php反序列化进阶(session反序列化)!全网最详细!小白看这篇就够了!

已于 2024-09-20 21:59:02 修改
阅读量1.2k 收藏 29
点赞数 46
分类专栏: php反序列化 文章标签: php 网络安全 学习 开发语言 web安全
于 2024-09-13 17:26:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70065235/article/details/142213496
版权

大家好,我是Dest1ny,php反序列化的基础篇收到了大家很多的好评,在这里非常感谢大家!

我这里准备接着基础篇去讲一些进阶一点点点,今天讲的是session反序列化。

如果对Dest1ny写的文章比较喜欢的话,各位大佬不要吝啬自己的收藏和点赞。

您的支持是我最大的动力,废话不多直接开整!

CALSS-1 关于session反序列化

我们按照惯例先看一下比较正经的解释:

概念

  1. Session的序列化

    当用户通过PHP的$_SESSION变量存储数据时,PHP会自动将这些数据序列化(即转换成字符串)并存储在服务器端的Session文件或其他Session存储介质中。序列化的格式通常是可以通过serialize()函数手动生成的格式。

  2. Session的反序列化

    当用户再次访问Session数据时,PHP会自动从服务器端读取Session文件,并通过unserialize()函数将数据转换回原始格式。这样,开发者可以像操作普通变量一样处理$_SESSION中的数据。

安全性问题

Session反序列化存在潜在的安全隐患,尤其是在数据没有经过适当验证的情况下,可能会导致反序列化漏洞。攻击者可能通过伪造的序列化数据或操纵Session内容,使反序列化的对象触发任意代码执行(RCE),导致严重的安全问题。

这里大家就先看一下,我是不想看哈哈哈,直接上例题!

CLASS-2 关于session的例题

这是例题,大家请签收

index.php:

<?php
highlight_file(__FILE__);
/*hint.php*/
session_start();
class Flag{
    public $name;
    public $her;
    function __wakeup(){
        $this->her=md5(rand(1, 10000));
        if ($this->name===$this->her){
            include('flag.php');
            echo $flag;
        }
    }
}
?>

ok,我们现在也先读代码,至少得知道代码是干什么的:

1. 首先这里有一个flag的类,类里面有两个属性,是name和her。

2. 这里有一个wakeup()的魔法函数,这个魔法函数要字符串被反序列化时会被触发。

3. wakeup里把her的值随机赋成一个1-10000之间的数字。

4. 如果name的值和her的值相等,则会输出flag。

大致就是这个样子,其实很简单,我们只要通过上次讲的引用的知识点,让name和her指向同一个人的地址就可以强行相等!

可是代码中大家好像没看见可以去传参的地方,那怎么办?我们看见还有一个hint.php,这里肯定有提示!

CLASS-3 hint.php来了

我们访问一下hint.php

<?php
highlight_file(__FILE__);
error_reporting(0);
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['a'] = $_GET['a'];
?>

诶,这里可以用get传参数诶!

但是我怎么通过这个get传参,去改变index.php类里面的属性值呢?

我们先读一下代码!

  • 显示源代码:它使用 highlight_file() 显示当前PHP文件的源码,便于查看文件内容。

  • 关闭错误报告:通过 error_reporting(0) 关闭了所有错误报告,这样即使代码出错,用户也看不到错误提示。

  • 设置Session序列化方式:使用 ini_set('session.serialize_handler', 'php_serialize') 将Session的序列化方式设置为 php_serialize,意味着PHP会使用默认的序列化方法来存储和检索Session数据。

  • 启动Session:通过 session_start() 开启了一个新的Session或恢复现有的Session。

  • 存储GET参数:将用户通过 GET 方法传入的参数 a 存储到Session中,即 $_SESSION['a'] = $_GET['a']。用户可以通过访问类似 ?a=value 的URL将值传递给Session。

这里就要导入seesion的概念了!

CLASS-4 session来了!

