SUCTF 2019 出题笔记 & phar 反序列化的一些拓展
# Phar反序列化漏洞深入分析与利用技巧
## 1. 基础概念与背景
Phar反序列化漏洞是PHP中一种特殊的攻击面,通过Phar文件格式的特性触发反序列化操作。Phar(PHP Archive)是PHP的归档文件格式,类似于Java的JAR文件,可以包含PHP代码、资源和元数据。
### 关键特性:
- Phar文件包含序列化的元数据(stub、manifest和file contents)
- 当PHP操作Phar文件时(如file_exists()、fopen()等),会自动反序列
2025-08-25 23:24:23
0