php反序列化漏洞 freebuf,DiscuzX 3.4 Phar反序列化漏洞

最新推荐文章于 2024-04-01 21:58:12 发布
最新推荐文章于 2024-04-01 21:58:12 发布
阅读量298 收藏
点赞数
文章标签: php反序列化漏洞 freebuf
本文详细介绍了在DiscuzX中发现的一个PHP反序列化漏洞,通过测试发现80%的常用文件操作函数可能导致phar的反序列化。作者分析了论坛模块的forum_attachment.php文件,揭示了触发反序列化的条件和过程,并给出了漏洞测试方法。通过创建phar包并利用站点广告功能上传,成功触发了反序列化,为进一步的getshell攻击创造了条件。
摘要由CSDN通过智能技术生成

0x1 前情提要

DiscuzX的反序列化比较鸡肋,没有任何可利用的点,只能算一个bug。

刚看到一片文章,就是在对phar文件进行操作的时候可以导致反序列化,然后我就对php内置函数进行了测试,发现80%的常用文件操作都能导致触发phar的反序列化,我一共测试了如下函数,都可以触发。

70cfc405c195c7aa1e7002365daac94a.png

下面我就下了discuz的代码看看有没有什么能触发反序列化的点,还真给我找到了。

0x2 漏洞分析

/source/module/forum/forum_attachment.php

9830872d1d6bf48a73c578bdff7cc325.png

d46ca5b7fad5a8b5aaeb0588598ffb2a.png

0x3 漏洞测试

登陆后台配置远程附件并开启隐藏真实路径

30ec57cc29eadf929d90db7fa9ff3012.png

918f8a1b30d2b6cd11f955d8a0bb3970.png还需要开启附件缩略图功能

be94f4f242d15ae7feb8504fa7405ba3.png满足以上条件即可测试,在前台发帖并上传一个大于400*400的图片附件,注意是附件不是图片。

9e1b9ae70ff1b6e1e2b330f19da96118.png上传完成之后发帖会得到上图这样的链接

d7a998bd9ed69099c6c2ec34ca2432c1.png

这个时候需要把nothumb=yes去掉,访问

0620883d7be139ac561573c4c6333591.png

我为了方便测试,输出了url信息

7c7aa83fb4e1937459838d512e159c3e.png

3579502ea25294969818b2fb8a00466d.png

可以看到前面的2222正是我们设置的路径

然后利用以下脚本生成一个phar包,

6ad3ab285629e788c95efcdb91900319.png

payload 类是我自己写的为了方便测试我在/source/module/forum/forum_attachment.php加了一个payload类,测试看看有没有执行成功。

