phar:// deserialization
Consiglio per bug bounty: iscriviti a Intigriti, una piattaforma premium per bug bounty creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi e inizia a guadagnare taglie fino a $100,000!
I file Phar (PHP Archive) contengono metadati in formato serializzato, quindi, quando analizzati, questi metadati vengono deserializzati e puoi cercare di sfruttare una vulnerabilità di deserializzazione all'interno del codice PHP.
La cosa migliore di questa caratteristica è che questa deserializzazione avverrà anche utilizzando funzioni PHP che non valutano il codice PHP come file_get_contents(), fopen(), file() o file_exists(), md5_file(), filemtime() o filesize().
Quindi, immagina una situazione in cui puoi fare in modo che un sito web PHP ottenga la dimensione di un file arbitrario utilizzando il protocollo phar://
, e all'interno del codice trovi una classe simile alla seguente:
Puoi creare un file phar che, una volta caricato, abuserà di questa classe per eseguire comandi arbitrari con qualcosa del genere:
Nota come i byte magici di JPG (\xff\xd8\xff
) siano aggiunti all'inizio del file phar per aggirare possibili restrizioni sul caricamento dei file.
Compila il file test.phar
con:
E eseguire il comando whoami
abusando del codice vulnerabile con:
Riferimenti
Suggerimento per bug bounty: iscriviti a Intigriti, una piattaforma premium per bug bounty creata da hacker, per hacker! Unisciti a noi su https://go.intigriti.com/hacktricks oggi e inizia a guadagnare ricompense fino a $100,000!
Last updated