安恒429|web 3 session反序列化
之所以单独的把他拿出来呢,是因为之前接触到的反序列化的洞和题目已经挺多了的,包括p总出的三个白帽啊,某ctf的一些题目都涉及到这个方面的东西。
但是呢,在这道题目里找到了一些新的东西,值得自己思考一下
参考了资料 http://drops.wooyun.org/tips/3909
和p总的提示:
session的序列化是指,存储到session文件中的是经过序列化的字符串,而我们能访问到的$_SESSION是已经被解析的变量
首先我们要了解,php在session存储和读取数据时,都会有一个序列化和反序列化的过程。
而反序列化中会调用对象的magic方法,比如__destruct(),__wakeup()等,都是很常见的东西,不予赘述了。
那么这里有一个配置选项 session.serialize_handler
可以用ini_set或者在php.ini中加以设置
有下面几种用于处理序列化的处理器类型
处理器 对应的存储格式
php 键名 + 竖线 + 经过 serialize() 函数反序列处理的值
php_binary 键名的长度对应的 ASCII 字符 + 键名 + 经过 serialize() 函数反序列处理的值
php_serialize
(php>=5.5.4) 经过 serialize() 函数反序列处理的数组
对于php处理器,如果我们先用php_serialize加以序列化,那么对于这样的一个字符串
a:1:{s:4:"test";s:20:"|O:8:"stdClass":0:{}";}
最后会被解释为:键名为 a:1:{s:4:"test";s:20:" 的一个对象
而php处理器序列化,则是把$_SESSION的每个键值都 单独 拿出来,比如$_SESSION['test']
就是test|序列化的值
而php_serialize则会直接将整个session数组序列化。最后存储的是一整个数组的序列化数值
那么这样就好理解了,如果在处理器session.serialize_handler=php_serialize的情况下
我们构造带有竖线的字符串,在其他处理器为php的地方,就可以反序列化出伪造的对象。
而我们这里明显是需要去操作session的,文章中为了测试使用的是
$_SESSION['ryat'] = $_GET['ryat'];
然而很多时候没有这个条件的,怎么办呢
http://php.net/manual/zh/session.upload-progress.php
php为了提供一个上传进度的数据
$n=ini_get("session.upload_progress.name");
会把它存储在$_SESSION["$n"] 当中。
这样我们构造一个文件上传页,就可以成功写入session了