PHP SESSION反序列化本地样例分析

0X00漏洞原因

主要原因是: ini_set(‘session.serialize_handler’, ‘php_serialize’);

ini_set(‘session.serialize_handler’, ‘php’);

两者处理session的方式不同。

0X01漏洞分析

如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确第反序列化。通过精心构造的数据包,就可以绕过程序的验证或者是执行一些系统的方法

0X02漏洞环境

Windows10

Phpstudy一件集成环境

0X03漏洞复现

首先现在本地phpstudy网站根目录新建俩个测试用例1.php和2.php

内容分别为

1.php:

ini_set('session.serialize_handler', 'php');

session_start();classtest {var$hi;

function __construct(){

$this->hi = 'phpinfo();';

}

function __destruct() {

eval($this->hi);

}

}?>

2.php:

漏洞利用

首先构造反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}

可以看到2.php中接收的参数为a

提交2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},

也就是访问127.0.0.1\2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},

访问后结果如下:

然后再访问http://127.0.0.1/test1.php,成功执行phpinfo()

0X04漏洞分析

提交2.php?a=|O:4:“test”:1:{s:2:“hi”;s:10:“phpinfo();”;},

传入的数据会按照php_serialize来进行序列化:a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}

此时访问1.php,应用程序会按照php来反序列化SESSION中的数据,此时就会反序列化伪造的数据,php引擎会以|作为作为key和value的分隔符,那么就会将a:1:{s:4:"test";s:43:"作为SESSION的key,将O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作为value,然后进行反序列化,最后就会就会实例化test对象,最后就会执行析构函数中的eval()方法。

php session 反序列化,PHP SESSION反序列化本地样例分析相关推荐

  1. Leetcode怎么调试java代码,IDEA2020.1使用LeetCode插件运行并调试本地样例的方法详解...

    环境: idea2020.1 插件: LeetCode-editor 6.7 一.IDEA安装LeetCode插件 安装完成重启idea 打开插件 URL可以选择国服和世界服.LoginName和Pa ...

  2. 关于谷歌浏览器主页被篡改无法修正的样例分析与解决方案

    关于谷歌浏览器主页被篡改无法修正的样例分析与解决方案 首先写在前面,浏览器被修改主页的情况很多,此次分析的仅为一个样例且给出解决的方法.本文主要提供自身经历和解决的思路,因为水平有限,无法给出专业化的 ...

  3. 斗地主AI算法——第十六章の样例分析

    上一章,我们已经完成了测试模块的开发.至此我们已经可以进行整体测试了.本章主要内容就是对随机生成的对局情况进行简单的分析. 实际上整个开发过程绝大部分时间都是用在样例分析上,通过样例给出的返回操作分析 ...

  4. [LoadRunner]LR性能测试结果样例分析

    LR性能测试结果样例分析 测试结果分析 LoadRunner性能测试结果分析是个复杂的过程,通常可以从结果摘要.并发数.平均事务响应时间.每秒点击数.业务成功率.系统资源.网页细分图.Web服务器资源 ...

  5. V4L2-PCI驱动程序样例分析(一)

    V4L2-PCI驱动程序样例分析 文章目录 V4L2-PCI驱动程序样例分析 一.简介 二.驱动头文件和基础数据机构定义 三.PCI驱动框架骨架 四..probe详解 1.定义probe过程所需要的结 ...

  6. RPM安装包-Spec文件參数具体解释与演示样例分析

    spec文件是整个RPM包建立过程的中心,它的作用就如同编译程序时的Makefile文件. 1.Spec文件參数 spec文件包括建立一个RPM包必需的信息,包括哪些文件是包的一部分以及它们安装在哪个 ...

  7. Netty 简单样例分析(io传输的框架)

    http://linugb118.blog.51cto.com/272628/420738 messageReceived(ChannelHandlerContext ctx, MessageEven ...

  8. 【原创】一个简单的StreamInsight样例分析:MarketMonitor

    MarketMonitor是2009年微软专业开发者大会上StreamInsight小组资深程序经理Torsten Grabs演讲中的第一个StreamInsight Demo.这个Demo演示了如何 ...

  9. Netty简单样例分析[转]

    转自:http://linugb118.blog.51cto.com/272628/420738 Netty 是JBoss旗下的io传输的框架,他利用java里面的nio来实现高效,稳定的io传输. ...

最新文章

  1. 当RxJava遇到AOP
  2. QWidget子窗口中setStyleSheet无效,解决方法
  3. 转:Java学习路线图,专为新手定制的Java学习计划建议
  4. 以新ICT构建全联接的电力物联网,迈入能源智能时代
  5. web服务器获取项目路径问题,读取web项目properties文件路径 解决tomcat服务器找不到properties路径问题...
  6. 如何注册鸿蒙id,鸿蒙系统真机调试证书 和 设备ID获取
  7. JAVA如何隐藏异常堆栈_java – 如何在控制台上停止打印异常堆栈跟踪?
  8. 信息学奥赛一本通(1324:【例6.6】整数区间)
  9. oracle心间directory并附权,【Oracle】第一章创建授权
  10. mysql相交_PHP-Mysql相交结果
  11. 详解 MySQL 基准测试和 sysbench 工具
  12. 用java怎么做微信公众号,用Java搭建微信公众号(一)构建基础请求框架
  13. python中变量名有哪些
  14. java一天一只顽猴想去从山脚_异乡苦境救顽猴
  15. 黑白双煞拆装箱 -- 八大基本类型及其封装类
  16. CommonUtils 工具类
  17. 内核通知链(网络子系统为例)
  18. 【网络篇】第十七篇——IP协议详解
  19. 没有发布服务器的 rpc 安全信息,或该信息无效,SQLServer之创建分布式事务
  20. Shell脚本中点号+文件名的作用

热门文章

  1. dbms_DBMS | 并发控制
  2. 2021年终总结:30多岁依然没有放弃自我成长!
  3. 近100个Spring/SpringBoot常用注解汇总!
  4. nodejs与javascript中的aes加密
  5. python 控制手机摄像头_python+open cv调用手机摄像头,保存文件
  6. 非线性最优化(二)——高斯牛顿法和Levengerg-Marquardt迭代
  7. python传中文参数_解决Python传递中文参数的问题
  8. java smp_什么是SMP系统
  9. java @valid 密码不一致_一个成熟的Java项目如何优雅地处理异常
  10. 佳能g3800故障灯说明书_佳能打印机故障如何维修 佳能打印机故障维修方法【介绍】...