Session反序列化漏洞解析

于 2024-10-06 14:08:22 发布
阅读量1.2k 收藏 8
点赞数 9
分类专栏: 网络空间安全 文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79629995/article/details/142725993
版权

参考文章:PHP session反序列化漏洞超详细讲解_php技巧_脚本之家 (jb51.net)

一、前置基础

        1、session请求过程:

        当某个用户第一次访问网站时,Session_start()函数会创建一个唯一的SessionID,并通过HTTP响应头,也就是返回包,将SessionID保存在客户端,也就是用户浏览器的Cookie中。与此同时,服务端也会在本地创建一个以SessionID命名的文件,用来保存这个用户的会话信息。当用户再次访问这个网站时,会自动通过HTTP请求头将Cookie中保存的SessionID再次发送给服务端,此时Session_start()函数不会再次分配一个SessionID,而是去寻找和这个SessionID同名的Session文件,将之前存储的信息读出,在当前脚本使用,达到跟踪用户的功能。

        2、session配置

        在探讨session反序列化漏洞时我们只需要关注存储引擎即可

注:session文件存储路径在php.ini文件中的session.save_path中(Linux默认为/tmp目录下)

        PHP:

存储方式:键名+|+经过serialize函数处理后的值;

测试代码:

<?php
error_reporting(0);
ini_set('session.serialize_handler','php');
session_start();
$_SESSION['username'] = $_GET['user'];
echo "<pre>";
var_dump($_SESSION);
echo "</pre>";

当参数为user=123

输出结果为:

username|s:6:"123123";

        PHP_serialize:

存储方式:经过serialize函数处理后的值

测试代码:

<?php
error_reporting(0);
ini_set('session.serialize_handler','php_serialize');
session_start();
$_SESSION['username'] = $_GET['user'];
echo "<pre>";
var_dump($_SESSION);
echo "</pre>";

输出结果为:

a:1:{s:8:"username";s:6:"123123";} 

        PHP_binary:

存储方式:键名长度所对应的ASCII码+键名+经过serialize函数处理后的值

测试代码:

<?php
error_reporting(0);
ini_set('session.serialize_handler','php_binary');
session_start();
$_SESSION['username'] = $_GET['user'];
echo "<pre>";
var_dump($_SESSION);
echo "</pre>";

输出结果为:

usernames:6:"123123";

二、session反序列化漏洞

        根据上面不同的session存储引擎可知,不同的存储引擎有着不同的解析方式,当存储引擎使用不当则可能会出现反序列化漏洞,如下:

serialize.php

<?php
error_reporting(0);
ini_set('session.serialize_handler','php_serialize');
session_start();
$_SESSION['username'] = $_GET['user'];
echo "<pre>";
var_dump($_SESSION);
echo "</pre>";

 serialize1.php

<?php
error_reporting(0);
ini_set('session.serialize_handler','php');
session_start();
class user{
    var $name;
    var $age;
    function __wakeup(){
        echo "hello ".$this->name." !";
    }
}

        以上两PHP文件在session的存储引擎上采用了不同的方式,因此在解析session文件中的数据时就产生了歧义,如对于php_serialize来说 ”|“仅仅只是一个字符,但对于php而言则是分割符,因此对session产生了不同的解析结果,我们通过如下脚本生成payload

makepayload.php

<?php
class user {
    var $name;
    var $age;
}
$a = new user();
$a ->age="888";
$a ->name="cc";
echo "|".serialize($a);

payload:

        |O:4:"user":2:{s:4:"name";s:2:"cc";s:3:"age";s:3:"888";}

        通过user传参给serialize.php

php_serialize解析结果:

        a:1:{s:8:"username";s:56:"|O:4:"user":2:{s:4:"name";s:2:"cc";s:3:"age";s:3:"888";}";}

此时我们访问serialize1.php,则会发现输出结果hello,cc!

分析:

        对于serialize.php文件中的数据是一整条经过serialize函数处理后的结果,其代表的含义仅仅是一个username的键对应|O:4:"user":2:{s:4:"name";s:2:"cc";s:3:"age";s:3:"888";}的值,在php_serialize眼中这仅仅只是个字符串。

