【Web安全】从xxe到phar反序列化

最新推荐文章于 2025-08-30 23:21:52 发布

原创

最新推荐文章于 2025-08-30 23:21:52 发布 · 463 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#php #网络安全 #计算机网络

在这里插入图片描述

**重要：**在 PHP 里面解析 xml 用的是 libxml，当 libxml 的版本大于 2.9.0 的时候默认是禁止解析 xml 外部实体内容的。

以下代码存在 xxe 漏洞。
xml.php：

<?php
class Test{
   
   
    public $cmd;
    public function __destruct()
    {
   
   
        eval($this->cmd);
    }
}
$xmlfile = @file_get_contents("php://input");
$result = @simplexml_load_string($xmlfile)

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

IT老涵

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

PHP代码审计之XXE(XML外部实体注入)

qq_22132931的博客

12-08

971

PHP代码审计之XXE(XML外部实体注入)

XXE漏洞利用技巧（XML注入）：从XML到远程代码执行

墨痕诉清风的博客

10-12

5269

如今的 web 时代，是一个前后端分离的时代，有人说 MVC 就是前后端分离，但我觉得这种分离的并不彻底，后端还是要尝试去调用渲染类去控制前端的渲染，我所说的前后端分离是，后端 api 只负责接受约定好要传入的数据，然后经过一系列的黑盒运算，将得到结果以 json 格式返回给前端，前端只负责坐享其成，拿到数据json.decode 就行了（这里的后端可以是后台代码，也可以是外部的api 接口，这里的前端可以是传统意义的前端，也可以是后台代码）我们以存在 XXE 漏洞的服务器为我们探测内网的支点。...

参与评论您还未登录，请先登录后发表或查看评论

XXE/RCE/序列化反序列化

hk41666的博客

07-17

1879

这几个学得都有点蒙，学得不是很认真，学不下去感觉。不知道学了些什么，也可能是自己身体原因。挺痛苦的。

XXE、反序列化漏洞简述

ZY95001的博客

09-19

1429

一、二、三、四、五、

XXE 漏洞和 反序列化漏洞信息泄漏

Bulldozer_GD的博客

11-01

406

XXE 漏洞原因 XXE发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意的外部文件，造成文件读取、命令执行、内网扫描、等 xxe.dtd 反序列化漏洞序列化： 反序列化：漏洞处： <?php phpinfo() ?> 写入敏感信息泄漏订单页面修改/验证码本地【设计漏洞】 ...

mysql 反序列化函数_利用phar协议造成php反序列化

weixin_39843986的博客

01-21

588

0x00前言在php中反序列漏洞，形成的原因首先需要一个unserialize()函数来处理我们传入的可控的序列化payload。但是如果对unserialize()传入的内容进行限制，甚至就不存在可利用的unserialize()函数的时候，就可以借助phar协议触发反序列化操作了0x01 构造有反序列化payload的phar文件首先，phar是一种php语言的文件的后缀，所以生成phar文件...

详解PHP反序列化漏洞

LYJ20010728的博客

05-23

3183

PHP反序列化学习序列化与反序列化定义常见使用情况常见的序列化格式反序列化中常见的魔术方法反序列化绕过protected和private绕过__wakeup绕过（CVE-2016-7124）引用利用16进制绕过字符过滤同名方法的利用绕过部分正则字符逃逸字符增多字符减少序列化与反序列化 定义序列化（串行化）：是将变量转换为可保存或传输的字符串的过程； 反序列化（反串行化）：就是在适当的时候把这个字符串再转化成原来的变量使用；这两个过程结合起来，可以轻松地存储和传输数据，使程序更具维护性；常见的php

14、Web与Python安全漏洞解析与利用

nept的博客

08-03

本博客深入解析了PHP反序列化漏洞与Python安全问题，涵盖了XML文件攻击、Phar反序列化、反序列化技巧（如__wakeup失败、字符逃逸等）、Python沙箱逃逸、格式化字符串漏洞等内容，并结合多个实际案例，如Guzzle任意文件写入漏洞和Joomla反序列化漏洞，详细展示了各类漏洞的利用方式与防御措施。同时，博客还对比了PHP反序列化与Python安全问题的利用流程，并提出了全面的安全建议和防御策略，旨在帮助开发者和安全研究人员更好地识别、利用和防御相关安全风险。

web渗透PHP反序列化漏洞

最新发布

Strategic__的博客

08-30

1067

魔术方法：PHP 中特殊方法（如__construct、__destruct、__wakeup等）在对象生命周期自动调用，若方法中存在危险操作（如命令执行），可被反序列化触发。畸形测试：传入不完整 / 错误的序列化数据（如O:1:"A":），若返回unserialize()相关错误（如Error at offset），说明存在反序列化操作。参数测试：对疑似传入序列化数据的参数（如data、payload、user）传入畸形序列化字符串，观察是否返回 PHP 错误（如unserialize()错误）。

