session反序列化漏洞是怎么回事,如何产生的
Admin 2022-08-03 群英技术资讯 325 次浏览
session反序列化的漏洞是由三种不同的反序列化引擎所产生的的漏洞
其中
session.serialize_handler string--定义用来序列化/反序列化的处理器名字。默认使用php
若使用如下设置:
<?php //ini_set('session.serialize_handler', 'php'); //ini_set("session.serialize_handler", "php_serialize"); ini_set("session.serialize_handler", "php_binary"); phpinfo();
则改变了序列化的引擎
save_path则是session的存放路径 我们可以通过改变ini_Set来查看不同引擎下的序列化的类型
三种引擎的存储格式:
php : a|s:3:"wzk"; php_serialize : a:1:{s:1:"a";s:3:"wzk";} php_binary : as:3:"wzk";
漏洞产生在于
php引擎的存储格式是键名 |serialized_string,而php_serialize引擎的存储格式是serialized_string。如果程序使用两个引擎来分别处理的话就会出现问题。
session_start() 会创建新会话或者重用现有会话。 如果通过 GET 或者 POST 方式,或者使用 cookie 提交了会话 ID, 则会重用现有会话。
所以如果存在两种不同的引擎,就可以利用session_start()的自动反序列化,把我们想要传输的数据传输到服务器中:
eg:
<?php ini_set("session.serialize_handler", "php_serialize"); session_start(); $_SESSION['swaggyp'] = $_GET['a']; echo var_dump($_SESSION);
代码1:用来保存在本地一个session
代码2:
<?php ini_set('session.serialize_handler', 'php'); session_start(); echo var_dump($_SESSION); class student{ var $name; var $age; function __wakeup() { // TODO: Implement __wakeup() method. echo "wzk".$this->name; } }
用于读取session然后进行反序列化 若wakeup方法被调用则说明反序列化成功
<?php class student{ var $name; var $age; } $a = new student(); $a->nage = "swaggyp"; $a->age = "1111"; echo serialize($a); //O:7:"student":3:{s:4:"name";N;s:3:"age";s:4:"1111";s:4:"nage";s:7:"swaggyp";}
该代码用于生成一个一个序列
参考于:
生成后,在1中传入这段序列化的值并在开头加入 | 则在第二个文件被解析的时候,就会把|后的内容直接当成一个类去解析 实现我们的目的
成功了
php 这个session.serialize_handler
将 | 后的字符串反序列化,导致产生恶意对象。
upload过程中会产生session,存在一个键值对的值为filename(可控),如果filename被我们修改为|+序列化对象字符串(特殊字符记得转义),filename |后的内容就会被认为是序列化的内容,进而反序列化产生恶意对象(实际上PHP中session是写到文件中的,我们暂且忽略这一中间步骤对此处并无影响),在对象自毁时去执行__destruct()内的语句
<form action =“ upload.php” method =“ POST” enctype =“ multipart / form-data”> <input type =“ hidden” name =“ PHP_SESSION_UPLOAD_PROGRESS” value =“ ryat” /> <input type =“ file” name =“ file” /> <input type =“ submit” /> </ form>
S E S S I O N 中 的 键 值 就 会 为 _SESSION中的键值就会为 SESSION中的键值就会为_SESSION[“upload_progress_ryat”]
,在会话上传过程中,将对会话数据进行序列化/反序列化,序列化格式由php.ini中的session.serialize_handler
选项设置。 这意味着,如果在脚本中设置了不同的serialize_handler
,那么可以导致注入任意session数据
题目:
<?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; function __construct() { $this->mdzz = 'phpinfo();'; } function __destruct() { eval($this->mdzz); } } if(isset($_GET['phpinfo'])) { $m = new OowoO(); } else { highlight_string(file_get_contents('index.php')); } ?>
构造登录框和payload
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。
猜你喜欢
本文实例总结了PHP常用字符串函数用法。分享给大家供大家参考,具体如下
laravel的加密方法:1、利用Hash,语法“bcrypt('需要加密的文本')”或“Hash::make('需要加密的文本')”;2、使用Laravel的加密器,语法“encrypt('需要加密的文本')”。
在本篇文章里小编给大家整理的是一篇关于php没有文件被上传的实例分析及解决办法,有兴趣的朋友们可以跟着学习参考下。
很多新手对于任务调度不是很清楚,简单介绍一下,任务调度指的是根据一定的约束规定,将CPU分配给符合条件的任务使用。这篇文章给大家分享的是关于PHP实现协程任务调度的实例,感兴趣的朋友可以了解一下。
php数组排序算法:1、冒泡排序,重复地走访过要排序的数列。2、选择排序,在未排序序列中找到最小元素。3、插入排序,在已排序序列中从后向前扫描。4、快速排序,将要排序的数据分割成独立的两部分。
成为群英会员,开启智能安全云计算之旅
立即注册Copyright © QY Network Company Ltd. All Rights Reserved. 2003-2020 群英 版权所有
增值电信经营许可证 : B1.B2-20140078 粤ICP备09006778号 域名注册商资质 粤 D3.1-20240008