PHP phar协议对象注入技术详解<\/h1>

一、技术背景<\/h2>
在BlackHat 2018大会上，Secarma的安全研究员Sam Thomas公布了一种针对PHP应用程序的新型攻击技术，该技术可以在不使用PHP `unserialize()<\/code>函数的情况下实现PHP对象注入漏洞，进而可能导致远程代码执行。<\/p>`

二、PHP文件操作协议<\/h2>
PHP文件操作允许使用多种URL样式协议访问文件路径，常见的包括：<\/p>

data:\/\/<\/code><\/li>
zlib:\/\/<\/code><\/li>
php:\/\/<\/code><\/li>
<\/ul>
这些协议通常用于远程文件包含(RFI)攻击，例如：<\/p>
include<\/span>($_GET['file'<\/span>]);
<\/span><\/span>include<\/span>('php:\/\/filter\/convert.base64-encode\/resource=index.php'<\/span>);
<\/span><\/span>include<\/span>('data:\/\/text\/plain;base64,cGhwaW5mbygpCg=='<\/span>);
<\/span><\/span><\/code><\/pre>三、phar协议的特殊性<\/h2>
phar:\/\/<\/code>协议相比其他协议有一个独特之处：Phar(PHP Archive)文件包含序列化格式的元数据。<\/p>
Phar文件结构<\/h3>
Phar文件包含三部分：<\/p>

stub - Phar文件的引导部分<\/li>
文件内容<\/li>
序列化的元数据<\/li>
<\/ol>
四、创建包含恶意元数据的Phar文件<\/h2>
以下是创建包含恶意元数据的Phar文件的示例代码：<\/p>
\/\/ 创建新的Phar文件
<\/span><\/span><\/span><\/span>$phar =<\/span> new<\/span> Phar<\/span>('test.phar'<\/span>);
<\/span><\/span>$phar-><\/span>startBuffering<\/span>();
<\/span><\/span>$phar-><\/span>addFromString<\/span>('test.txt'<\/span>, 'text'<\/span>);
<\/span><\/span>$phar-><\/span>setStub<\/span>('<?php __HALT_COMPILER(); ?>'<\/span>);
<\/span><\/span>
<\/span><\/span>\/\/ 添加任意类的对象作为元数据
<\/span><\/span><\/span><\/span>class<\/span> AnyClass<\/span> {}
<\/span><\/span>$object =<\/span> new<\/span> AnyClass<\/span>;
<\/span><\/span>$object-><\/span>data<\/span> =<\/span> 'rips'<\/span>;
<\/span><\/span>$phar-><\/span>setMetadata<\/span>($object);
<\/span><\/span>$phar-><\/span>stopBuffering<\/span>();
<\/span><\/span><\/code><\/pre>生成的Phar文件中，对象会以序列化字符串的形式存储。<\/p>
五、对象注入原理<\/h2>
当通过phar:\/\/<\/code>协议对Phar文件执行文件操作时，其序列化元数据会被自动反序列化。这意味着：<\/p>

元数据中注入的对象会被加载到应用程序的作用域中<\/li>
如果应用程序中存在同名类(AnyClass<\/code>)且定义了魔术方法__destruct()<\/code>或__wakeup()<\/code>，这些方法会被自动调用<\/li>
<\/ol>
示例：<\/p>
class<\/span> AnyClass<\/span> {
<\/span><\/span>    function<\/span> __destruct() {
<\/span><\/span>        echo<\/span> $this-><\/span>data<\/span>;
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span>\/\/ 输出: rips
<\/span><\/span><\/span><\/span>include<\/span>('phar:\/\/test.phar'<\/span>);
<\/span><\/span><\/code><\/pre>六、攻击利用条件<\/h2>
要成功利用此漏洞，需要满足以下条件：<\/p>


Phar文件上传<\/strong>：攻击者需要能够在目标服务器上植入Phar文件<\/p>

技巧：可以将Phar文件隐藏到JPG等常见文件中<\/li>
常见上传点：图片上传功能<\/li>
<\/ul>
<\/li>

可控文件路径<\/strong>：应用程序中存在未经验证的文件操作函数调用，且攻击者可以控制完整文件路径<\/p>
<\/li>
<\/ol>
七、易受攻击的函数<\/h2>
以下看似无害的文件操作函数都可能成为攻击入口：<\/p>
file_exists<\/span>($_GET['file'<\/span>]);
<\/span><\/span>md5_file<\/span>($_GET['file'<\/span>]);
<\/span><\/span>filemtime<\/span>($_GET['file'<\/span>]);
<\/span><\/span>filesize<\/span>($_GET['file'<\/span>]);
<\/span><\/span><\/code><\/pre>八、漏洞影响<\/h2>
通过此技术可以实现：<\/p>

任意对象注入<\/li>
魔术方法自动调用<\/li>
可能导致远程代码执行(RCE)<\/li>
其他依赖对象注入的漏洞利用<\/li>
<\/ol>
九、防御措施<\/h2>

输入验证<\/strong>：对所有文件操作函数的输入进行严格验证<\/li>
禁用phar流<\/strong>：在php.ini中禁用phar流（如果不需要）
; Disable phar:\/\/ wrapper<\/span>
<\/span><\/span>allow_url_include<\/span>=<\/span>0<\/span>
<\/span><\/span><\/code><\/pre><\/li>
文件上传限制<\/strong>：严格限制上传文件类型，验证文件内容而不仅是扩展名<\/li>
使用最新PHP版本<\/strong>：新版本PHP对phar反序列化有更多安全限制<\/li>
代码审计<\/strong>：使用工具如RIPS检测潜在漏洞<\/li>
<\/ol>
十、检测方法<\/h2>
自动化检测应关注：<\/p>

用户输入是否在PHP文件操作中未经验证<\/li>
文件路径是否完全或部分由攻击者控制<\/li>
是否存在可被利用的phar:\/\/<\/code>注入点<\/li>
<\/ol>
十一、总结<\/h2>
phar:\/\/<\/code>协议的对象注入技术为PHP应用程序安全带来了新的挑战，它绕过了传统的反序列化防御，通过常规文件操作函数实现对象注入。开发人员和安全研究人员需要关注这一新型攻击面，采取适当的防御措施。<\/p>

PHP phar协议对象注入技术详解<\/h1>

一、技术背景<\/h2> 在BlackHat 2018大会上，Secarma的安全研究员Sam Thomas公布了一种针对PHP应用程序的新型攻击技术，该技术可以在不使用PHP unserialize()<\/code>函数的情况下实现PHP对象注入漏洞，进而可能导致远程代码执行。<\/p>

三、phar协议的特殊性<\/h2> phar:\/\/<\/code>协议相比其他协议有一个独特之处：Phar(PHP Archive)文件包含序列化格式的元数据。<\/p>

一、技术背景<\/h2>
在BlackHat 2018大会上，Secarma的安全研究员Sam Thomas公布了一种针对PHP应用程序的新型攻击技术，该技术可以在不使用PHP `unserialize()<\/code>函数的情况下实现PHP对象注入漏洞，进而可能导致远程代码执行。<\/p>`

三、phar协议的特殊性<\/h2>
`phar:\/\/<\/code>协议相比其他协议有一个独特之处：Phar(PHP Archive)文件包含序列化格式的元数据。<\/p>`