSERT语句实现当记录不存在时插入的几种方法

《MySQLINSERT语句实现当记录不存在时插入的几种方法》MySQL的INSERT语句是用于向数据库表中插入新记录的关键命令,下面:本文主要介绍MySQLINSERT语句实现当记录不存在时... 目录使用 INSERT IGNORE使用 ON DUPLICATE KEY UPDATE使用 REPLACE

CentOS 7部署主域名服务器 DNS的方法

《CentOS7部署主域名服务器DNS的方法》文章详细介绍了在CentOS7上部署主域名服务器DNS的步骤,包括安装BIND服务、配置DNS服务、添加域名区域、创建区域文件、配置反向解析、检查配置... 目录1. 安装 BIND 服务和工具2.  配置 BIND 服务3 . 添加你的域名区域配置4.创建区域

mss32.dll文件丢失怎么办? 电脑提示mss32.dll丢失的多种修复方法

《mss32.dll文件丢失怎么办?电脑提示mss32.dll丢失的多种修复方法》最近,很多电脑用户可能遇到了mss32.dll文件丢失的问题,导致一些应用程序无法正常启动,那么,如何修复这个问题呢... 在电脑常年累月的使用过程中,偶尔会遇到一些问题令人头疼。像是某个程序尝试运行时,系统突然弹出一个错误提

电脑提示找不到openal32.dll文件怎么办? openal32.dll丢失完美修复方法

《电脑提示找不到openal32.dll文件怎么办?openal32.dll丢失完美修复方法》openal32.dll是一种重要的系统文件,当它丢失时,会给我们的电脑带来很大的困扰,很多人都曾经遇到... 在使用电脑过程中,我们常常会遇到一些.dll文件丢失的问题,而openal32.dll的丢失是其中比较

python中字符串拼接的几种方法及优缺点对比详解

《python中字符串拼接的几种方法及优缺点对比详解》在Python中,字符串拼接是常见的操作,Python提供了多种方法来拼接字符串,每种方法有其优缺点和适用场景,以下是几种常见的字符串拼接方法,需... 目录1. 使用 + 运算符示例:优缺点:2. 使用&nbsjsp;join() 方法示例:优缺点:3