php反序列化漏洞 freebuf,DiscuzX 3.4 Phar反序列化漏洞

最新推荐文章于 2024-01-27 22:30:24 发布
最新推荐文章于 2024-01-27 22:30:24 发布
阅读量250 收藏
点赞数
文章标签: php反序列化漏洞 freebuf

0x1 前情提要

DiscuzX的反序列化比较鸡肋,没有任何可利用的点,只能算一个bug。

刚看到一片文章,就是在对phar文件进行操作的时候可以导致反序列化,然后我就对php内置函数进行了测试,发现80%的常用文件操作都能导致触发phar的反序列化,我一共测试了如下函数,都可以触发。

70cfc405c195c7aa1e7002365daac94a.png

下面我就下了discuz的代码看看有没有什么能触发反序列化的点,还真给我找到了。

0x2 漏洞分析

/source/module/forum/forum_attachment.php

9830872d1d6bf48a73c578bdff7cc325.png

d46ca5b7fad5a8b5aaeb0588598ffb2a.png

0x3 漏洞测试

登陆后台配置远程附件并开启隐藏真实路径

30ec57cc29eadf929d90db7fa9ff3012.png

918f8a1b30d2b6cd11f955d8a0bb3970.png还需要开启附件缩略图功能

be94f4f242d15ae7feb8504fa7405ba3.png满足以上条件即可测试,在前台发帖并上传一个大于400*400的图片附件,注意是附件不是图片。

9e1b9ae70ff1b6e1e2b330f19da96118.png上传完成之后发帖会得到上图这样的链接

d7a998bd9ed69099c6c2ec34ca2432c1.png

这个时候需要把nothumb=yes去掉,访问

0620883d7be139ac561573c4c6333591.png

我为了方便测试,输出了url信息

7c7aa83fb4e1937459838d512e159c3e.png

3579502ea25294969818b2fb8a00466d.png

可以看到前面的2222正是我们设置的路径

然后利用以下脚本生成一个phar包,

6ad3ab285629e788c95efcdb91900319.png

payload 类是我自己写的为了方便测试我在/source/module/forum/forum_attachment.php加了一个payload类,测试看看有没有执行成功。

