PHP 아카이브 역직렬화 취약점(phar vuln)

1. phar ?

1.1 의미

1.2 형식

• phar파일만 존재한다면, 내부에 있는 php파일을 자유롭게 불러올 수 있다는 점이 장점입니다.

• Stub

• Manifest

• File contents

• Signature (Optional)

• 여러가지 데이터 섹션이 존재하고, serialize 된 데이터가 존재하는 섹션이 있습니다.

• 여기서 Deserialization 취약점에 노출될 수 있습니다.

2. phar 역직렬화 취약점

2.1 phar 역직렬화 취약점?

2.2 실습

취약한 PHP 파일

1. phar.readonly가 disabled 되어있다. → phar stream을 사용가능하고 object를 쓸 수 있다

2. __destruct() 를 통해 생성자를 통해 입력 받은 정보로 curl 요청을 수행 → 역직렬화 시, 원하는 데이터로 변경 가능

• 이후 해당 파일을 php --define phar.readonly=0 rce.php 명령어를 통해 phar파일을 생성합니다.

• 해당 파일이 서버에 업로드 됩니다. (확장자가 phar이 아니더라도 phar:// 를 쓸 수 있다면 상관 없습니다.)

• 해당 파일이 phar:// 처리를 할 수 있는 스트림 함수를 만나게 되면, 127.0.0.1/admin.php로 요청이 가능합니다.

• 이때 해당 exploit 코드는 127.0.0.1/admin.php로 요청을 하였지만, 실제로 상황에 따라 로컬에서만 접근할 수 있는 서버로 접근하여 내부망으로 접근하는 등 많은 사용 방법이 존재합니다.

3. Exploit 시나리오

3.1 서비스

• board.php 코드 최상단에 특정 웹사이트와의 통신을 위한 Curl class가 선언되어 있음

• board.php에서 글을 업로드 할 때, 업로드 첨부파일의 파일 크기를 filesize 로 체크함

• 로그인 이후, 마이페이지에서 /uploads/{uid}/{random} 형태로 파일 업로드가 가능한 지점 존재

3.2 Exploit

1. 마이페이지에서 악성 phar 파일을 업로드함 (파일업로드 확장자 우회, 헤더 변경)

2. board.php에서 파일이름을 proxy로 변경하여 phar:///uploads/{uid}/{random} 형태로 변경

3. filesize 에서 파일 이름을 파싱하면서 역직렬화 취약점 발생, CURL을 이용한 내부망 데이터 외부 유출 가능