session.upload_progress反序列化学习

原创 已于 2022-03-10 22:20:42 修改 · 1.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kali #安全 #web安全

于 2022-03-10 20:37:56 首次发布
本文详细解析了PHP中session.upload_progress引发的反序列化漏洞,涉及配置、存储方式、漏洞成因及利用条件,包括不同引擎的序列化处理和环境搭建案例。

Session的配置选项和存储方式

在php.ini中存在四项配置项:

session.save_path=""       --设置session的存储路径
session.save_handler=""  --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)
session.auto_start   boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动
session.serialize_handler  string --定义用来序列化/反序列化的处理器名字。默认使用php

在kali里面php的默认配置

session.save_path="/var/lib/php/sessions"    表明所有的session文件都是存储  在/var/lib/php/sessions下
session.save_handler=files              表明session是以文件的方式来进行存储的
session.auto_start=0                         表明默认不启动session
session.serialize_handler=php           表明session的默认序列化引擎使用的是php序列话引擎

 session序列化引擎的储存方式

php_binary:  存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php:  存储方式是,键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4):  存储方式是,经过serialize()函数序列化处理的值

漏洞成因

session在序列化存储的时候有多种不同的方式,因此要是php在反序列化我们存储的session数据和读取session时所使用的session.serialize_handler(引擎)不同,那么就有可能引发安全问题。

例如在php.ini的配置文件中默认的引擎是php_serialize

<?php
session_start();
$_SESSION['username'] = '|O:3:"qaq":0:{}';

 那么在session储存文件里面的就是

a:1:{s:8:"username";s:15:"|O:3:"qaq":0:{}";}

此时因为程序员的失误,将读取session的引擎设置为php 

<?php
ini_set('session.serialize_handler', 'php');
session_start();
var_dump($_SESSION);

 

然后会在session_start()返回session会话里面存储数据时,php引擎的反序列化作用下得到了qaq类。这是因为当使用php引擎的时候,php引擎会以|作为作为key和value的分隔符,那么就会将a:1:{s:8:"username";s:15:"作为SESSION的key,将o:3:"qaq":0:{}作为value,进行反序列化,最后就会得到qaq这个类。这也就导致了反序列化漏洞。

