本文主要是介绍PHP HOOK的若干方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
0x00 针对OP进行hook
在PHP内核中,每一个OP操作都是由一个固定的Handler函数去负责的,看_zend_op的结构体属性第一个就是opcode_handler_t,表示该OP对应的handler函数具体是哪个。
主要是调用zend_set_user_opcode_handler,将对应的ZEND OP的handler函数替换成自己定义的函数实现HOOK机制。
比如我们对ZEND_ECHO这条OP指令进行HOOK,即调用如下语句:
zend_set_user_opcode_handler(ZEND_ECHO, hook_echo_handler);
这时候当PHP执行ZEND_ECHO指令(即调用echo输出)的时候就会先调用我们的handler函数,这样就实现了HOOK。
HOOK之后,需要从opline里获取到参数,大致思路是,根据HOOK的OP指令的不同,获取op1或者op2,然后根据op1_type或者op2_type分情况抽取参数值:
(1) IS_TMP_VAR
如果op的类型为临时变量,则调用get_zval_ptr_tmp获取参数值。
(2) IS_VAR
如果是变量类型,则直接从opline->var.ptr里获取
(3) IS_CV
如果是编译变量参考ZEND_ECHO_SPEC_CV_HANDLER中的处理方式,是直接从EG(active_symbol_table)中寻找。
(4)IS_CONST
如果op类型是常量,则直接获取opline->op1.zv即可。
上述方法都是从PHP源码中选取的,比如一个ZEND_ECHO指令的Handler会有多个,分别处理不同类型的op,这里有:
ZEND_ECHO_SPEC_VAR_HANDLER
ZEND_ECHO_SPEC_TMP_HANDLER
ZEND_ECHO_SPEC_CV_HANDLER
ZEND_ECHO_SPEC_CONST_HANDLER
参考其中的源码实现即可。
0x01 针对FCALL进行hook
很多PHP内置函数的调用底层都是ZEND_FCALL进行实现的。
因此,我们需要HOOK两个OP,ZEND_DO_FCALL和ZEND_DO_FCALL_BY_NAME。
我们自己的handler中,通过获取函数名称来对不同的函数进行hook操作。
HOOK思路如下:
(1) 从EG(current_execute_data)->function_state.function中获取原有的函数。
(2) 然后分直接方法调用和类方法调用来执行HOOK操作
(3) HOOK完成后,恢复原有函数,将function_state.function重新赋值
在函数调用时,函数参数是保存在一个zend虚拟机的栈结构中,因此我们需要移动指针来获取函数中的所有参数。
在FCALL的自定义handler中,函数参数分布图如下:
参数是放入了EG(argument_stack),因此首先获取一个栈顶指针:
void** p = EG(argument_stack)->top ;
函数的参数个数保存在int arg_count = opline->extended_value;中,拿到参数个数之后,我们就可以移动指针了。
比如获取该函数的各个参数,表达式为:
zval *arg1 =*((zval**)(p - arg_count)) ; //参数1
zval *arg2 =*((zval**)(p - (arg_count - 1))) ; //参数2
zval *arg3 =*((zval**)(p - (arg_count - 2))) ; //参数3
栈顶指针的类型为void **,是一个指向指针的指针,即在vm_stack中保存的实际上保存的是参数的指针,因此栈顶指针是一个指针的指针(void** p)。
0x02 针对PHP_FUNCTION进行HOOK
这种形式的HOOK最为简单,在寻找危险函数的时候只需要寻找PHP_FUNCTION(funcName)即看到。
主要思路是在PHP扩展中定义函数别名,然后初始化时从function_table中删除原有的函数定义,并且注册我们自己编写的扩展函数,在执行HOOK操作之后,再恢复原有的内置函数即可。
internal_function是保存内置函数的属性,在恢复原有函数的时候手动调用一次即可。
这篇关于PHP HOOK的若干方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
