SESSION反序列化

最新推荐文章于 2022-06-30 21:55:14 发布
最新推荐文章于 2022-06-30 21:55:14 发布
阅读量311 收藏 2
点赞数
分类专栏: 知识总结 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51553814/article/details/120991521
版权

前几天打省赛,遇到一个seesion反序列化的题,当时没做出来,今天复盘学习了一下,写个笔记

什么是SESSION

首先session是什么,就是一个会话控制,这样描述很肤浅,还得往更深的层次研究,这里是我学习的一个大佬的文章,讲的很透彻什么是session(一定要看啊,不然无法理解)

大概流程就是,当你打开一个页面,php会先判断你有没有sessionid,没有就生成一个id,当你结束后会生成一个文件,当判断出你有id时,php会直接读取上回生成的文件,把里面的东西反序列化出来。
这一套操作通常是用来,用户持续保持会话的,也就是用户退出页面后,再访问该页面,也能通过id访问到上回访问的资源。

php session中的序列化

再来讲讲php的相关序列化
session后产生的id文件中的内容就是一段序列化
然而php中的下面这个选项,可以选择序列化的方式

session.serialize_handler = php
session.serialize_handler = php_binary
session.serialize_handler = php_serialize

这三种都是他的序列化方式

下面时一段源码

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['name'] = 'spoock';
var_dump($_SESSION);

在 php_serialize 引擎下,session文件中存储的数据为:

a:1:{s:4:"name";s:6:"spoock";}

php 引擎下文件内容为:

name|s:6:"spoock";

php_binary 引擎下文件内容为:

names:6:"spoock";

上面就介绍了这三种序列化的形式,理解这三种序列化很重要

PHP session序列化漏洞

本来这种序列化是没有漏洞的,可我们经常需要跨文件操作,当两个文件的php序列化解释器不一样时,漏洞就由此产生了

由实例来解释一下吧,下面这是一段设置序列化引擎的php文件
同时还向session文件中写入了内容(这里使用的php_serialize引擎,要求php版本>5.5.4,当时自己也是弄了半天才发现)

<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
echo "session_id(): ".session_id()."<br>";
$_SESSION['ryat'] = '|O:1:"A":1:{s:1:"a";s:2:"xx";}';
?>

最后存储的session文件内容为

在这里插入图片描述
好了,就是这样一个序列化,假如当我们进入另一个网页时,该网页首先会看你有没有一个sessionid,有的话就直接根据id访问session文件,将里面的内容反序列化出来

又假如这个网页使用的序列化引擎是php引擎,根据php引擎的解释,面对这段序列化他则会认为a:1:{s:4:“ryat”;s:30:“是他的对象,而"A”:1:{s:1:“a”;s:2:“xx”;}"是里面的内容
最后解释出来的内容也和原本的内容大相径庭了

空口无凭,直接用用实例说话

<?php
session_start();

class A {
  public $a = 'aa';
  function __wakeup() {
    echo $this->a;
  }
}

按照我们刚才的分析,最后页面输出的应该是xx对吧,最后结果也的确如此,
在这里插入图片描述本来第二个php文件输出的应该是对象A中的元素,也就是aa,但是被我们这样一操作最终输出的居然是xx,也就是绕过了 $a=aa这条语句,这就是漏洞的产生

CTF中的应用

上面的例子我是在php文件中直接向session文件中写入了’|O:1:“A”:1:{s:1:“a”;s:2:“xx”;}’

然而在实际CTF和应用中通常都是通过GET注入的方式达到注入效果

buuctf也是有个相关的题 [HarekazeCTF2019]Easy Notes

没有$_SEESION变量赋值

攻击思路

先找到两个有不同引擎的php文件
然后往a.php注入对应的payload
再访问b.php注入就达成了

如何防范

其实也没啥事,这个漏洞的根本原因就是php序列化引擎不一样导致的,只需要各个文件都用一个引擎就好了。防范也就没啥好说的了。

小总结

总结一下吧,当你打开一个页面,session所作出的具体反应就是先看你是否带有session id,如果有的话就直接读取你上一次会话结束后存储在本地的session文件,如果php序列化引擎不一样,解释的结果就不一样,就导致了漏洞的产生(如果没有sessionid,则会给你生成一个sessionid,以便于在关闭页面时,存储一个session文件)

