PHP session反序列化漏洞

最新推荐文章于 2024-03-31 12:24:40 发布
最新推荐文章于 2024-03-31 12:24:40 发布
阅读量5.4k 收藏 24
点赞数 3
分类专栏: web安全 文章标签: php web安全 session反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664643/article/details/123478019
版权

PHP session反序列化漏洞

PHP session反序列化漏洞,就是当【序列化存储Session数据】与【反序列化读取Session数据】的方式不同导致session反序列化漏洞的产生

什么是session

官方Session定义:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。主要有以下特点:

  • session保存的位置是在服务器端
  • session通常是要配合cookie使用

因为HTTP的无状态性,服务端产生了session来标识当前的用户状态

本质上,session就是一种可以维持服务器端的数据存储技术。即**session技术就是一种基于后端有别于数据库的临时存储数据的技术**

PHP session工作流程

以PHP为例,理解session的原理

  1. PHP脚本使用 session_start()时开启session会话,会自动检测PHPSESSID
    • 如果Cookie中存在,获取PHPSESSID
    • 如果Cookie中不存在,创建一个PHPSESSID,并通过响应头以Cookie形式保存到浏览器
  2. 初始化超全局变量$_SESSION为一个空数组
  3. PHP通过PHPSESSID去指定位置(PHPSESSID文件存储位置)匹配对应的文件
    • 存在该文件:读取文件内容(通过反序列化方式),将数据存储到$_SESSION
    • 不存在该文件: session_start()创建一个PHPSESSID命名文件
  4. 程序执行结束,将$_SESSION中保存的所有数据序列化存储到PHPSESSID对应的文件中

具体原理图:

php.ini session配置

php.ini里面有较重要的session配置项

session.save_path="/tmp"      --设置session文件的存储位置
session.save_handler=files    --设定用户自定义存储函数,如果想使用PHP内置session存储机制之外的可以使用这个函数
session.auto_start= 0          --指定会话模块是否在请求开始时启动一个会话,默认值为 0,不启动
session.serialize_handler= php --定义用来序列化/反序列化的处理器名字,默认使用php  
session.upload_progress.enabled= On --启用上传进度跟踪,并填充$ _SESSION变量,默认启用
session.upload_progress.cleanup= oN --读取所有POST数据(即完成上传)后立即清理进度信息,默认启用

PHP session序列化机制

根据php.ini中的配置项,我们研究将$_SESSION中保存的所有数据序列化存储到PHPSESSID对应的文件中,使用的三种不同的处理格式,即session.serialize_handler定义的三种引擎:

处理器 对应的存储格式
php 键名 + 竖线 + 经过 serialize() 函数反序列处理的值
php_binary 键名的长度对应的 ASCII 字符 + 键名 + 经过 serialize() 函数反序列处理的值
php_serialize (php>=5.5.4) 经过 serialize() 函数反序列处理的数组

php处理器

首先来看看默认session.serialize_handler = php时候的序列化结果,代码如下

<?php
//ini_set('session.serialize_handler','php');
session_start();
$_SESSION['name'] = $_GET['name'];
echo $_SESSION['name'];
?>

为了方便查看,将session存储目录设置为session.save_path = "/www/php_session"PHPSESSID文件如下

1、文件名

文件名为sess_mpnnbont606f50eb178na451od,其中mpnnbont606f50eb178na451od就是后续请求头中Cookie携带的PHPSESSID的值 (如上图浏览器中已存储)

2、文件内容

php处理器存储格式

键名 竖线 经过 serialize() 函数反序列处理的值
$_SESSION[‘name’]的键名:name | s:6:“harden”;

php_binary处理器

使用php_binary处理器,即session.serialize_handler = php_binary

<?php
ini_set('session.serialize_handler','php_binary');
session_start();
# 为了方便ACSII显示,将键名设置为36个字符长度
$_SESSION['namenamenamenamenamenamenamenamename'] = $_GET['name'];
echo $_SESSION['namenamenamenamenamenamenamenamename'];
?>

由于三种方式PHPSESSID文件名都是一样的,这里只需要查看文件内容

键名的长度对应的 ASCII 字符 键名 经过 serialize() 函数反序列处理的值.
$ namenamenamenamenamenamenamenamename s:6:“harden”;

php_serialize 处理器

使用php_binary处理器,即session.serialize_handler = php_serialize

<?php
ini_set('session.serialize_handler','php_serialize');
session_start();
$_SESSION['name'] = $_GET['name'];
echo $_SESSION['name'];
?>

