PHP HOOK的若干方法

2024-06-16 03:32
文章标签 方法 php 若干 hook

本文主要是介绍PHP HOOK的若干方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

0x00 针对OP进行hook

在PHP内核中,每一个OP操作都是由一个固定的Handler函数去负责的,看_zend_op的结构体属性第一个就是opcode_handler_t,表示该OP对应的handler函数具体是哪个。

主要是调用zend_set_user_opcode_handler,将对应的ZEND OP的handler函数替换成自己定义的函数实现HOOK机制。

比如我们对ZEND_ECHO这条OP指令进行HOOK,即调用如下语句:

zend_set_user_opcode_handler(ZEND_ECHO, hook_echo_handler);

这时候当PHP执行ZEND_ECHO指令(即调用echo输出)的时候就会先调用我们的handler函数,这样就实现了HOOK。

HOOK之后,需要从opline里获取到参数,大致思路是,根据HOOK的OP指令的不同,获取op1或者op2,然后根据op1_type或者op2_type分情况抽取参数值:

(1)    IS_TMP_VAR

如果op的类型为临时变量,则调用get_zval_ptr_tmp获取参数值。

(2)    IS_VAR

如果是变量类型,则直接从opline->var.ptr里获取

(3)    IS_CV

如果是编译变量参考ZEND_ECHO_SPEC_CV_HANDLER中的处理方式,是直接从EG(active_symbol_table)中寻找。

(4)IS_CONST

如果op类型是常量,则直接获取opline->op1.zv即可。

上述方法都是从PHP源码中选取的,比如一个ZEND_ECHO指令的Handler会有多个,分别处理不同类型的op,这里有:

ZEND_ECHO_SPEC_VAR_HANDLER

ZEND_ECHO_SPEC_TMP_HANDLER

ZEND_ECHO_SPEC_CV_HANDLER

ZEND_ECHO_SPEC_CONST_HANDLER

参考其中的源码实现即可。

 

0x01 针对FCALL进行hook

很多PHP内置函数的调用底层都是ZEND_FCALL进行实现的。


因此,我们需要HOOK两个OP,ZEND_DO_FCALL和ZEND_DO_FCALL_BY_NAME。

我们自己的handler中,通过获取函数名称来对不同的函数进行hook操作。

HOOK思路如下:

(1)    从EG(current_execute_data)->function_state.function中获取原有的函数。

(2)    然后分直接方法调用和类方法调用来执行HOOK操作

(3)    HOOK完成后,恢复原有函数,将function_state.function重新赋值

在函数调用时,函数参数是保存在一个zend虚拟机的栈结构中,因此我们需要移动指针来获取函数中的所有参数。

在FCALL的自定义handler中,函数参数分布图如下:


参数是放入了EG(argument_stack),因此首先获取一个栈顶指针:

void** p = EG(argument_stack)->top ;

函数的参数个数保存在int arg_count = opline->extended_value;中,拿到参数个数之后,我们就可以移动指针了。

比如获取该函数的各个参数,表达式为:

zval *arg1 =*((zval**)(p - arg_count)) ;   //参数1

zval *arg2 =*((zval**)(p - (arg_count - 1))) ;  //参数2

zval *arg3 =*((zval**)(p - (arg_count - 2))) ;  //参数3

栈顶指针的类型为void **,是一个指向指针的指针,即在vm_stack中保存的实际上保存的是参数的指针,因此栈顶指针是一个指针的指针(void** p)。

0x02 针对PHP_FUNCTION进行HOOK

这种形式的HOOK最为简单,在寻找危险函数的时候只需要寻找PHP_FUNCTION(funcName)即看到。

主要思路是在PHP扩展中定义函数别名,然后初始化时从function_table中删除原有的函数定义,并且注册我们自己编写的扩展函数,在执行HOOK操作之后,再恢复原有的内置函数即可。