php phar 混淆,深入理解PHP Phar反序列化漏洞原理及利用方法（一）

weixin_35749440的博客

03-11

663

Phar反序列化漏洞是一种较新的攻击向量，用于针对面向对象的PHP应用程序执行代码重用攻击，该攻击方式在Black Hat 2018会议上由安全研究员Sam Thomas公开披露。类似于对编译二进制文件的ROP(Return-oriented Programming)攻击，这种类型的漏洞利用PHP对象注入(POI)，这是面向对象的PHP代码上下文中的一种面向属性的编程(POP)。由于其新颖性，这种...

XXE漏洞

weixin_41182861的博客

09-26

235

进行XXE漏洞测试时，必备知识： XML声明：<?xml version="1.0" encoding="utf-8"?> 内部DTD声明：外部实体声明：<!ENTITY 实体名称 SYSTRM ‘URI/URL’> 根据不同的环境，需要了解不同的协议，如php支持的协议：file://、http://、ftp://、php://、zlib://、data://、glob://、phar://、ssh2://、rar://、ogg://、expect:// 一、读取文件：以PH

使用phar上线你的代码包

01-04

265

在我前一阵子写的一篇文章《新版 SegmentFault 重构之系统架构》中，很多人对其中提到的利用phar上线代码比较感兴趣，我就在这边跟大家分享下我目前的做法。哪些项目适合phar打包上线? 其实这种方法没有什么特别的限制，只有一条，你的程序是单一入口的，对web项目也就是说，所有的http请求都只有一个php文件作为处理方（大多数程序就是index.php）。如果你的程序结构是这样

XXE超详细讲解（都是纯纯的干货）

weixin_63688999的博客

07-06

1422

XXE （XML External Entity injection）XML 外部实体注入漏洞，如果XML 文件在引用外部实体时候，可以沟通构造恶意内容，可以导致读取任意文件，命令执行和对内网的攻击，这就是XXE漏洞，这个漏洞需要大家还有一定的XML协议基础。XML是可扩展的标记语言（eXtensible Markup Language），设计用来进行数据的传输和存储，结构是树形结构，有标签构成，这点很像HTML语言。语法引用的外部实体，而非内部实体，那么uri中能写那些类型的外部实体呢？

xxe重点内容

Thegentlest的博客

09-04

1278

xxe重点内容以及实操

phar反序列化漏洞

Mi1k7ea

01-01

6188

之前做CTF遇到phar反序列化漏洞概念，这里小结一下，主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件，用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读，使用phar文件不需要任何的配置。而phar://伪协议即PHP归档...

2021 绿城杯 wp

qq_45603443的博客

10-13

1346

2021 绿城杯 wpWebezcmsezphpMisc[warmup]⾳频隐写ReeasyreCryptoRSA1[warmup]加密算法Pwnnull_pwnuafGreentownNoteTip Web ezcms ciscn华东北分区赛awd的链⼦ <?php namespace think\cache\driver { class File { protected $options=null; protected $tag; function __construct(){ $th

phar反序列化小结

Lethe's Blog

11-13

3456

0x00 phar反序列化 phar反序列化即在文件系统函数（file_exists()、is_dir()等）参数可控的情况下，配合phar://伪协议，可以不依赖unserialize()直接进行反序列化操作。关于其他反序列化的总结，可以看我的这篇文章 0x01 原理首先了解一下phar文件的结构，一个phar文件由四部分构成： a stub：可以理解为一个标志，格式为xxx<...

XXE漏洞-内网探测

小刚的博客

08-21

2651

作者：小刚一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢本实验仅用于信息防御教学，切勿用于其它用途 XXE漏洞-内网探测XXE漏洞危害CTF案例 XXE漏洞 XXE ：Xml External Entity 外部实体注入攻击是利用一种xml的语言进行的注入攻击 XXE漏洞原理就不详解了，一搜一大把危害可以读取系统文件获取源代码进行SSRF 进行Phar触发反序列化 CTF案例本文主要是针对一个CTF题https://buuoj.cn/challenges#[NCTF2019]Tr.

渗透测试基础

刘思成的博客

04-01

840

● 什么是渗透测试? 什么是渗透测试? 渗透测试(Penetration Test)是指从一个攻击者的角度来检查和审核个网络系统的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。渗透测试范围 **操作系统：**WINDOWS、SOL A...