文件内容即经过 serialize() 函数反序列处理的数组,a:1:{s:4:"name";s:6:"harden";}

session的反序列化漏洞利用

session的反序列化漏洞,就是利用php处理器和php_serialize处理器的存储格式差异而产生,通过具体的代码我们来看下漏洞出现的原因

漏洞成因

首先创建session.php,使用php_serialize处理器来存储session数据

<?php
ini_set('session.serialize_handler','php_serialize');
session_start();
$_SESSION['session'] = $_GET['session'];
echo $_SESSION['session'];
?>

test.php,使用默认php处理器来存储session数据

<?php
session_start();
class f4ke{
   
    public $name;
    function __wakeup(){
   
      echo "Who are you?";
    }
    function __destruct(){
   
      eval($this->name);
    }
}
$str = new f4ke();
?>

接着,我们构建URL进行访问session.php

http://www.session-serialize.com/session.php?session=|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}

打开PHPSESSID文件可看到序列化存储的内容

a:1:{s:7:"session";s:45:"|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}

漏洞分析:

session.php程序执行,我们将|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}通过php_serialize处理器序列化保存成PHPSESSID文件;

由于浏览器中保存的PHPSESSID文件名不变,当我们访问test.phpsession_start();找到PHPSESSID文件并使用php处理器反序列化文件内容,识别格式即

键名 竖线 经过 serialize() 函数反序列处理的值
a:1:{s:7:“session”;s:45:" | O:4:“f4ke”:1:{s:4:“name”;s:10:“phpinfo();”;}

php处理器会以|作为分隔符,将O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}反序列化,就会触发__wakeup()方法,最后对象销毁执行__destruct()方法中的eval()函数,相当于执行如下:

$_SESSION['session'] = new f4ke();
$_SESSION['session']->name = 'phpinfo();';