我们看一下

这个是两个get传参,一个是ben,一个是b。然后我们看到是用session方式去读,什么意思呢?

这样我们先传参数看看!

http://127.0.0.1:8088/class20/2.php?ben=111&b=111

去容器里面看一下发生了什么

我们发现容器里面多了sess开头的文件,里面存放着序列化的字符串,然后$_SESSION这里会去把文件里的内容反序列化。

session的读取方式是不一样的,我们这里是最普通的:

这里是php_serialize,我给大家发个表就知道了:

这里我们是php_serialize的读取方式,就是直接读取session文件里的内容进行反序列化。

那思路来了,我们是不是只要通过hint.php里的a传参,因为是用session方式去解析a的传参,所以意思是不是我可以通过session反序列化的功能去修改index.php里的flag类中的属性。OKOK,直接尝试!

CLASS-5 利用session反序列化漏洞

我们先通过index.php构造一个常规的序列化字符串

这里使用了引用的方法将$name和$her的值指向到一起!

现在我们通过hint.php的session反序列的功能,去尝试将构造好的payload可以被调用起来,不然我序列化出来的东西,连个可以反序列化的机会都没有!

这里我们注意下它session读的格式:

hint.php是用php_serialize的,index.php是没说就是用默认php的方式。php和php_serialize不一样,它读取的规则是在“|”后面才可以去反序列化。

所以思路是:

hint.php会通过session反序列化去生成一个文件,按道理来说什么都可以写,因为没有什么限制。

index.php是用php去读去,而且只反序列化“|”之后的内容。所以说我的payload完整的格式是:

http://127.0.0.1:8088/class21/hint.php?a=|O:4:%22Flag%22:2:{s:4:%22name%22;N;s:3:%22her%22;R:2;}

我在a的最前面加上了|符号,那么index.php去读的时候就可以完整的把我payload读下来。

我们可以看一下内部:

看到了吗,正好就把payload全部可以反序列化,这个时候我们只要刷新一下index.php就可以,因为内部值已经被改了。

OK,结束!!

我是Dest1ny,制作不易,各位大佬多多点赞支持!!!!

