技术分享｜某办公系统代码执行漏洞分析及检测优化(1)

2.2 验证方式：

1. 通过 phpggc 中的链(经过测试 Laravel/RCE4 和 RCE9 可用)生成 Phar 文件

./phpggc -p phar Laravel/RCE4 system whoami > RCE4.phar

2. 通过注册授权的位置上传 Phar 的序列化数据
3. 通过 phar:// 目录穿越到上传的 Phar 文件
4. 通过导入上传的 Phar 文件造成反序列化代码执行

这也算得上是比较经典的 Phar 反序列化漏洞了。

但是这样操作的话也是存在一些问题的：

1. 要验证该漏洞的话首先的得有 PHP 环境
2. 每次想要测试不同的命令的时候都需要重新生成 Phar 文件
3. 对文件进行修改的时候需要重新进行签名

这些问题就使得验证方案可移植性差、操作麻烦

面对这些问题最好的解决办法其实就是通过跨语言实现 Phar 文件的生成，虽然说现在跨语言移植也一直都是一个大的问题，但是有困难还是需要想办法去解决的。当然了现在由结果看来现在这个问题是解决了的。

0x03 Phar But Golang

由于 Go 语言目前没有现成的 Phar 文件生成机制，因此我们需要使用 Go 语言根据 Phar 文件的文件结构来生成 Phar 文件以作为最终的通用解决方案。

Phar 文件结构大致可以分为 Stub、manifest、Contents、Signature 四个部分。

3.1 Stub

Stub其实也是一个简单的 PHP 文件，它的格式形如xxx<?php xxx __HALT_COMPILER();?>，在 Stub 中前面的内容是不限制的，但是在 Stub 中必须有__HALT_COMPILER()，没有这个，PHP 就无法识别出它是 Phar 文件。

3.2 Manifest

Manifest 是 Phar 文件反序列化漏洞的关键部分，其可以分为以下九个部分

1. 1～4字节：确定了 manifest 的长度
2. 5～8字节：这个 Phar 文件中包含了几个文件
3. 9～10字节：API 的版本
4. 11～14：全局 Phar 位图标志（与是否包含签名和文件压缩格式相关）
5. 15～18：别名的长度
6. 别名：如果别名的长度为0，那就是没有别名，否则这个的长度等于前面四个字节所限定的长度
7. 别名之后的四个字节：这四个字节限定了后面的元数据的长度
8. 元数据：这里面的数据就是用户自己添加的类，然后会以序列化的方式进行存储。这里也是这次漏洞触发的关键，当 PHP 处理 Phar 文件的时候就会自动将这部分的数据进行反序列化操作，这就会导致触发 Phar 反序列化漏洞。
9. 再往后走就是所包含文件每个文件的条目了

因为内容比较多，所以我们就根据的 Phar 文件示例挑重点来看看

首先是第一部分 manifest 的长度：

5A 00 00 00 (90)是 manifest 的1～4字节，也就是表示的 manifest 的长度为90个字节。

接下来的是第七部分元数据的长度：

24 00 00 00(36)是manifest的19～22字节，表示的是后面元数据的长度，直接从19字节开始是因为前面的00 00 00 00是别名长度，因为别名长度为0，所以没有别名。

然后接下来的就是此次漏洞最关键的第八部分元数据：

根据图上的信息也能看到所选区域就是元数据部分，箭头指的地方就是元数据的长度，这个是和前面第七部分元数据长度对应上的。元数据的内容是 PHP 用 serialize() 进行序列化得到的结果，虽说这里是经过序列化的内容，但是还是能比较明显的看出这段数据的整体结构的，基本上可以看作是数据类型:数据集合中的个数/数据长度:数据内容，然后根据这样的原理可以对序列化数据进行修改。

然后，Contents 里面就是存放的一些文件数据了，这个在此漏洞中没有什么体现，暂且略过。

3.3 Signature

Signature 是一个可选项，使用情况和 manifest 中的全局 Phar 位图标志有所关联。允许使用的签名方式有 MD5, SHA1, SHA256, SHA512和 OPENSSL。

在 Signature 这个部分也是分为三个部分组成，一个变长(根据签名类型变化)的签名内容，签名类型(签证尾部的01代表md5加密，02代表sha1加密，03代表sha256加密，04代表sha512加密)，还有最终的标识。

以上就是我们自定义生成 Phar 文件所需要的关键的结构内容了，其实当 Phar 文件的结构被解构出来之后任意的一门程序语言想要生成一个自定义的 Phar 文件就已经不算是什么难事了。

3.4 Phar Golang

根据上述的结构就可以写一个脚本来生成 Phar 文件

整理一下我们需要完成的步骤：

1. 自定义的文件头
2. 生成反序列化命令执行的序列化数据
3. 可控化执行的命令的位置的长度和数据
4. 输入想要执行的命令，并得出命令长度
5. 得出元数据和 manifest 的长度
6. 生成其他的数据
7. 选择签名方式，生成签名
8. 按照顺序组合起来

然后按照上述步骤编写了一个测试函数，这个函数需要传入三个参数：一个自定义的 Stub，一个元数据的序列化流，一个签名的模式。

以下是测试函数输出的一些解析信息

最后是生成的文件

现在我们的自定义 Phar 文件是生成成功了，但是咱们的最终目的还是需要集成到 POC 中能够进行使用。编写完 POC，并使用这个函数生成的 Phar 文件进行测试，测试结果输出了我们想要执行的命令也就证明我们生成的 Phar 文件没有问题。

测试结果证明我们是成功的。

0x04 插曲

后续在看网上的一些文章的时候发现了一个有意思的现象，这里又涉及到我们公司的另一款产品：FOFA。

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！