internal_function是保存内置函数的属性,在恢复原有函数的时候手动调用一次即可。


这篇关于PHP HOOK的若干方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1065362

相关文章

Python中__init__方法使用的深度解析

《Python中__init__方法使用的深度解析》在Python的面向对象编程(OOP)体系中,__init__方法如同建造房屋时的奠基仪式——它定义了对象诞生时的初始状态,下面我们就来深入了解下_... 目录一、__init__的基因图谱二、初始化过程的魔法时刻继承链中的初始化顺序self参数的奥秘默认

html5的响应式布局的方法示例详解

《html5的响应式布局的方法示例详解》:本文主要介绍了HTML5中使用媒体查询和Flexbox进行响应式布局的方法,简要介绍了CSSGrid布局的基础知识和如何实现自动换行的网格布局,详细内容请阅读本文,希望能对你有所帮助... 一 使用媒体查询响应式布局        使用的参数@media这是常用的

Spring 基于XML配置 bean管理 Bean-IOC的方法

《Spring基于XML配置bean管理Bean-IOC的方法》:本文主要介绍Spring基于XML配置bean管理Bean-IOC的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一... 目录一. spring学习的核心内容二. 基于 XML 配置 bean1. 通过类型来获取 bean2. 通过

基于Python实现读取嵌套压缩包下文件的方法

《基于Python实现读取嵌套压缩包下文件的方法》工作中遇到的问题,需要用Python实现嵌套压缩包下文件读取,本文给大家介绍了详细的解决方法,并有相关的代码示例供大家参考,需要的朋友可以参考下... 目录思路完整代码代码优化思路打开外层zip压缩包并遍历文件:使用with zipfile.ZipFil

Python处理函数调用超时的四种方法

《Python处理函数调用超时的四种方法》在实际开发过程中,我们可能会遇到一些场景,需要对函数的执行时间进行限制,例如,当一个函数执行时间过长时,可能会导致程序卡顿、资源占用过高,因此,在某些情况下,... 目录前言func-timeout1. 安装 func-timeout2. 基本用法自定义进程subp

Python列表去重的4种核心方法与实战指南详解

《Python列表去重的4种核心方法与实战指南详解》在Python开发中,处理列表数据时经常需要去除重复元素,本文将详细介绍4种最实用的列表去重方法,有需要的小伙伴可以根据自己的需要进行选择... 目录方法1:集合(set)去重法(最快速)方法2:顺序遍历法(保持顺序)方法3:副本删除法(原地修改)方法4:

Python中判断对象是否为空的方法

《Python中判断对象是否为空的方法》在Python开发中,判断对象是否为“空”是高频操作,但看似简单的需求却暗藏玄机,从None到空容器,从零值到自定义对象的“假值”状态,不同场景下的“空”需要精... 目录一、python中的“空”值体系二、精准判定方法对比三、常见误区解析四、进阶处理技巧五、性能优化

C++中初始化二维数组的几种常见方法

《C++中初始化二维数组的几种常见方法》本文详细介绍了在C++中初始化二维数组的不同方式,包括静态初始化、循环、全部为零、部分初始化、std::array和std::vector,以及std::vec... 目录1. 静态初始化2. 使用循环初始化3. 全部初始化为零4. 部分初始化5. 使用 std::a

如何将Python彻底卸载的三种方法

《如何将Python彻底卸载的三种方法》通常我们在一些软件的使用上有碰壁,第一反应就是卸载重装,所以有小伙伴就问我Python怎么卸载才能彻底卸载干净,今天这篇文章,小编就来教大家如何彻底卸载Pyth... 目录软件卸载①方法:②方法:③方法:清理相关文件夹软件卸载①方法:首先,在安装python时,下

电脑死机无反应怎么强制重启? 一文读懂方法及注意事项

《电脑死机无反应怎么强制重启?一文读懂方法及注意事项》在日常使用电脑的过程中,我们难免会遇到电脑无法正常启动的情况,本文将详细介绍几种常见的电脑强制开机方法,并探讨在强制开机后应注意的事项,以及如何... 在日常生活和工作中,我们经常会遇到电脑突然无反应的情况,这时候强制重启就成了解决问题的“救命稻草”。那