关于php----phar伪协议和phar文件反序列化漏洞利用-编程学习网

Secarma的安全研究员Sam Thomas发现了php里一种新的反序列化漏洞，这种漏洞的利用可以避开传统的php反序列化漏洞的查找，旧漏洞莫非寻找反序列化链(pop链),如thinkphp、Laravel的反序列化链的漏洞和使用phar：//伪协议完成反序列化漏洞。新发现的漏洞通过创建phar文件，以及配合phar伪协议进而实现反序列化拿到敏感信息。

phar（php archive）含义为php 归档文件。如果一个由多个文件构成的php应用程序，可以合并打包为一个文件夹，类似于javaweb项目里的jar文件的话，对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包，名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便，不需要借助额外的工具来创建或者使用，通过php脚本运行就自动在该脚本所在目录下自动创建。

在本地找到php的配置文件php.ini，修改;phar.readonly=On为

phar.readonly=off

phar存储的meta-data信息以序列化方式存储，当文件操作函数通过phar://伪协议解析phar文件时就会将数据反序列化，可以通过此漏洞利用的函数：

phar文件可以上传到服务器

有例如file_get_contents()，file()，include等文件操作函数

：、/、phar等重要参数没有被过滤

首先测试phar伪协议是怎么利用的，往下看：

在本地创建一个php脚本，用来生成.phar文件，名为1.php脚本如下：

startBuffering();    $phar->setStub(""); //设置stub    $o = new TestObject();    $o -> data='N1Xx';    $phar->setMetadata($o); //将自定义的meta-data存入manifest    $phar->addFromString("1.txt", "nlxx"); //添加要压缩的文件    //签名自动计算    $phar->stopBuffering();?>

执行后会在该脚本所在目录，也就是本地根目录生成phar.phar文件：

接着创建一个测试脚本2.php,内容如下：

 data;       }}include('phar://phar.phar');?>

访问http://127.0.0.1//2.php：

分析：

对1.php

在1.php里A类里面其实是没有内容的，所以无法将实例化的对象$obj序列化字符串写入meta-data并存入manifest，但自定义$o -> data='N1Xx';所以将N1Xx存入phar.phar文件中。值得注意的是没有定义$phar->addFromString，相当于没有添加要压缩的文件。

对2.php

在2.php里 echo $this -> data; 输出A类的data变量，即"N1Xx"，

但由于1.php没有定义压缩文件，所以这里使用include('phar://phar.phar');文件包含，若使用file_get_contents('phar://phar.phar');会报错：

所以只有当添加有压缩文件时，使用file_get_contents才不会报错。为验证上述问题，接着在1.php里添加压缩文件1.txt，并写入nlxx

修改2.php：

再访问http://127.0.0.1/2.php

测试成功，，所以要注意include和file_get_contents两者的使用。

下面测试phar伪协议和.phar文件反序列化结合使用：

新建一个3.php,内容如下：

startBuffering();$phar->setStub(""); //设置stub$obj=new B();$phar->setMetadata($obj);//自定义的meta-data存入manifest$phar->addFromString("1.txt","nlxx");//添加要压缩的文件//签名自动计算$phar->stopBuffering();?>

在类B里添加了name变量，并赋值为phpinfo()，并添加了压缩文件

新建测试类4.php: