PHP文件包含漏洞深度解析:phar伪协议的隐蔽杀伤力
在Web安全领域,文件包含漏洞一直是攻击者最青睐的入口点之一。大多数开发者对php://filter这类常见伪协议保持警惕,却往往忽视了phar://这个隐藏在压缩包中的"沉默杀手"。本文将带您深入剖析phar伪协议的攻击原理、实战利用手法以及防御策略。
1. phar协议的本质与工作机制
phar(PHP Archive)是PHP中类似于Java JAR文件的打包格式。自PHP 5.3起,phar扩展默认启用,无需额外配置即可使用。这种设计初衷是为了方便PHP应用的打包分发,却意外成为了安全漏洞的温床。
phar文件由四个核心部分组成:
- Stub:文件头标识,必须包含
__HALT_COMPILER();语句 - Manifest:存储压缩文件的元信息(包括可序列化的metadata)
- File Contents:实际压缩的文件内容
- Signature(可选):文件签名验证
// 典型phar文件生成示例 $phar = new Phar('exploit.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $phar->addFromString('shell.php', '<?php system($_GET["cmd"]); ?>'); $phar->stopBuffering();2. phar攻击的实战利用场景
2.1 结合文件上传漏洞
攻击者常通过以下步骤实施攻击:
- 制作包含恶意代码的phar文件(可伪装为图片或压缩包)
- 利用文件上传功能将phar文件传至服务器
- 通过文件包含漏洞触发phar解析
攻击链:文件上传 → phar存储 → 文件包含触发 → RCE2.2 绕过常见防御措施
phar攻击具有极强的隐蔽性:
- 后缀名欺骗:可将.phar改为.jpg/.zip等任意后缀
- 内容伪装:在stub部分添加图片文件头(如GIF89a)
- 无文件包含:某些场景下甚至不需要显式的include/require
// 伪装成GIF的phar文件 $phar->setStub('GIF89a<?php __HALT_COMPILER(); ?>');3. 与其他伪协议的对比分析
| 协议类型 | 触发条件 | 利用难度 | 常见防御措施 |
|---|---|---|---|
| php://filter | 需要文件读取功能 | 低 | 禁用伪协议 |
| phar:// | 需要文件包含+上传 | 中 | 文件类型严格校验 |
| data:// | 需要allow_url_include | 高 | 关闭URL包含 |
| zip:// | 需要特定压缩格式 | 中 | 禁用压缩协议 |
4. 真实环境下的防御策略
4.1 开发层面的防护
- 禁用危险函数:在php.ini中设置
disable_functions = phar_open, phar_file_exists - 严格校验上传文件:
$finfo = new finfo(FILEINFO_MIME_TYPE); if (!in_array($finfo->file($_FILES['file']['tmp_name']), ['image/jpeg', 'image/png'])) { die('Invalid file type'); } - 限制文件包含参数:使用白名单控制包含路径
4.2 运维层面的加固
- 升级到PHP 7.0+并设置
phar.readonly=On - 定期审计服务器上的可疑文件
- 使用Web应用防火墙(WAF)拦截可疑请求
5. 高级攻击技巧与演变
现代phar攻击已发展出更复杂的变种:
- Phar反序列化攻击:通过metadata触发对象注入
- Phar+SSRF组合攻击:利用phar协议发起内部网络请求
- Phar签名绕过:针对特定PHP版本的签名验证漏洞
// 反序列化攻击示例 class Exploit { function __destruct() { system($this->cmd); } } $phar->setMetadata(new Exploit());6. 应急响应与漏洞修复
当发现phar攻击时,建议采取以下措施:
- 立即隔离受影响系统
- 审计所有上传文件
- 检查服务器日志定位攻击源
- 更新PHP到最新稳定版本
- 实施最小权限原则
在一次实际渗透测试中,我们发现某CMS系统虽然对上传文件做了严格校验,却忽略了phar文件伪装成ZIP压缩包的攻击向量。通过构造特殊的phar文件,我们成功绕过了所有防御措施,最终获得了系统控制权。这个案例充分证明了phar攻击在真实环境中的有效性。
)
)
)
