------已搬运-------PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO

最新推荐文章于 2022-11-28 18:35:37 发布
原创 最新推荐文章于 2022-11-28 18:35:37 发布 · 445 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #session #安全

本文详细讲述了如何通过PHP的upload_process机制在反序列化过程中利用文件上传实现代码执行漏洞,涉及phpinfo分析、session引擎转换和payload构造。

伙伴们有什么疑问, 或者我写的有什么纰漏可以和我说呀,评论或者私信都是可以的。相互交流。学的更快!!!

PHP反序列化之SEESSION反序列化:切入学习点:jarvisoj的phpinfo

第一次写博客,,慌得很,先看源码压压惊吧 ( ̄_ ̄|||)
在这里插入图片描述

分析一波:

是一道反序列化的题,然后从ini_set能够看出来是包含session的类型,但是又不同于最最基础的那种session反序列化的题目。(这个先这样,,等我做做那种题目之后再来修改一下。。。)
这个题没有接收SESSION变量,那么就属于这个类型

没有$_SESSION变量赋值的题题

在PHP中有一个upload_process机制,会自动在$_SESSION中创建一个键值对,这个值刚好是我们用户可以控制的那部分,可以看下官方的描述
在这里插入图片描述讲真的,我没看明白。但是我找到了他的名字,学工程的嘛,会用就行(找台阶)

在这里插入图片描述当我们POST一个同名变量的时候,就能够添加一个我们可以控制键值的键值对了,嗯。
这就需要我们上传一个文件,同时POST一个与session.upload_process.name同名的变量,然后后端会自动将POST的这个变量进行序列化后,存储到session文件中。下次请求时就会反序列化这个session文件取出这个建,如果这个时候我们放入和取出这个session文件时用的session处理引擎不一样的话,就会出现任意代码执行的漏洞。

开始入手:

随便get一个phpinfo参数,先看看phpinfo有什么信息。
在这里插入图片描述可以看到默认的session引擎时php_serialize但是题目使用的引擎时php。也就是我们放入的时候是用的php方法,取出来的时候用的php_serialize方法。
左边是局部变量,右边是全局变量

啰嗦的够多了,开始操作:

1.上传一个网页,POST那个同名的参数

在这里插入图片描述

2.burp操作改包

上传burp抓包,修改filename。。。这里这里,为什么是修改filename我也不清楚哎,,,等回头再看看

在这里插入图片描述
发包,就看到了。这里有几点要注意的地方:
1.语句后面的分号不要忘写了
2.burp中把反序列化里面的双引号转义一下,避免产生歧义

在这里插入图片描述找到文件后,再找到目录就可以看到flag了。找目录的方法也有二:

一:用语句查询的方法来找

这里可以参考一下我测试的样例,理解一下各个函数的作用是什么
在这里插入图片描述
这里!!我找到为什么要修改filename了。。
在这里插入图片描述。。。就是把filename赋值到session中,其实说起来也挺无语的,没有个说服力。。

而后,就这样,看图嘛🐎
对,就是这样,,,U•ェ•*U用file_get_contents函数将文件内容写入一个字符串中,然后打印出来

二看phpinfo的信息了

phpinfo里面的全局变量的信息多的惊人
上面那个是当前执行的脚本文件的目录。然后就也是刚刚那个操作,就出来了。
好啦,,妈呀,终于写✍(糊弄)完了
链接:: S E R V E R [ ′ S C R I P T N A M E ′ ] 、 _SERVER['SCRIPT_NAME']、 SERVER[SCRIPTNAME]_SERVER[‘SCRIPT_FILENAME’]及__FILE__不同.