我们访问test.php,即可直接执行phpinfo()函数

CTF例题:PHPINFO

题目地址:http://web.jarvisoj.com:32784/index.php

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
   
    public $mdzz;
    function __construct()
    {
   
        $this->mdzz = 'phpinfo();';
    }
    
    function __destruct()
    {
   
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
   
    $m
最低0.47元/天 解锁文章
F4ke12138
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php Session反序列化漏洞
lonmar的博客
10-27 546
PHP Session 序列化及反序列化处理器 PHP 内置了多种处理器用于存取 $_SESSION 数据时会对数据进行序列化和反序列化,常用的有以下三种,对应三种不同的处理格式: 有关session的配置 session.save_path="" --设置session的存储路径 session.save_handler=""--设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen--指定会话模块是否在请求开始时
PHP反序列化漏洞
Mi1k7ea
12-08 1099
序列化与反序列化 通常我们定义了一个类的对象,其中保存了一些属性值,为了方便下次可以继续使用在这个对象或者在其他的文件中可以使用该对象,于是就可以调用serialize()函数将该对象序列化为字符串的形式,将该字符串保存起来,等到需要使用该对象时只需将该字符串传过去并调用unserialize()函数对其反序列化即可。 serialize():将一个对象转成字符串形式,方便保存以便于下次再次反...
PHPsession反序列化漏洞
BerL1n
01-27 646
111
php反序列化漏洞——session反序列化漏洞
最新发布
m0_73756016的博客
03-31 1336
session在网络应用中称为“会话控制”,是服务器为了保存用户状态而创建的一个特殊的对象。简而言之,session就是一个对象,用于存储信息。
php session漏洞,PHP session反序列化漏洞
weixin_29596423的博客
03-17 254
本文实现以下题目:http://web.jarvisoj.com:32784/解题思路:1.session.upload_progress.enabled=On当解题过程如下:1.打开地址,获取如下源代码//Awebshelliswaitforyouini_set('session.serialize_handler','php');session_start();classOowoO...
php 命令执行中 PHPSESSID 妙用
y0un9er
10-02 8115
之前刷CTF的时候,遇到一个命令执行的题,看大佬的WP是通过PHPSESSID传值,绕过waf,最近有时间复现了一下。
Session会话注销漏洞
good good study
07-15 6619
漏洞描述 Session 是应用系统对浏览器客户端身份认证的属性标识,在用户注销或退出应用系统时,系统应将客户端Session认证属性标识清空。危害:如果未能清空Session认证会话,该认证会话将持续有效,此时攻击者获得该Session认证会话会导致用户权限被盗取。 漏洞检测 该项测试主要在用户注销退出系统授权后,判断授权认证SessionID值是否依然有 效。若授权认证SessionID依然有效则存在风险。 如下,账号登陆系统后再退出账号,此时cookie还有效,通过重放该数据包,还能访问到
PHPcookie以及session基本操作
hello_wodle的博客
12-18 105
cookie: HTML代码: PHP代码: 执行结果: session HTML代码: PHP代码: 执行结果:
深入浅析PHPsession反序列化漏洞问题
10-19
主要介绍了PHPsession反序列化漏洞问题,需要的朋友可以参考下
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
cookies共享 sso_结合实践谈谈cookie和session——cookie跨域session共享
weixin_42244017的博客
01-17 264
想必做过http开发的小伙伴们都知道cookie和session,cookie是存储在客户端的,session是存储在服务器的。关于cookie和session的理论和区别网上有很多相关的说明,这里就不再多说了。本篇主要通过一些实践中的案例和大家分享一下踩到坑,重点说明了cookie跨域问题和session服务器共享问题,以php语言为使用语言进行说明。先聊聊cookie设置cookie无效set...
php session登录验证,cookie和session实现用户登录与验证
weixin_36070282的博客
03-10 828
流程:1、公共代码分离(html头部和尾部)2、登陆表单代码使用login_page.php,分离3、使用login.php文件来判断用户登陆,并加载数据库,公共函数库4、最后写入登陆成功和退出页面index.php文件:实例//导入公共头部文件include'inc/header.php';//在公共头部判断是否有$title_page值,有就为自定义的值$title_page='我是...
php小程序session取不到,微信小程序实现Session功能及无法获取session问题的解决方法...
weixin_29039773的博客
03-10 518
因为小程序原生不支持Cookie,因此也不支持Session。网上找到的的一些方法有缺陷,而且很多累赘,估计没有实际测试过,在此直接给出实测可用的代码。大概思路就是借助小程序本地储存+网络请求的header可读可写来实现类似浏览器的cookies保存session功能。直接上代码function NetRequest({url, data, success, fail, complete, met...
安全课堂|关于小程序session_key泄露漏洞官方
mingyqf的博客
09-24 2038
为了保证数据安全,微信会对用户数据进行加密传输处理,所以小程序在获取微信侧提供的用户数据(如手机号)时,就需要进行相应的解密,这就会涉及到session_key,具体流程可参考。
php session反序列化漏洞详解
qq_39511050的博客
10-25 849
php session反序列化漏洞详解
Session 反序列化漏洞
Welcome To Myon'Blog !
07-03 484
Session 反序列化 当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用引擎之间的差异产生序列化注入漏洞session反序列化漏洞就是利用php处理器和php_serialize处理器的存储格式差异。 总的来说就是,我们先判断它是否存在这样一个漏洞,一般看到有这些比较具有特征性PHP代码我们就该想到这个方向,存在session反序列化漏洞的话,我们先进行序列化,然后在结果前添加 | (管道符),在传参页面进行上传,再去刷新读取页面即可。
session反序列化漏洞
07-28
回答: Session反序列化漏洞是一种利用PHP处理器和PHP序列化处理器之间的差异来注入恶意代码的漏洞。当序列化存储Session数据与反序列化读取Session数据的方式不同时,就可以利用这种差异来进行攻击。具体来说,通过构造特定的序列化数据,可以在反序列化时执行恶意代码。例如,在PHP序列化器中,使用竖线(|)分隔键和值,而在PHP序列化器中,竖线后的部分会被忽略。攻击者可以构造恶意的序列化数据,使得在反序列化时执行恶意代码。这种漏洞可以被利用来进行PHP实体注入攻击。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [Session 反序列化漏洞](https://blog.csdn.net/Myon5/article/details/131521846)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [PHP session反序列化漏洞总结](https://blog.csdn.net/mysteryflower/article/details/94402887)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值