Dest1ny-安全
关注
专栏目录
网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3968
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
〖Python零基础入门篇(54)〗- 文件的应用-序列化与反序列化
易编橙 · 终身成长社群,相遇已是上上签!
03-25 2万+
前面章节我们学些了文件对象的创建、写入与读取,并且针对 `.py` 文件 与 `.txt` 文件进行了有针对性的小练习。 通过前面的学习我们知道,文件对象的读写只能进行 `字符串` 或 `byte` 类型的操作,其他类型只能通过格式化存储或者数据类型的转换才能实现。 但无论是哪一种,从文件中读取数据后都需要进行比较复杂的处理才能还原到原始的数据类型。为了简化数据类型的写入和获取,今天我们来学习一个新的知识点 ---> 序列化。
深入解析PHPSESSION反序列化机制
10-20
主要介绍了PHPSESSION反序列化机制的相关资料,文中介绍的非常相信,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
PHP反序列化入门之session反序列化
weixin_44304686的博客
06-12 1132
原文链接:https://mochazz.github.io/2019/01/29/PHP反序列化入门之session反序列化/ PHPsession机制 在学习 session 反序列化之前,我们需要了解这几个参数的含义。 Directive 含义 session.save_handler session保存形式。默认为files session.save_path ses...
session反序列化
最新发布
weixin_45906533的博客
12-21 242
php会自动反序列化会话文件是因为php会话管理器(Session manager)在默认的情况下会自动处理会话数据的序列化和反序列化过程。在PHP种,会话数据通常存储在服务器上的会话文件种(默认路径:/var/lib/phpx/sess_xxxxxx)。当会话数据被写入会话文件时,php会自动将会话数据序列化为字符串,以便在文件中进行存储。而当会话数据需要被读取时,PHP会自动将会话文件中的序列化字符串反序列化为原始的php数据结构。
Php学习SESSION反序列化机制
qq_32506555的博客
10-20 794
php.ini中存在三项配置项:   session.save_path="" --设置session的存储路径   session.save_handler="" --设定用户自定义存储函数,如果想使用PHP语言内置会话存储机制之外的可以使用本函数(数据库等方式)   session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不
php session 反序列化,PHP session反序列化
weixin_42109639的博客
03-18 259
PHP session可以看做是一个特殊的变量,且该变量是用于存储关于用户会话的信息,或者更改用户会话的设置,需要注意的是,PHP Session变量存储单一用户的信息,并且对于应用程序中的所有页面都是可用的,且其对应的具体session值会存储于服务器端,这也是与cookie的主要区别,所以seesion的安全性相对较高。PHP session的工作流程当开始一个会话时,PHP会尝试从请求中查找...
C++ JSON 序列化与反序列化
06-22
本篇文章将深入探讨C++中JSON的序列化与反序列化。 **一、JSON序列化** 序列化是指将C++的对象转换为JSON字符串的过程,以便在网络上传输或保存到文件中。常见的C++ JSON序列化库有RapidJSON、nlohmann/json、...
【SpringBoot】34、SpringBoot整合Redis实现序列化存储Java对象
热门推荐
Asurplus
10-23 21万+
前面我们已经介绍过【SpringBoot】十七、SpringBoot 中整合 Redis,我们可以看出,在 SpringBoot 对 Redis 做了一系列的自动装配,使用还是非常方便的 一、背景 1、思考‘ 通过我们前面的学习,我们已经可以往 Redis 中存入字符串,那么我们要往 Redis 中存入 Java 对象该怎么办呢? 2、方案 我们可以将 Java 对象转化为 JSON 对象,然后转为 JSON 字符串,存入 Redis,那么我们从 Redis 中取出该数据的时候,我们也只能取出字符串,并转
网络安全 | CTF】CTF极客大挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 5209
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
phpsession反序列化
qq_63928796的博客
11-28 404
把修改的后的payload放入sessionphp储存session的方式来反序列化脚本,执行eval。中的值生成一个新的session然后改成第一种的格式,传入题目就可以执行eval函数了。,所以我们要进行反序列化,但没有serialize函数,只有。是上面提到的第二种,但题目是第一种,我们只需要改稍微改一下。就是我们上面说的php储存session的第一种。刷新之后就可以从题目中看到执行ls了。所以我们可以通过修改。有一个类,我们最终要利用。看一下session
php-session反序列化
weixin_63231007的博客
12-30 1128
一篇对session反序列化原理的探索
php session 反序列化
YkingH的博客
03-22 3894
php_session 反序列化 php 存储session的三种模式 php_serialize 经过serialize()函数序列化数组 php 键名+|+经过serialize()序列化处理后的值 php_binary 键名长度对应ASCII字符+键名+serialize()序列化的值 三种存储模式的区别 <?php ini_set("session.serialize_handler", "php"); //修改session存储类型为php类型 //ini_
SESSION反序列化
qq_51553814的博客
10-28 336
前几天打省赛,遇到一个seesion反序列化的题,当时没做出来,今天复盘学习了一下,写个笔记 什么是SESSION 首先session是什么,就是一个会话控制,这样描述很肤浅,还得往更深的层次研究,这里是我学习的一个大佬的文章,讲的很透彻什么是session 大概流程就是,当你打开一个页面,php会先判断你有没有sessionid,没有就生成一个id,当你结束后会生成一个文件,当判断出你有id时,php会直接读取上回生成的文件,把里面的东西反序列化出来。这一套操作通常是用来,用户持续保持会话的,也就是用户退
php反序列化
weixin_52397172的博客
08-23 682
php序列化简介
深入理解PHP反序列化机制
例如,session管理就使用了序列化来存储用户的会话数据。 ```php file_put_contents('./data.txt', $s); $dataFromFile = file_get_contents('./data.txt'); $userFromDisk = unserialize($dataFromFile); ``` 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值