0
点赞
收藏
分享

微信扫一扫

DenseNet算法:口腔癌识别

南陵王梁枫 2024-10-05 阅读 1

考点6:session反序列化

<aside> 💡

session的一些基础知识

</aside>

Directive含义
session.save_handlersession保存形式。默认为files
session.save_pathsession保存路径。
session.serialize_handlersession序列化存储所用处理器。默认为p h p。
session.upload_progress.cleanup一旦读取了所有POST数据,立即清除进度信息。默认开启
session.upload_progress.enabled将上传文件的进度信息存在session中。默认开启
处理器名称存储格式
p h p键名 + 竖线 + 经过 serialize() 函数序列化处理的值
p h p_binary键名的⻓度对应的 ASCII 字符 + 键名 + 经过 serialize() 函数序列化处理的值
p h p_serialize经过serialize()函数序列化处理的数组
**php_serialize的数据 

a:1:{s:4:"name";s:3:"Ten";}

//上面的a指的是数组

php的数据

name|s:3:"Ten";

php_binary的数据

a:1:{s:4:"name";s:15:"chickenmushroom";}**

<aside> 💡

这有什么问题?

PHP中的Session的实现是没有的问题,危害由于程序员的Session使用不当而引起的。

如:使用不同引擎来处理session文件。

php引擎的存储格式是键名 | serialized_string,而php_serialize引擎的存储格式是serialized_string

如果程序使用两个引擎来分别处理的话就会出现问题。

</aside>

  1. 先以php_serialize的格式存储,从客户端接收参数并存入session变量,接收页面 1. p hp
<?php
ini_set("session.serialize_handler", "php_serialize");
session_start();
$_SESSION['name']=$_GET['a'];
var_dump($_SESSION);
?>
  1. 对输入值以及session变量就行处理,输出页面 2. p hp
<?php
ini_set("session.serialize_handler", "php");
session_start();
class student{
	var $name;
	var $age;
	function __wakeup(){
		echo "hello".$this->name."!";
	}
}
?>

攻击思路

1.首先访问1. p hp,在传入的参数前面加一个’|’ ,由于1. p hp使用的是p hp_serialize引擎,

因此会把’|’当作一个正常字符处理。

2.接着访问2. p hp,由于用的是p hp引擎,因此遇到’|’会当作分隔符(键名与键值之间的分隔符),

从而造成逃逸,直接对’|’后的值进行反序列化。

<aside> 💡

payload

</aside>

<?php
class student{
	var $name;
	var $age;
}
$o=new student();
$o->name="chickenmushroom";
$o->age="22";
$o='|'.serialize($o);
echo($o);
?>
|O:7:"student":2:{s:4:"name";s:15:"chickenmushroom";s:3:"age";s:2:"22";}

1.将payload传入1. p hp可以看到payload以及写入存储文件

2.访问2.p hp,可以看到我们希望的字符串已经成功触发student类的wake up方法,所以思路是可以行得通的。

<aside> 💡

扩展知识

</aside>

没有$_SESSION变量赋值

PHP中还存在一个upload_process机制,即自动在$_SESSION中创建一个键值对,值中刚好存在用户可控的部分,可以看下官方描述的,这个功能在文件上传的过程中利用session实时返回上传的进度。PHP: Session 上传进度 - Manual

这种攻击方法与上一部分基本相同,不过这里需要先上传文件,同时POST一个与session.upload_process.name的同名变量。后端会自动将POST的这个同名变量作为键进行序列化然后存储到session文件中。下次请求就会反序列化session文件,从中取出这个键。所以攻击点还是跟上一部分一模一样,程序还是使用了不同的session处理引擎。

这里不展开试验了。详情参考https://www.jianshu.com/p/fba614737c3d

举报

相关推荐

0 条评论