PHP session反序列化漏洞深入探究

Editor · 发表于 2023-5-4 17:07:38

php三种序列化处理器
PHP session
php session 反序列化漏洞存在的原因：当序列化session和读取反序列化字符时采用的序列化选择器不一样时，处理的方法不一样。

php三种序列化处理器
序列化处理器
php (php默认中使用的序列化) 存储格式为：键名 + 竖线 + 经过serialize()函数反序列化处理的值
php_binary 存储格式：键名的长度对应的ASCII字符 + 键名 + 经过serialize()函数反序列化处理的值
php_serialize 在php版本>5.5.4中可以选择使用存储格式：经过serialize()函数反序列处理的数组

通过php.ini 可以设置保存路径配置 php session 参数是 session.save_path=“保存路径”
php 中配置session序列化处理器通过ini_set()方法进行选择：ini_set(‘session.serialize_handler’, ‘处理器’);
生成session php_serialize序列化处理器
demo2.php
访问该页面

2022111111345836.png

查看session 文件保存路径，生成了一个sess_一串随机字符的文件，打开文件查看，从get提交的值以序列化的格式存储到该文件。

2022111111345937.png

在读取session时使用不一样的序列化处理器，使用php_serialize 序列化处理会把符号 “|“作为一个正常的字符处理。而php序列化处理器会把”|” 当成分割符处理。
ctf.php
name);
}
}
构造成反序列化payload为：k=|O:4:“test”:1:{s:4:“name”;s:17:“system(‘dir’);”;}
访问demo2.php

2022111111350138.png

查看sess文件内容：| 分割符被传递了进去

2022111111350139.png

再访问ctf.php，触发了__wakeup函数从而执行了eval代码执行命令，由于使用不同的序列化处理器来处理session文件，序列化对特殊符号的处理方法不一样，从而导致产生了漏洞

2022111111350240.png

到此这篇关于PHP session反序列化漏洞深入探究的文章就介绍到这了,更多相关PHP session反序列化内容请搜索知鸟论坛以前的文章或继续浏览下面的相关文章希望大家以后多多支持知鸟论坛！

十二音阶囤 · 发表于 2023-6-28 19:22:56

楼主发贴辛苦了，谢谢楼主分享！我觉得知鸟论坛是注册对了！

音乐之家1 · 发表于 2023-6-28 19:25:48

其实我一直觉得楼主的品味不错！呵呵！知鸟论坛太棒了！

dxf17 · 发表于 2023-6-28 23:23:26

楼主太厉害了！楼主，I*老*虎*U！我觉得知鸟论坛真是个好地方！

小妖花满楼满fx · 发表于 2023-6-29 17:55:24

楼主，我太崇拜你了！我想我是一天也不能离开知鸟论坛。

普通人物怨 · 发表于 2023-6-29 22:49:07

楼主太厉害了！楼主，I*老*虎*U！我觉得知鸟论坛真是个好地方！

惜颜705 · 发表于 2023-6-30 02:47:57

楼主太厉害了！楼主，I*老*虎*U！我觉得知鸟论坛真是个好地方！

执着等待等wc · 发表于 2023-6-30 08:23:51

楼主发贴辛苦了，谢谢楼主分享！我觉得知鸟论坛是注册对了！

落败的青春阳落s · 发表于 2023-7-3 19:10:07

论坛不能没有像楼主这样的人才啊！我会一直支持知鸟论坛。

老橡树1 · 发表于 2023-7-4 14:21:42

我看不错噢谢谢楼主！知鸟论坛越来越好！

[PHP] PHP session反序列化漏洞深入探究