">必赢国际437437.com_必赢国际437在线游戏_437必赢国际网站

您现在的位置:必赢国际437437.com_必赢国际437在线游戏_437必赢国际网站 > 免责声明 >  > 正文

详解PHPphar协议对象注入技术反序列化操作快速入门!

2018-12-13 04:13http://www.baidu.com四川成人高考网

  该方法在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以不依赖unserialize()直接进行反序列化操作。

  本期安仔课堂,ISEC实验室的老师为大家详解PHPphar协议对象注入技术。

  当在PHP中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。

  这里的O代表存储的是对象(object),假如传入的是一个数组,那就是字母a。6表示对象的名称有6个字符。“mytest“表示对象的名称。1表示有一个值。{s:4:test;s:3:123;}中,s表示字符串,4表示字符串的长度,“test”为字符串的名称,之后的类似。

  与serialize()对应的,unserialize()可以对单一的已序列化的变量进行操作,将其转换回PHP 的值。

  反序列化漏洞就是当传给unserialize()的参数可控时,可以通过传入一个精心构造的序列化字符串,来控制对象内部的变量甚至是函数。

  可以理解为一个标志,格式为xxx,前期内容不限,但必须以__HALT_COMPILER();?来结尾,否则phar扩展将无法识别其为phar文件。

  phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都存放在这一部分中。这部分将会以序列化的形式存储用户自定义的meta-data。

  漏洞触发点在使用phar://协议读取文件的时候,文件内容会被解析成phar对象,然后phar对象内的meta-data会被反序列化。

  Sam Thomas举例的漏洞主要通过利用魔术方法__destruct或__wakeup构造利用链,但是在实战环境里往往较难找到可以直接通过魔术方法触发的漏洞点。

  根据文件结构来构建一个phar文件,php内置了一个Phar类来处理相关操作。

  注意:要将中的phar.readonly选项设置为Off,否则无法生成phar文件。

  有序列化数据必然会有反序列化操作,PHP一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,测试后受影响的函数如下:

  在文件系统函数的参数可控时,可以在不调用unserialize()的情况下进行反序列化操作。

  由于通过反序列化可以产生任意一种数据类型,可联想到PHP的一个漏洞:PHP内核哈希表碰撞攻击(CVE-2011-4885)。在PHP内核中,数组是以哈希表的方式实现的,攻击者可以通过巧妙构造数组元素的key使哈希表退化成单链表(时间复杂度从O(1)=O(n))来触发拒绝服务攻击。

  PHP修复此漏洞的方式是限制通过$_GET或$_POST等方式传入的参数数量,但是如果PHP脚本通过json_decode()或unserialize()等方式获取参数,则依然将受到此漏洞的威胁。

  漏洞利用思路:构造一串恶意的serialize数据(能够触发哈希表拒绝服务攻击),然后将其保存到phar文件的metadata数据区,当文件操作函数通过phar://协议对其进行操作的时候就会触发拒绝服务攻击漏洞。

  PHP识别phar文件是通过文件头的stub,即__HALT_COMPILER();?,对前面的内容或者后缀名没有要求。可以通过添加任意文件头加上修改后缀名的方式将phar文件伪装成其他格式的文件。

  WordPress是网络上最广泛使用的cms,这个漏洞在2017年2月份就被报告给了官方,必赢国际437437.com但至今仍未被修补。之前的任意文件删除漏洞也是出现在这部分代码中,同样没有修补。根据利用条件,我们先要构造phar文件。

  如果$file是类似于Windows盘符的路径Z:\Z,正则匹配就会失败,$file就不会拼接其他东西,此时就可以保证basename($file)与$file相同。

  这个类继承了ArrayIterator,每当这个类实例化的对象进入foreach被遍历的时候,current()方法就会被调用。

  由于WordPress核心代码中没有合适的类能够利用,这里利用woocommerce插件中的一个类:

  3.在条件允许的情况下禁用可执行系统命令、代码的危险函数。返回搜狐,查看更多