可以看一下session_staer()的处理方式和session的工作原理

PHP: session_start - Manual

最低0.47元/天 解锁文章
session.upload_progress进行文件包含和反序列化学习
snowlyzz的博客
09-07 596
利用session.upload_progress进行文件包含
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 897
目录:1.session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1.session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
文件包含和反序列化渗透——session.upload_progress的利用 演示讲解
weixin_48083470的博客
08-06 675
利用session.upload_progress进行文件包含和反序列化渗透 session.upload_progress php中和这个功能相关的有四个配置 session.upload_progress.enabled = on //功能是否开启 session.upload_progress.cleanup = on //清空是否开启 session.upload_progress.prefix = “upload_progress_” // session.upload_progress
php-session文件包含和反序列化(对session.upload_progress的利用)
unexpectedthing的博客
02-11 1936
文章目录前言session的简介PHP中session的存储方式php.ini中的一些配置php中的session.upload_progress文件包含反序列化$_SESSION变量直接可控$_SESSION变量不可控参考链接 前言 本文是利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含和反序列化的总结。 也就是关于php-session的文件包含和反序列化 session的简介 session被称为“会话控制”,Session 对象存储特定用户会话所需的属性及配置信息。这样,当用
用PHP Session和Javascript实现文件上传进度条
huank_dmy的博客
07-13 627
用PHP Session和Javascript实现文件上传进度条Web应用中常需要提供文件上传的功能。典型的场景包括用户头像上传、相册图片上传等。当需要上传的文件比较大的时候,提供一个显示上传进度的进度条就很有必要了。在PHP 5.4以前,实现这样的进度条并不容易,主要有三种方法: 1、使用Flash, Java, ActiveX 2、使用PHP的APC扩展 3、使用HTML5的File AP
文件包含骚姿势——利用session.upload_progress进行文件包含
weixin_46330722的博客
12-25 2269
利用session.upload_progress进行文件包含
PHP基于session.upload_progress 实现文件上传进度显示功能详解
01-02
本文实例讲述了PHP基于session.upload_progress 实现文件上传进度显示功能。分享给大家供大家参考,具体如下: 介绍 session.upload_progress 是PHP5.4的新特征。 当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度。 这个信息对上传请求自身并没有什么帮助,但在文件上传时应用可以发送一个POST请求到终端(例如通过XHR)来检查这个状态。 当一个上传在处理中,同时POST一个与INI中设置的session.upload_progress.name同名变量时,上传进度可
深入浅出带你学习利用session.upload_progress进行文件包含/深入浅出带你学习利用session.upload_progress进行文件包含_新手渗透自学
程序员六七的博客
05-17 468
本文正在参加「金石计划 . 瓜分6万现金大奖」前言该思路是很久之前在CTF比赛中学习到的,可以简单理解为利用.来进行文件竞争从而达到上传文件进行文件包含或者命令执行的目的
php通过session实现upload_progress
prape's world!
01-07 1231
在php中,显示上传文件进度有swf,apc,纯javascript等集中方法,而现在比较推荐的是利用php的session(PHP>5.4)实现,这里,我简单的记录一下。 相关资料可以参考php.net/manual/en/session.upload-progress.php,还是相对比较简单的,可以参考www.111cn.net/phper/php-cy/54314.htm这里的讲解,但是
[强网杯 2019]Upload 反序列化结合文件上传
scrawman的博客
12-05 1421
[强网杯 2019]Upload www.tar.gz发现源码,文件还有点大,是把整个工程文件都上传了。 用phpstrom打开的话会有断点提示,一处是在Register.php,另一处是在Index.php,是在提示我们用cookie传序列化字符串。 重点在Profile.php,毕竟文件上传都是在这里控制的,看到两个魔术方法__call和__get。调用本类中没有的方法触发__call,调用this->{$name},如果本类中也没有这个属性,调用__get。 再倒回去看index.php中
利用session.upload_progress进行文件包含
qq_44657899的博客
10-26 4702
前言 又一种新的文件包含利用方法,记录一下复现过程。 学习自:LFI 绕过 Session 包含限制 Getshell 利用session.upload_progress进行文件包含和反序列化渗透 文章目录前言kali本地测试利用burp利用python脚本 kali本地测试 所有配置都为默认配置 大概原理:利用session.upload_progress上传一个临时文件,该文件里面有我们上传的恶意代码,然后包含它,从而执行里面的代码。因为该文件内容清空很快,所以需要不停的上传和包含,在清空之前包含该
session.upload_progress文件包含
Aiwin的博客
05-29 1037
session.upload_progress文件包含
利用session.upload_progress执行文件包含
m0_70638961的博客
08-27 1077
默认情况下,session.upload_progress是开启的,我们发送一下以下数据包,可见,我在上传文件的同时,POST了一个名为PHP_SESSION_UPLOAD_PROGRESS的字段,其值为。session.upload_progress最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化Session,PHP也会自动初始化Session。按理来说这个脚本是没什么问题的。
sessionsession.upload_progress再认识
Monica的博客
10-25 1391
结合: WEB82-session文件包含 WEB263-session反序列化 进一步了解sessionsession.upload_progress知识 1、cleanup 只会清除session文件内容,不会清楚session文件 2、当页面使用ini_set修改php.ini文件的内容时,phpinfo()里面的local value内容也会修改 我们在脚本使用了ini_set('session.serialize_handler', 'php'); 而php.ini中.
session.upload_progress.enabled开启的问题
weixin_30539835的博客
06-26 612
exp.php的内容,存在文件包含 <?php include($_GET['lfi']); $key = ini_get("session.upload_progress.prefix") . $_POST[ini_get("session.upload_progress.name")]; var_dump($_SESSION); var_dump($key...
SESSION_UPLOAD_PROGRESS 的利用
最新发布
ALe0721的博客
04-02 504
刚刚做了一道题里面用到了文件包含的SESSION_UPLOAD_PROGRESS 的利用是这道题捏。
PHP5.4新特性之上传进度支持Upload progress
weixin_33767813的博客
08-23 172
在PHP5.4版本当中给我们提供了好用的特性,上传进度的支持,我们可以配合Ajax动态获取SESSION当中的上传进度: 在使用这一特性之前,需要现在php.ini文件当中进行相应的设置:     1 2 3 4 5 6 session.upload_progress.enabled[ = On] :                 ...
文件上传与Phar反序列化的摩擦
Aiwin的博客
11-03 2683
文件上传与Phar反序列化的摩擦和例题
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值