利用PHAR协议进行PHP反序列化攻击

PHAR ( "Php ARchive" ) 是 PHP 中的打包文件，相当于 Java 中的 JAR 文件，在 php5.3 或者更高的版本中默认开启。PHAR 文件缺省状态是只读的，当我们要创建一个 Phar 文件需要修改 php.ini 中的 phar.readonly，修改为：phar.readonly = 0

 

当通过 phar:// 协议对 phar 文件进行文件操作时，将会对 phar 文件中的 Meta-data 进行反序列化操作，可能造成一些反序列化漏洞。

 

本文由锦行科技的安全研究团队提供，从攻击者的角度展示了 PHAR 反序列化攻击的原理和过程。

 

PHAR 文件结构

 

stub phar：文件标识，格式为 xxx

 

manifest：压缩文件的属性等信息，其中的 Meta-data 会以序列化的形式存储。

 

contents：压缩文件的内容

 

signature：签名，放在文件末尾

 

生成 PHAR 文件

 

生成程序如下：

 

生成 phar 文件，使用 16 进制工具查看，可以看到 Meta-data 中的序列化对象

 

测试反序列化

 

测试程序如下：

 

运行结果，可以看到打印了‘ test ’，证明对象被反序列化创建后销毁。

 

虽然在创建 PHAR 文件时后缀是固定的，但完成创建后我们是可以修改 phar 的后缀名的，例如修改成 .jpg，当执行 include ( 'phar://phar.jpg' ) ; 时也可触发反序列化。

 

几乎所有文件操作函数都可触发 phar 反序列化

 

CTF 演示

 

题目地址： [ CISCN2019 华北赛区 Day1 Web1 ] Dropbox（链接：https://buuoj.cn/challenges#%5BCISCN2019%20%E5%8D%8E%E5%8C%97%E8%B5%9B%E5%8C%BA%20Day1%20Web1%5DDropbox）

 

进入题目后，随意注册账号上传文件，上传点只能上传图片后缀

 

点击下载，有任意文件读取，但是不能读取 flag.txt

 

 

于是读取网页源码，传入 filename=../../xxx.php

 

detele.php

 

 

class.php

 

分析源代码

 

可以看到删除文件时使用了 File 类的 delete 函数，File 类的 delete 使用了 unlink 函数，可以触发 phar 反序列化。

 

继续看到 class.php 的 File 类的 close ( ) 函数中调用了 file_get_contents 函数，可以读取文件。但是要怎么触发呢，我们可以看到 FileList 的 __call 函数，如果我们可以让 FileList 参数 files 为数组且数组中一个类为 File，只要有类可以执行 $FileList->close ( ) ，就可以读取文件并在 FileList 的析构函数中显示出来了。我们看到 User 类的析构函数，执行了 $db->close ( ) 。so，我们让 User 的 $db 参数等于 FileList 就行了。

 

利用链：User 类的 $db 赋值为 FileList 类，User 类的析构函数执行 close 方法 ->触发 FileList 的 __call 函数，让 $file 值为 File，执行 $file 的 close 函数 ->File 执行 close 读取文件，控制 $filename 为想读取的文件 ->FileList 对象销毁，执行析构函数，回显结果。

 

生成 phar 文件代码：

 

 

生成 phar 文件，修改后缀为 jpg，上传

 

删除文件处修改 filename 为‘ phar://phar.jpg ’ , 读取到 flag 文件