c53d209148db6449d1b6a0364e1dd7be.png

然后通过运营-》站点广告-添加一个新的广告,把之前生成的phar修改成jpg上传上去,并拿到路径

bacf8fcd34a7a53907c668ddcffc3d78.png

9585e60f769f21c6dcddf7d914dafbfb.png

然后再打开远程附件,修改远程访问url为

06a108e4c14b0a6bb47bbc020857027d.png

6e4e924fedbdb94b288b2c4c538e46b8.png再访问之前的url

5e6a4cd51b7fa425ef550d4bdfeb4163.png

211191671435a18ecde0db2ff5f76f6c.png你会发现反序列化已经触发了,下面离getshell只差一个好利用的点了。

参考从php反序列化到phar文件 https://paper.tuisec.win/detail/f93995fffa99f40

weixin_39574869
关注
phar反序列化漏洞
Mi1k7ea
01-01 6034
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
网站漏洞修复对DiscuzX3.4论坛总是被篡改页面
网站安全专家
04-26 2384
Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可导致论坛的后台文件可以任意的删除,导致网站瘫痪,后台无法登陆。关于该网站漏洞的细节我们来详细的分析看一下: Discuz漏洞的检测与分析 该漏洞发生的位置在于source目录下的admincp文件夹里的admincp_forums.php代码里,我们用note编辑器打开...
dz论坛Discuz_X3.4最新网站漏洞
热门推荐
网站安全专家
07-11 4万+
近期我们sinesafe安全部门审计discuz最新版的时候发现配置文件写入导致代码执行的问题。cms安装的时候一般会分为几个步骤去进行,其中有对配置文件config进行写入的步骤,当写入的时候未严格限制传入的参数就存在代码执行问题。源码信息:Discuz_X3.4_GIT_SC_UTF8问题文件: \upload\install\index.php漏洞类型:配置文件写入导致代码执行站点地址:ht...
PHAR反序列化漏洞
kunkun_xiaomeng的博客
08-31 958
phar反序列化
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
深入浅析PHP的session反序列化漏洞问题
10-19
PHP的Session反序列化漏洞问题,主要是因为不当的Session使用和不安全的反序列化操作,可能造成未授权访问、数据泄露甚至远程代码执行等安全风险。 首先,了解PHP的Session管理机制是非常重要的。在php.ini配置文件...
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1397
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
php归档格式:phar文件详解(创建、使用、解包还原提取)
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
Discuz! 系列<=3.4 后台 sql注入漏洞
weixin_46801402的博客
07-29 4663
Discuz!X全版本存在SQL注入漏洞漏洞产生的原因是source\admincp\admincp_setting.php在处理$settingnew['uc']['appid']参数时未进行完全过滤,导致出现二次注入。在特定条件下,攻击者可以利用该漏洞获取服务器权限。...
Discuz X 3.4 系列漏洞梳理
weixin_50464560的博客
04-05 2万+
分析了目前已经公开的Dz3.4系列漏洞,作为学习和记录。 Discuz!X ≤3.4 任意文件删除漏洞 1、简述 漏洞原因:之前存在的任意文件删除漏洞修复不完全导致可以绕过。 漏洞修复时间:2017年9月29日官方对gitee上的代码进行了修复 2、复现环境 因为官方提供的下载是最新的源码,漏洞修复时间是17年9月29日,通过git找一个修复前的版本签出就可。 git checkout 1a912ddb4a62364d1736fa4578b42ecc62c5d0be 通过安装向导安装完.
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 5590
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
dz论坛a.php木马,Web安全之Discuz!X 3.4 任意文件删除漏洞
weixin_39878855的博客
03-21 527
原标题:Web安全之Discuz!X 3.4 任意文件删除漏洞0x01 前言Discuz!X社区软件,是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。2017年9月29日,Discuz!修复了一个安全问题用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。2017年9月29日,知道创宇404 实验室开始应急,经过知道创宇404实验室分析...
Discuz开源论坛_v3.4系列_远程代码执行漏洞详解
weixin_60708754的博客
05-15 4889
Discuz v3.4系列 远程代码执行漏洞全流程详解
Phar反序列化漏洞原理
soldi_er的博客
06-08 633
文章目录   来自Secarma的安全研究员Sam Thomas发现,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞。   
第二十三天 phar反序列化漏洞
代码审计
04-01 2245
关于这个方法在2018年 BlackHat 大会上的 Sam Thomas 分享了 File Operation Induced Unserialization via the “phar://” Stream Wrapper ,该研究员指出该方法在 文件系统函数 ( file_get_contents 、 unlink 等)参数可控的情况下,配合 phar://伪协议 ,可以不依赖反序列化函数 unserialize() 直接进行反序列化的操作。 zip rar压缩文件包 类似 默认支持phar协议的使
Fastjson反序列化漏洞深度解析及EXP汇总
然而,随着版本的更新,该库也暴露出了一些安全漏洞,特别是反序列化漏洞。Fastjson 版本中就存在这类漏洞,这一问题已成为安全研究者和攻击者关注的焦点。攻击者利用这些漏洞,可能会执行不安全的代码,造成数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值