这就是全部内容了,其实理解了总结起来也没多少内容
下面是我学习过程中参考的一些大佬写的网站
大佬1
大佬2
大佬3

火火火与霍霍
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session序列
weixin_45782091的博客
03-25 3745
session序列的漏洞是由三种不同的序列引擎所产生的的漏洞 其中 session.serialize_handler string--定义用来序列/序列的处理器名字。默认使用php 若使用如下设置: <?php //ini_set('session.serialize_handler', 'php'); //ini_set("session.serialize_handler", "php_serialize"); ini_set("session.serialize_handle
session序列原理
yggcwhat
12-13 681
前言 看了好多session序列的文章,发现都有点晦涩难懂,关键的原理地方都没说清楚,所以我就索性写一篇,供各位师傅一起学习。 导读 什么是session?其实就是服务器为了保存用户状态而创建的一个保存用户信息的特殊对象,是存储在服务端的,有session那肯定就有sessionid了,他是怎么来的?当我们浏览器第一次访问服务器时,服务器创建一个session对象并且该对象有一个唯一的id,叫做sessionId,服务器会将sessionid以cookie的方式发送给浏览器,当浏览器再次访问服务器
CTFweb篇-序列SESSION(一)
weixin_44597701的博客
08-09 1076
前面讲到过一点SESSION,这里要继续说一点 SESSION的几种形式 这里是binary session的形成方法可以在php.ini中设置。默认是php(可能是php_serialize) 例子: php形式: php_serialize形式: php_binary: ini_set() ini_set ( string $varname , string $newvalue ) 在配置文件中设置配置的值 ini_set('session.serialize_handles','php')
session序列序列session的活、钝
刘伟佳的博客
11-21 1029
一、session序列序列 序列 一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列session信息保存起来放在硬盘,服务器重启后,又重新加载。这样就保证了用户信息不会丢失,实现永久保存。 我们举个例子演示一下: 比如我们新建一个项目,放入两个简单的jsp, a.jsp <body> <h1&g...
深入解析PHP中SESSION序列机制
10-20
主要介绍了PHP中SESSION序列机制的相关资料,文中介绍的非常相信,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
[Timeline Sec] - CVE-2020-9484:Tomcat Session 序列复现1
08-03
CVE-2020-9484的根源在于错误配置和`org.apache.catalina.session.FileStore`组件中的本地文件包含(LFI)以及序列问题。当Tomcat配置使用`org.apache.catalina.session.PersistentManager`作为会话管理器,并且...
序列利用工具ShiroExploit.V2.51.7z
08-31
序列利用工具ShiroExploit.V2.51详解》 在信息安全领域,漏洞利用是攻防对抗的关键一环。序列利用是一种高级的攻击手段,它利用了程序在处理序列数据时的逻辑缺陷,可以导致远程代码执行、权限提升等...
[CTF][高校战疫]php-session序列题目
Y4tacker的博客
09-29 6153
文章目录前置知识session 的存储机制利用session.upload_progress进行文件包含和序列渗透wp 前置知识 session 的存储机制 php中的session中的内容并不是放在内存中的,而是以文件的方式来存储的,存储方式就是由配置项session.save_handler来进行确定的,默认是以文件的方式存储。 存储的文件是以sess_sessionid来进行命名的 php : 默认使用方式,格式 键名|键值(经过序列函数处理的值) php_serialize: 格式 经过序列
Session序列利用
crispr的博客
04-30 623
Session序列利用 转自安全客 https://www.anquanke.com/post/id/202025 什么是session? 在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序...
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session序列
u013119911的博客
06-30 1546
点开就是源代码,直接进行代码审计
BUUCTF:[HarekazeCTF2019]Easy Notes
末初的CSDN博客
07-24 1707
BUUCTF:[HarekazeCTF2019]Easy Notes
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 序列/序列和代码审计
weixin_44632787的博客
07-28 1598
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 序列/序列和代码审计 知识点 序列中的对象逃逸 extract()变量覆盖 虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来… 废话不多说,放代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','
session角度学习序列
蚁景网安学院
03-24 328
原创作者:wywwzjj 从 session 角度学习序列 下面是题目给出的源码 原题链接 <?php // A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; function __con...
------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session序列的另类~.~ )
Zero_Adam的博客
02-06 630
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
PHP session序列漏洞
weixin_39664643的博客
03-14 5446
PHP session序列漏洞 PHP session序列漏洞,就是当【序列存储Session数据】与【序列读取Session数据】的方式不同导致session序列漏洞的产生 什么是session 官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器端 session通常是要配合cookie使用 因为HTTP的无状态性,服务端产生了session来标识当前
JavaWeb之Session序列序列 && Session的活和钝
热门推荐
NotPerfect-EOF
05-16 1万+
应用场景: 1.一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列session信息保存起来放在硬盘,服务器重启后,又重新加载。这样就保证了用户信息不会丢失,实现永久保存 2.淘宝每年都会有定时抢购的活动,很多用户会提前登录等待,长时间不进行操作,一致保存在内存中,而到达指定时刻,几十万用户并发访问,就可能会有几十万个ses
session对象序列
最新发布
04-29
Session对象的序列是指将Session对象转换为可存储或传输的格式。在Web应用程序中,Session对象通常存储在服务器端,如果需要将Session对象传输到客户端或者存储到数据库中,就需要将其序列为字符串或字节流。 在Python中,可以使用pickle模块对Session对象进行序列序列。示例如下: ```python import pickle # 将Session对象序列为字节流 serialized_session = pickle.dumps(session_object) # 将字节流序列Session对象 deserialized_session = pickle.loads(serialized_session) ``` 需要注意的是,pickle模块的使用需要谨慎,因为它可以执行任意代码,可能存在安全风险。在将Session对象序列之前,需要确保其中不包含敏感数据,并且只有可信的代码可以访问序列后的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值