phar:// deserialization
Bug-Bounty-Tipp: Melde dich an bei Intigriti, einer Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Schließe dich uns heute an unter https://go.intigriti.com/hacktricks und beginne, Belohnungen von bis zu $100.000 zu verdienen!
Phar-Dateien (PHP-Archiv) enthalten Metadaten im serialisierten Format, sodass beim Parsen diese Metadaten deserialisiert werden und du versuchen kannst, eine Deserialisierungs-Schwachstelle im PHP-Code auszunutzen.
Das Beste an dieser Eigenschaft ist, dass diese Deserialisierung selbst bei der Verwendung von PHP-Funktionen auftritt, die keinen PHP-Code auswerten, wie file_get_contents(), fopen(), file() oder file_exists(), md5_file(), filemtime() oder filesize().
Stell dir also eine Situation vor, in der du eine PHP-Webanwendung dazu bringen kannst, die Größe einer beliebigen Datei mit dem phar://
-Protokoll abzurufen, und im Code findest du eine Klasse, die der folgenden ähnlich ist:
Sie können eine phar-Datei erstellen, die beim Laden diese Klasse ausnutzt, um beliebige Befehle auszuführen mit etwas wie:
Beachten Sie, wie die magic bytes von JPG (\xff\xd8\xff
) am Anfang der phar-Datei hinzugefügt werden, um mögliche Datei Upload Einschränkungen zu umgehen.
Kompilieren Sie die test.phar
-Datei mit:
Und führen Sie den Befehl whoami
aus, indem Sie den anfälligen Code mit folgendem missbrauchen:
References
Bug-Bounty-Tipp: Melden Sie sich an für Intigriti, eine Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Treten Sie uns bei https://go.intigriti.com/hacktricks heute bei und beginnen Sie, Prämien von bis zu 100.000 $ zu verdienen!
Last updated