php反序列化之Phar反序列化漏洞

最新推荐文章于 2025-09-29 17:54:03 发布
原创 最新推荐文章于 2025-09-29 17:54:03 发布 · 1.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了PHP中的Phar文件格式,包括其用途、三种归档格式以及如何开启和创建Phar文件。重点讲解了Phar文件的序列化元数据存储方式,如何在文件系统函数中利用phar://伪协议触发反序列化漏洞,并通过实例展示了如何构造恶意的Phar文件。此外,还提出了利用图片文件上传绕过限制的攻击场景。

之前写的两篇文章都太理想化,真实的代码谁写成$data = unserialize($_POST['a']),直接让你反序列化,在实际的PHP程序中,主要是反序列化链(pop链),如thinkphp、Laravel的反序列化链的漏洞和利用phar://伪协议完成反序列化漏洞。今天就来学习一个phar文件序列化漏洞。

phar

phar是一个合成词,由PHP 和 Archive构成,可以看出它是php归档文件的意思。一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的。于是在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,使用php脚本就能创建或提取它。

三种phar归档文件格式:

tar归档、zip归档、phar归档,前两种执行需要php安装Phar 扩展支持,用的也比较少。phar格式归档文件可以直接执行,它的产生依赖于Phar扩展,由自己编写的php脚本产生。

开启phar

首先需要修改php.ini配置将phar的readonly关闭,默认是不能写phar包的,include是默认开启的。

phar.readonly => On

归档project目录下的所有文件:

下面这个文件与project文件夹同级目录

//产生一个yunke.phar文件
$phar = new Phar('yunke.phar', 0, 'yunke.phar');
// 添加project里面的所有文件到yunke.phar归档文件
$phar->buildFromDirectory(dirname(__FILE__) . '/project');
//设置执行时的入口文件,第一个用于命令行,第二个用于浏览器访问,这里都设置为index.php
$phar->setDef
最低0.47元/天 解锁文章
phar反序列化漏洞
Mi1k7ea
01-01 6188
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
第二十三天 phar反序列化漏洞
代码审计
04-01 2336
关于这个方法在2018年 BlackHat 大会上的 Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ,该研究员指出该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。 zip rar压缩文件包 类似 默认支持phar协议的使
Phar反序列化
最新发布
My笔记的博客
09-29 852
因为 PHAR 扩展的设计者在 C 代码层面编写了这样的逻辑:“在解析我的 PHAR 文件格式时,如果发现里面存有元数据,我就调用 unserialize()把它还原出来”。这个行为是 PHAR 扩展的固有特性,旨在方便地存储和读取复杂数据,但不幸成为了一个攻击面。
Phar反序列化漏洞原理
soldi_er的博客
06-08 743
文章目录   来自Secarma的安全研究员Sam Thomas发现,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。   
php归档格式:phar文件详解(创建、使用、解包还原提取)
热门推荐
云客的技术博客【云游天下 做客四方】
02-10 2万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
PHAR反序列化漏洞
kunkun_xiaomeng的博客
08-31 1112
phar反序列化
PHAR反序列化
weixin_74020633的博客
06-02 1366
在C1e4r中,echo可以触发_toString,destruct在变量摧毁时会自动触发,所以就形成完整的pop链C1e4r::_destruct->Show::_toString->Test::file_get()将生成的phar文件上传成功后,使用phar协议读取文件,在使用phar伪协议解析时,php一大部分的文件系统函数(下图中的函数)都会将meta-data进行反序列化。明显存在php反序列化 ,构造poc后,生成phar文件,将phar文件上传之后再通过post来cat flag。
详解PHP反序列化漏洞
LYJ20010728的博客
05-23 3182
PHP反序列化学习序列化与反序列化定义常见使用情况常见的序列化格式反序列化中常见的魔术方法反序列化绕过protected和private绕过__wakeup绕过(CVE-2016-7124)引用利用16进制绕过字符过滤同名方法的利用绕过部分正则字符逃逸字符增多字符减少 序列化与反序列化 定义 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用; 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性; 常见的php
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 6966
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
Phar文件
weixin_34345753的博客
06-01 210
  phar 扩展名文件提供了一种将整个PHP应用程序打包放入一个被称之为phar(PHP archive)的文件从而更加容易便利地发布和安装的方法。就像是java的jar文件有点类似。除了这个功能外,Phar扩展名也提供一种对文件格式的抽象方法,以便通过PharData类创建和操作tar/zip文件,非常类似于PDO提供了一种统一的访问不同数据库的借口一样。和PDO不一样的是(POD不能再不同数...
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1649
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
phpphar是什么?
dejiushu5831的博客
01-10 451
phar 要求5.2以上 前言 最近在看composer,是下载了一个composer.phar,然后放到/usr/local/bin目录下,就可以全局使用composer了,然而并不懂phar是什么,还以为是个PHP的扩展,要用phpize编译的,看了这篇文章后才懂韩天峰-phpphar包的使用 创建 php5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打...
php反序列化漏洞 freebuf,DiscuzX 3.4 Phar反序列化漏洞
weixin_39574869的博客
03-09 361
0x1 前情提要DiscuzX的反序列化比较鸡肋,没有任何可利用的点,只能算一个bug。刚看到一片文章,就是在对phar文件进行操作的时候可以导致反序列化,然后我就对php内置函数进行了测试,发现80%的常用文件操作都能导致触发phar反序列化,我一共测试了如下函数,都可以触发。 下面我就下了discuz的代码看看有没有什么能触发反序列化的点,还真给我找到了。0x2 漏洞分析/source/mo...
php 5.3新特性的phar
jackyrongvip的专栏
05-17 190
PHP 5.3中,引入了类似JAVA的JAR之类的打包文件机制.Phar 归档的概念来自 Java™ 技术的 JAR 归档,它允许使用单个文件打包应用程序,这个文件中包含运行应用程序所需的所有东西。该文件不同于单个可执行文件,后者通常由编程语言生成,比如 C,因为该文件实际上是一个归档文件而非编译过的应用程序。因此 JAR 文件实际上包含组成应用程序的文件,但是考虑到安全性,不对这些文件进行仔...
php用于什么开发_PHP开发常识:什么是Phar?
weixin_39864373的博客
03-09 168
对于Web应用的开发,如果你没用使用正确的工具,那开发过程可能会变得困难和痛苦。如果你之前开发过Java程序,我相信你肯定知道Jar文件(Jar是Java ARchive的缩写)。一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里,使得部署过程十分简单。PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么...