c53d209148db6449d1b6a0364e1dd7be.png

然后通过运营-》站点广告-添加一个新的广告,把之前生成的phar修改成jpg上传上去,并拿到路径

bacf8fcd34a7a53907c668ddcffc3d78.png

9585e60f769f21c6dcddf7d914dafbfb.png

然后再打开远程附件,修改远程访问url为

06a108e4c14b0a6bb47bbc020857027d.png

6e4e924fedbdb94b288b2c4c538e46b8.png再访问之前的url

5e6a4cd51b7fa425ef550d4bdfeb4163.png

211191671435a18ecde0db2ff5f76f6c.png你会发现反序列化已经触发了,下面离getshell只差一个好利用的点了。

参考从php反序列化到phar文件 https://paper.tuisec.win/detail/f93995fffa99f40

weixin_39574869
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
Discuz开源论坛_v3.4系列_远程代码执行漏洞详解
weixin_60708754的博客
05-15 4127
Discuz v3.4系列 远程代码执行漏洞全流程详解
Discuz X 3.4 系列漏洞梳理
weixin_50464560的博客
04-05 2万+
分析了目前已经公开的Dz3.4系列漏洞,作为学习和记录。 Discuz!X ≤3.4 任意文件删除漏洞 1、简述 漏洞原因:之前存在的任意文件删除漏洞修复不完全导致可以绕过。 漏洞修复时间:2017年9月29日官方对gitee上的代码进行了修复 2、复现环境 因为官方提供的下载是最新的源码,漏洞修复时间是17年9月29日,通过git找一个修复前的版本签出就可。 git checkout 1a912ddb4a62364d1736fa4578b42ecc62c5d0be 通过安装向导安装完.
Discuz! 系列<=3.4 后台 sql注入漏洞
weixin_46801402的博客
07-29 4204
Discuz!X全版本存在SQL注入漏洞漏洞产生的原因是source\admincp\admincp_setting.php在处理$settingnew['uc']['appid']参数时未进行完全过滤,导致出现二次注入。在特定条件下,攻击者可以利用该漏洞获取服务器权限。...
Discuz!X 3.4任意文件删除漏洞
自强不息
10-05 646
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 4900
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
phar反序列化漏洞
最新发布
csjjjd的博客
01-27 1343
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar 文件标识,格式为xxx; manifest 压缩文件的属性等信息,以序列化存储;
PHAR反序列化漏洞
kunkun_xiaomeng的博客
08-31 880
phar反序列化
网站漏洞修复对DiscuzX3.4论坛总是被篡改页面
网站安全专家
04-26 2299
Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可导致论坛的后台文件可以任意的删除,导致网站瘫痪,后台无法登陆。关于该网站漏洞的细节我们来详细的分析看一下: Discuz漏洞的检测与分析 该漏洞发生的位置在于source目录下的admincp文件夹里的admincp_forums.php代码里,我们用note编辑器打开...
反序列化漏洞汇总
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
关于反序列化漏洞的一些理解
才不是小弱鸡的博客
09-16 9475
  php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的...
Discuz漏洞复现
小小猪的博客
11-30 5584
Discuz漏洞复现 漏洞描述: Discuz ML! V3.X存在代码注入漏洞,攻击者通过精心构建的请求报文可以直接执行恶意的PHP代码,进一步可获取整个网站的服务器权限。 漏洞影响版本: Discuz!ML v.3.4Discuz!ML v.3.2 、Discuz!ML v.3.3 product of codersclub.org (注意:支持多语言切换可能会有这个漏洞!) 环境搭建: 这里用安鸾渗透测试实战平台环境 :地址 这里访问robots.txt,发现下面有很多路径,访问之
php归档格式:phar文件详解(创建、使用、解包还原提取)
云客的技术博客【云游天下 做客四方】
02-10 1万+
一个php应用程序往往是由多个文件构成的,如果能把他们集中为一个文件来分发和运行是很方便的,这样的列子有很多,比如在window操作系统上面的安装程序、一个jquery库等等,为了做到这点php采用了phar文档文件格式,这个概念源自java的jar,但是在设计时主要针对 PHP 的 Web 环境,与 JAR 归档不同的是Phar 归档可由 PHP 本身处理,因此不需要使用额外的工具来创建或使用,
dz论坛Discuz_X3.4最新网站漏洞
热门推荐
网站安全专家
07-11 4万+
近期我们sinesafe安全部门审计discuz最新版的时候发现配置文件写入导致代码执行的问题。cms安装的时候一般会分为几个步骤去进行,其中有对配置文件config进行写入的步骤,当写入的时候未严格限制传入的参数就存在代码执行问题。源码信息:Discuz_X3.4_GIT_SC_UTF8问题文件: \upload\install\index.php漏洞类型:配置文件写入导致代码执行站点地址:ht...
discuz forum.php图片,discuz图片顺序混乱解决方案
weixin_35836405的博客
03-17 425
说明discuz在发表帖子的时候,添加多张图片,然后直接发表帖子,图片顺序有时候会乱掉即使上传图片窗口中图片顺序正确,发布之后还是会乱掉分析看url,程序代码中看不出什么将图片名改为序号上传,顺序乱了,记下帖子中乱掉的图片顺序为:76123458然后在数据库找到bbs_forum_attachment_1表,发现默认的顺序也为此:竟然也不按aid排序,有可能取的时候就直接取了没有order by找...
php反序列化漏洞习题
09-06
其中,SESSION反序列化漏洞涉及到不同处理器的不同储存格式,而phar反序列化漏洞需要了解phar的构造和使用条件。 通过这些习题的学习,可以更好地理解PHP反序列化漏洞以及如何进行防范和修复。<span class="em">1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值