我们一般利用反序列漏洞,一般都是借助unserialize()函数,不过随着人们安全的意识的提高这种漏洞利用越来越来难了,但是在今年8月份的Blackhat2018大会上,来自Secarma的安全研究员Sam Thomas讲述了一种攻击PHP应用的新方式,利用这种方法可以在不使用unserialize()函数的情况下触发PHP反序列化漏洞.漏洞触发是利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息. 一. PHAR简介 PHAR ("Php ARchive&q…