PHPphar相关
元俊up
04-23 535
创建PHAR文件: phar官方文档 查看phar.readonly的配置。需要修改php.ini文件设置 phar.readonly=0 否则: php -i | grep phar 编辑 index.php <?php echo "This is a phar test ."; echo PHP_EOL; createPhar.php <?php $srcRoot = ...
PHPphar文件详解_phar文件格式_调用phar类方法生成phar文件
Ho1aAs‘s Blog
09-04 1万+
phar简介 phar,全称为PHP Archive,phar扩展提供了一种将整个PHP应用程序放入.phar文件中的方法,以方便移动、安装。.phar文件的最大特点是将几个文件组合成一个文件的便捷方式,.phar文件提供了一种将完整的PHP程序分布在一个文件中并从该文件中运行的方法。 可以将phar文件类比为一个压缩文件 phar demo 注意:默认phar扩展是只读模式,需要手动配置php.ini中phar.readonly= Off 无法用ini_set修改 『踩坑记录』PHP-使用ini_set
PHAR 反序列化漏洞
03-08
### PHAR反序列化漏洞原理 PHAR是一种PHP存档格式,允许开发者创建自包含的应用程序或库。当处理PHAR文件时,如果应用程序错误地信任并加载了由攻击者控制的PHAR文件,则可能导致反序列化漏洞的发生。 在PHP环境中,`unserialize()`函数用于将存储于字符串中的表示转换成对应的变量结构。然而,在处理来自不受信源的数据时调用此函数是非常危险的行为。由于PHAR协议处理器会自动尝试解码元数据部分作为序列化的对象数组,因此即使没有显式的`unserialize()`调用也可能触发该行为[^1]。 例如,考虑如下代码片段: ```php <?php $pharFile = 'phar://' . $_GET['file']; include $pharFile; ?> ``` 上述代码中并没有直接使用`unserialize()`,但如果传入了一个恶意构造的PHAR文件路径给`$_GET['file']`参数,仍然可能引发反序列化操作,并最终导致远程命令执行等问题。 ### 防护措施 为了避免因PHAR反序列化而带来的风险,建议采取以下几种策略来增强系统的安全性: - **禁用不必要的功能**:除非确实需要支持PHAR档案的功能,否则应通过配置关闭对PHAR的支持。可以通过修改`php.ini`设置`phar.readonly=On`强制使所有打开的操作只读模式运行,从而防止写入新的PHAR文件以及潜在的风险。 - **严格验证输入**:对于任何形式的用户提交内容都应当实施严格的校验机制,尤其是涉及到文件名、URL等敏感信息的地方更要注意防范特殊字符注入的可能性。确保只有合法且预期范围内的值才能进入后续逻辑流程当中去。 - **采用白名单方式管理类定义**:限制哪些特定类型的对象能够被序列化/反序列化出来,而不是盲目接受任意种类的对象实例。这有助于减少未知风险点的存在几率。 - **更新依赖项至最新稳定版**:定期审查项目所使用的第三方组件列表,及时跟进官方发布的补丁包以修补已知的安全缺陷。 - **启用RASP实时监控保护**:引入Runtime Application Self-Protection (RASP) 技术可以在应用层面对可疑活动作出即时响应,阻止非法请求到达业务核心之前即刻拦截下来[^3]。 ### 实际案例展示 下面给出一段简单的测试代码用来说明如何构建一个存在PHAR反序列化隐患的服务端脚本及其相应的修复方案: #### 存在安全隐患的原始版本 ```php // test.php class Test { public function __destruct() { echo "Destructing...\n"; if(isset($_GET["cmd"])) { system($_GET["cmd"]); // 危险之处在于这里接收未经净化过的外部指令 } } } if(isset($_GET["data"])){ @unserialize(urldecode($_GET["data"])); // 不加甄别的反序列化过程埋下了祸根 } ``` #### 安全改进后的版本 ```php // secure_test.php class SecureTest extends SplFileInfo { // 继承SplFileInfo使得能更好地兼容phar://伪协议下的正常工作流 private $__cmd; protected function __construct($path){ parent::__construct($path); $this->__cmd = null; // 初始化私有属性,默认为空值 } final public static function createFromPath(string $path): self{ return new self($path); // 工厂方法提供统一入口点的同时也便于后期维护扩展 } public function __wakeup(){ throw new Exception("Deserialization not allowed!"); // 禁止反序列化恢复状态变更 } public function executeCmd(?string $command=null){ if(is_null($command)){ return false; } if(!preg_match('/^[a-zA-Z]+$/', trim($command))){ die('Invalid command.'); } passthru(escapeshellcmd(trim($command))); // 对待执行语句做进一步转义处理后再交给底层API } } try{ if(array_key_exists('action', $_SERVER) && array_key_exists('filename', $_GET)){ $safeObj = SecureTest::createFromPath($_GET['filename']); if(file_exists((string)$safeObj)){ include_once ((string)$safeObj); }else{ http_response_code(404); exit(); } } }catch(Throwable $e){ error_log($e->getMessage()); header("HTTP/1.1 500 Internal Server Error"); exit(); } ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值