duskto

摘要： Phar反序列化 phar文件本质上是一种压缩文件，会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时，会自动反序列化meta-data内的内容。(漏洞利用点) 受影响的文件操作函数 漏洞利用条件 phar可以上传到服务器端(存在文件上传) 要有可用的魔术方 阅读全文