参考:https://www.cnblogs.com/zzjdbk/p/12995217.html

Zero_Adam
关注
2021-7-21 Jarvis OJ-PHPINFO 知识session反序列化 PHP
m0_51326092的博客
07-21 520
文章目录前言题目和参考链接:重要知识:解题过程总结 前言 本次做题历程可以说十分有趣,先是在BUU上自己做着easy_serialize_php,看完源代码以为是跟session有关的反序列化(后面自己查了wp发现不是×-×),所以自己就去百度关于session反序列化的知识,看着看着就去做到了这到例题☺可谓是一波三折啊 提示:以下是本篇文章正文内容,本文借鉴了多位大佬的wp,仅供参考 题目和参考链接: 题目:http://web.jarvisoj.com:32784/ 相关知识大佬讲解链接:
PHPINFO(jarvisoj)
Mikasa
04-19 936
今天做题的时候做了这一道。。刷新了对反序列化的认识。。 这道题考察了关于session序列化选择器的漏洞。。 参考文章:https://www.jb51.net/article/107101.htm 首先先介绍一下,关于session反序列化的三种机制: 首先在php.ini中关于session的设置: session.save_path="" #设置session的储存路径 sess...
PHP反序列化漏洞
11-15 266
【序列化简单利用】    serialize()序列化:使用函数serialize()可将实例序列化为字符串  unserialize()反序列化:使用函数unserialize()可将序列化的字符串还原 代码示例: <?php class Example { var $var = ''; function __destruct() { ...
phpsession反序列化
qq_63928796的博客
11-28 476
把修改的后的payload放入sessionphp储存session的方式来反序列化脚本,执行eval。中的值生成一个新的session然后改成第一种的格式,传入题目就可以执行eval函数了。,所以我们要进行反序列化,但没有serialize函数,只有。是上面提到的第种,但题目是第一种,我们只需要改稍微改一下。就是我们上面说的php储存session的第一种。刷新之后就可以从题目中看到执行ls了。所以我们可以通过修改。有一个类,我们最终要利用。看一下session
php反序列化总结(一)
qq_43801002的博客
05-16 1302
一、魔术方法 1、列举 __wakeup() //使用unserialize时触发 __sleep()//使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic()//在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据 __set() //用于将数据写入不可访问的属性 __isset()//在不可访问的属性上调用isset()或empty()触发 __unset
tomcat-redis-session.tar.gz
08-08
Tomcat7,jdk1.7基于redis的session共享 包括一下内容: tomcat-redis-session-manager-VERSION.jar jedis-2.5.2.jar commons-pool2-2.2.jar 使用地址:https://mp.youkuaiyun.com/postedit/98846884
-------搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 913
目录:1. 在session反序列化PHP解析器的考中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化PHP解析器的考中使用。 PHP反序列化SEESSION反序列化):切入学习jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
JavaWeb-07-WEB的监听器和cookie以及session以及Filter过滤器
苍煜
06-15 815
Table of Contents 监听器和cookie以及session 五:监听器 1 、什么是 Listener 监听器 2 、ServletContextListener 监听器 2.1:ServletContextListener 监听器,一定要在 web.xml 文件中配置之后才会生效 2.2:生命周期监听器两个方法: 六:Cookie 1:Cookie 1.1:什么是 Cookie? 1.2:如何创建 Cookie 1.3:服务器如何获取 Cookie 1.4:C.
Django()-----对美多商城项目的总结
qq_43475097的博客
11-07 8734