        但对于serialize1.php文件中的php_serialize而言整条数据是这样的

键名:username

值:O:4:"user":2:{s:4:"name";s:2:"cc";s:3:"age";s:3:"888";}

在php眼中的“|”是分割符因此他直接将后面的数据解析为对象了,从而产生了反序列化漏洞

hadagaga
关注
专栏目录
PHP session反序列化漏洞
weixin_39664643的博客
03-14 5571
PHP session反序列化漏洞 PHP session反序列化漏洞,就是当【序列化存储Session数据】与【反序列化读取Session数据】的方式不同导致session反序列化漏洞的产生 什么是session 官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器端 session通常是要配合cookie使用 因为HTTP的无状态性,服务端产生了session来标识当前
PHP session反序列化漏洞原理解析
小王的储物间
01-12 694
官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。session保存的位置是在服务器端session通常是要配合cookie使用因为HTTP的无状态性,服务端产生了session来标识当前的用户状态本质上,session就是一种可以维持服务器端的数据存储技术。即**session技术就是一种基于后端有别于数据库的临时存储数据的技术**
php反序列化漏洞——session反序列化漏洞
m0_73756016的博客
03-31 1452
session在网络应用中称为“会话控制”,是服务器为了保存用户状态而创建的一个特殊的对象。简而言之,session就是一个对象,用于存储信息。
Shiro框架以及反序列化漏洞
最新发布
2301_79096184的博客
09-13 903
key值(漏洞点就是这个)
Session 反序列化漏洞
Welcome To Myon'Blog !
07-03 519
Session 反序列化 当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用引擎之间的差异产生序列化注入漏洞session反序列化漏洞就是利用php处理器和php_serialize处理器的存储格式差异。 总的来说就是,我们先判断它是否存在这样一个漏洞,一般看到有这些比较具有特征性PHP代码我们就该想到这个方向,存在session反序列化漏洞的话,我们先进行序列化,然后在结果前添加 | (管道符),在传参页面进行上传,再去刷新读取页面即可。
PHPsession反序列化漏洞
weixin_51706044的博客
09-28 664
带你走进session 在学习 session 反序列化之前,我们需要了解这几个参数的含义。 Directive 含义 session.save_handler session保存形式。默认为files session.save_path session保存路径。 session.serialize_handler session序列化存储所用处理器。默认为phpsession.upload_progress.cleanup 一旦读取了所有POST数据,立即清除进度信息。默认
反序列化漏洞汇总
hackzkaq的博客
12-08 5205
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
Python Pickle反序列化漏洞
Lemon's blog
11-15 4740
前言: 刷题的时候做了一道[CISCN2019]ikun的题目,提示考察的知识点是Python Pickle,之前接触的都是有关PHP反序列化,这次就来好好学习一下Python Pickle反序列化漏洞。 基础知识 0x00:Pickle库及函数 pickle是python语言的一个标准模块,实现了基本的数据序列化和反序列化。 pickle模块是以二进制的形式序列化后保存到文件中(保存文件的后缀为.pkl),不能直接打开进行预览。 函数 说明 dumps 对象反序列化为bytes对象
shiro反序列化测试工具.zip
06-04
网络安全领域,"反序列化漏洞"是一种常见的安全问题,攻击者可以通过构造恶意的序列化数据来执行远程代码或者获取敏感信息。Shiro框架在处理用户认证和授权时可能会涉及对象的序列化和反序列化,因此也可能存在...
shiro反序列化漏洞复现
weixin_45682070的博客
08-21 3184
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 工作原理 Shiro的记住用户会话功能 获取RememberMe的值 —> Base64解密 —> ASE解密 –> 反序列化 漏洞原理 因为在反序列化时,不会对其进行过滤,所以如果传入恶意代码将会造成安全问题 在 1.2.4 版本前,是默认ASE秘钥,Key: kPH+bIxk5D2deZiIxcaaaA==,可以直接反序列化执行恶意代码 而在1.2.4之后,ASE秘钥就不为默认了,需要获取
深入浅析PHPsession反序列化漏洞问题
10-19
主要介绍了PHPsession反序列化漏洞问题,需要的朋友可以参考下
PHP序列化之Session反序列化漏洞
Firebasky的博客
08-14 740
本文内容主要是出各位师傅那里获取来的,主要是用于记录学习,和自己的一些心得体会。 Session反序列化漏洞 要了解这个漏洞必须知道Session序列化机制。 PHP Session 序列化及反序列化处理器设置使用不当带来的安全隐患 配置文件php.ini中含有这几个与session存储配置相关的配置项: session.save_path="" --设置session的存储路径,默认在/tmp session.auto_start --指定会话模块是否在请求开始时启动一个会话,默认为0不启动.
tomcat session反序列化漏洞分析
bylfsj的博客
06-02 2547
<p></p><h1>CVE-2020-9484 tomcat session反序列化漏洞</h1> 漏洞通告 可以看到利用条件较为苛刻,并且在复现的时候需要做一定配置 修改PersistenceManager配置,这个配置是在tomcat目录的conf目录中的context.xml中配置的,根据官网的配置方法,做如下配置 这样2,3条件满足了,之后配置tomcat的debug环境即可 漏洞分析 一般文件存储sessio...
反序列化漏洞session反序列化&phar反序列化&POP实战
wz0819529的博客
10-21 3565
反序列化漏洞学习(二) 本来想做漏洞复现,但是稍微看了几个漏洞之后发现复现对菜鸡来说不太友好,决定这里重做一下BUU的几道题目。主要是PHP反序列化漏洞不太好找。 CVE-2016-7124 若在对象的魔法函数中存在的wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unse
PHP session反序列化漏洞总结
mysteryflower的专栏
09-27 895
session的存贮以及序列化以及漏洞 储存session 每个session标签对应着一个$_SESSION键-值类型数组,数组中的东西需要存储下来,首先需要序列化。 在phpsession有三种序列化的方式,分别是php_serialize,phpphp_binary serializer 实现方法 php 键名 + 竖线 + 经过 serialize() 函数反序列...
php session反序列化漏洞详解
qq_39511050的博客
10-25 926
php session反序列化漏洞详解
反序列化漏洞原理知乎/PHP session反序列化漏洞原理解析_零基础攻防笔记
2401_84915584的博客
05-16 365
本质上,就是一种可以维持服务器端的数据存储技术。即**技术就是一种基于后端有别于数据库的临时存储数据的技术**PHP 工作流程以PHP为例
php反序列化漏洞 freebuf,PHP反序列化漏洞进阶之Session反序列化漏洞
weixin_29798379的博客
03-09 294
什么是sessionsession英文翻译为"会话",两个人聊天从开始到结束就构成了一个会话。PHP里的session主要是指客户端浏览器与服务端数据交换的对话,从浏览器打开到关闭,一个最简单的会话周期PHP session工作流程会话的工作流程很简单,当开始一个会话时,PHP会尝试从请求中查找会话 ID (通常通过会话 cookie),如果发现请求的Cookie、Get、Post中不存在sess...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值