详解PHPphar协议对象注入技术反序列化操作快速入门!

2018-11-24 12:34

详解PHPphar协议对象注入技术反序列化操作快速入门!



  本期安仔课堂,ISEC实验室的王老师为大家详解PHPphar协议对象注入技术。

  当在PHP中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。

详解PHPphar协议对象注入技术反序列化操作快速入门!

详解PHPphar协议对象注入技术反序列化操作快速入门!

  这里的O代表存储的是对象(object),假如传入的是一个数组,那就是字母a。6表示对象的名称有6个字符。“mytest“表示对象的名称。1表示有一个值。{s:4:test;s:3:123;}中,s表示字符串,4表示字符串的长度,“test”为字符串的名称,之后的类似。

详解PHPphar协议对象注入技术反序列化操作快速入门!

详解PHPphar协议对象注入技术反序列化操作快速入门!

  反序列化漏洞就是当传给unserialize()的参数可控时,可以通过传入一个精心构造的序列化字符串,来控制对象内部的变量甚至是函数。

  可以理解为一个标志,格式为xxx,前期内容不限,但必须以__HALT_COMPILER();?来结尾,否则phar扩展将无法识别其为phar文件。

  phar文件本质上是一种压缩文件,其中每个被压缩文件的权限、属性等信息都存放在这一部分中。这部分将会以序列化的形式存储用户自定义的meta-data。

详解PHPphar协议对象注入技术反序列化操作快速入门!

详解PHPphar协议对象注入技术反序列化操作快速入门!

  漏洞触发点在使用phar://协议读取文件的时候,文件内容会被解析成phar对象,然后phar对象内的meta-data会被反序列化。

  Sam Thomas举例的漏洞主要通过利用魔术方法__destruct或__wakeup构造利用链,但是在实战环境里往往较难找到可以直接通过魔术方法触发的漏洞点。

  根据文件结构来构建一个phar文件,php内置了一个Phar类来处理相关操作。

  有序列化数据必然会有反序列化操作,PHP一大部分的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,测试后受影响的函数如下:

  在文件系统函数的参数可控时,可以在不调用unserialize()的情况下进行反序列化操作。

  由于通过反序列化可以产生任意一种数据类型,可联想到PHP的一个漏洞:PHP内核哈希表碰撞攻击(CVE-2011-4885)。在PHP内核中,数组是以哈希表的方式实现的,攻击者可以通过巧妙构造数组元素的key使哈希表退化成单链表(时间复杂度从O(1)=O(n))来触发拒绝服务攻击。

详解PHPphar协议对象注入技术反序列化操作快速入门!

  PHP修复此漏洞的方式是限制通过$_GET或$_POST等方式传入的参数数量,但是如果PHP脚本通过json_decode()或unserialize()等方式获取参数,则依然将受到此漏洞的威胁。

  漏洞利用思路:构造一串恶意的serialize数据(能够触发哈希表拒绝服务攻击),然后将其保存到phar文件的metadata数据区,当文件操作函数通过phar://协议对其进行操作的时候就会触发拒绝服务攻击漏洞。

详解PHPphar协议对象注入技术反序列化操作快速入门!

详解PHPphar协议对象注入技术反序列化操作快速入门!

  PHP识别phar文件是通过文件头的stub,即__HALT_COMPILER();?,对前面的内容或者后缀名没有要求。可以通过添加任意文件头加上修改后缀名的方式将phar文件伪装成其他格式的文件。

  WordPress是网络上最广泛使用的cms,这个漏洞在2017年2月份就被报告给了官方,但至今仍未被修补。之前的任意文件删除漏洞也是出现在这部分代码中,同样没有修补。根据利用条件,我们先要构造phar文件。

  这个类继承了ArrayIterator,每当这个类实例化的对象进入foreach被遍历的时候,current()方法就会被调用。

  由于WordPress核心代码中没有合适的类能够利用,这里利用woocommerce插件中的一个类:

  本文由站长之家用户投稿,未经站长之家同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。

  免责声明:本文为用户投稿的文章,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用建议。请读者自行核实真实性,以及可能存在的风险,任何后果均由读者自行承担。

  国内最早关注智能硬件行业的互联网科技媒体,这里有最酷炫的智能硬件终端,有深度的创业介绍,雷锋网是移动互联网时代智能硬件终端第一媒体,我们在这里展现未来。