码云:https://gitee.com/ming_cpp/meiduo18 美多商城商业模式: C2B模式(消费者到企业的商业模式),相类似网站包括:京东,淘宝,海尔商城,尚品宅配等。 商城需求分析* 1,用户部分 2,商品部分 3,购物车部分 4,商品订单备份 5,用户支付部分 6,上线程序的配置 用户部分模块: 基本功能:用户注册,登录,密码的重置,第三方登录 用户注册 1,图片验证码 流程...
小程序笔记 -- 登陆与session_token
lljxk2008的博客
09-03 3280
在小程序确定一个事实: 小程序没有web那种用户与服务器的Session机制 但我们可创建一个'标识'来实现登陆态维护, 这个标识就相当于web中的Session, 用于标识用户 这个标识我命名为: session_token (见下文的第4. 生成一个会话标识) 在微信小程序中,我们可能涉及到以下三类登录方式: 自有的账号注册和登录 使用其他第三方平台账号登录 使用微信账号登录(即...
php反序列化[不定期更新]
m0_54850467的博客
03-15 256
基础 概述 序列化:把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等 函数 : serialize() 反序列化:恢复原先被序列化的变量 函数: unserialize() serialize()函数用于序列化对象或数组,并返回一个字符串 据访问修饰符不同,序列化后的属性长度和属性值会有不同 protected属性被序列化的时候属性值会变成%00*%00属性名 private属性被序列化的时候属性值会变成%00类名%00属性名 eg. [外链图片转存失败,源站可能有防盗链机
PHP序列化中serialize与unserialize函数
Tacks的博客
03-26 2321
php中,序列化用与存储或传递php的值的过程,同时不丢失其结构和数据类型。函数包括serialize()、unserialize();魔术方法包括__sleep() wakeup();预定义接口Serializable; 目录 【1】serialize()与unserialize() 【2】各种变量的序列化结果 【3】序列化对象 【4】序列化对象中的__sleep()魔术方法 ...
php serialize用处,浅谈php函数serialize()与unserialize()的使用方法
weixin_33649132的博客
04-01 673
php中serialize()与unserialize()函数是一对函数,下面本文章就来为各位同学介绍serialize()与unserialize()函数的使用例子,希望能帮助到各位。php函数serialize():这个函数作用就是序列化数据,返回一个可存储的字符串,该函数有利于存储或传递PHP的值,同时不丢失其类型和结构。所以我们在cms数据库里面经常看到这样的结构。一般,我们将复杂或者数...
php serialize(),PHP中serialize的详细介绍
weixin_39621456的博客
03-31 437
serializeserialize() 返回字符串,此字符串包含了表示value 的字节流,可以存储于任何地方。这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。想要将已序列化的字符串变回 PHP 的值,可使用unserialize() 。serialize()可处理除了resource之外的任何类型。甚至可以serialize()那些包含了指向其自身引用的数组。你正serialize...
jQuery 表单数据序列化为json格式
热门推荐
11-01 1万+
jQuery是在web应用中使用的脚本语言之一,因其具有轻量级,易学易用等特,已广泛应用,其中的ajax封装简化了我们的应用,对其表单数据序列化用如下方法: 1.serialize()方法   格式:var data = $("form").serialize();   功能:将表单内容序列化成一个字符串。   这样在ajax提交表单数据时,就不用一一列举出每一个参数。只
Jarvis OJ PHPINFO【审计代码反序列化
Sp4rkW的博客
11-02 4297
原题地址:http://web.jarvisoj.com:32784/ 其实这题一开始是没有任何思路的,感觉不存在任何数据传输接收,后来看到了一篇wp,这里 感觉瞬间打开了新世界,,,这里写篇write up记录下做题过程 首先打开题目页面直接获得源码: &lt;?php //A webshell is wait for you ini_set('session.s...
原理+实践学习(PHP反序列化Session反序列化)
Lemon's blog
05-04 3298
前言:PHP反序列化也是web安全中常见的一种漏洞,这次就先来大致了解一下PHP反序列化漏洞。 一、PHP序列化和反序列化学习PHP反序列化漏洞时,先来了解一下基础的知识。 ()PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的...
php函数serialize()与unserialize()
larance的挨踢生活
08-31 959
本文转自:http://zxianf.blog.163.com/blog/static/30120701201072443623381/ php函数serialize()与unserialize()说明及案例。想要将已序列化的字符串变回 PHP 的值,可使用unserial
php面向对象】把对象串行化serialize()方法
PHP在线开发笔记
11-24 1132
有时候需要把一个对象在网络上传输,为了方便传输,可以把整个对象转化为进制串,等到达另一端时,再还原为原来的对象,这个过程称之为串行化(也叫序列化), 就像我们现在想把一辆汽车通过轮船运到美国去,因为汽车的体积比较大,我们可以把汽车拆开成小的部件,然后我们把这些部件通过轮般运到美国去,到了美国再把这些部件组装回汽车。 有两种情况我们必须把对象串行化,第一种情况就是把一个对象在网络中传输的时候
tmux的seession会话总是死掉
最新发布
07-26
<think>嗯,用户的问题是关于tmux会话经常意外终止的解决方法。我需要结合用户提供的引用信息和系统级指令来构建一个清晰的解决方案。 用户提供了四个引用信息:引用[1]介绍了tmux会话管理的基本操作;引用[2]说明了分离会话的操作;引用[3]详细列出了会话和窗口的操作命令;引用[4]则提到了通过crontab创建tmux会话时可能遇到的问题。这些引用都很有价值,特别是引用[4]中提到的环境变量问题,可能是会话终止的关键原因。 用户的核心诉求是解决tmux会话意外终止的问题。根据引用信息,我判断可能的原因包括:环境变量配置不当、资源限制、客户端连接问题、脚本执行错误等。特别是引用[4]中提到.bash_profile源路径问题,这提示环境变量设置可能是个常见诱因。 在构建解决方案时,我会从环境变量排查开始,这是最可能的原因。然后考虑资源限制问题,比如内存不足会导致进程被kill。接着是客户端相关问题的排查,比如不活跃会话被清理。最后是脚本和定时任务的检查,因为引用[4]显示crontab执行时容易出问题。 对于每个解决方案,我都会给出具体操作命令,比如检查环境变量的echo $PATH,检查日志的dmesg -T|grep -i kill等。特别是要强调在crontab中设置环境变量的重要性,这是引用[4]给出的关键线索。 最后我会生成几个相关问题,帮助用户深入理解tmux会话管理,比如如何防止会话超时、如何配置自动重连等。这些问题都围绕tmux的稳定性展开,与用户当前问题密切相关。 整个回答要确保技术细节准确,同时用中文清晰表达,所有数学表达式和变量都用$...$格式,比如$HOME/.bashrc这样的路径表示。</think>根据引用信息和常见问题排查,tmux会话意外终止的可能原因及解决方案如下: --- ### 一、环境变量问题(最常见原因) 1. **检查环境加载** 在`~/.tmux.conf`中显式加载环境变量: ```bash set-option -g default-shell /bin/bash # 指定Shell set-option -g default-command "exec /bin/bash --login" # 加载登录环境 ``` 2. **在创建会话时指定环境** ```bash tmux new-session -s mysession -c $HOME "source ~/.bashrc; your_command" ``` --- ### 、资源限制导致终止 1. **检查系统日志** ```bash dmesg -T | grep -i "oom\|kill" # 查看内存溢出记录 journalctl -b -p err # 检查系统级错误日志 ``` 2. **调整资源限制** 在`~/.bashrc`中添加: ```bash ulimit -c unlimited # 开启coredump ulimit -s 8192 # 增加栈大小 ``` --- ### 三、客户端/网络问题 1. **防止会话超时** 在`~/.tmux.conf`中配置: ```bash set -g focus-events on # 启用焦事件检测 set -g status-interval 60 # 状态栏刷新间隔(秒) set -g remain-on-exit on # 窗口退出后保留(需tmux 3.2+) ``` 2. **自动重连机制** 使用脚本监控会话: ```bash #!/bin/bash while true; do tmux has-session -t mysession 2>/dev/null || tmux new-session -d -s mysession "your_command" sleep 60 done ``` --- ### 四、脚本/定时任务问题 1. **Crontab中显式加载环境** 在crontab任务开头声明: ```bash SHELL=/bin/bash PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin * * * * * source $HOME/.bashrc; tmux new-session -d -s task "your_command" ``` 2. **避免会话冲突** 创建前检查会话是否存在: ```bash tmux kill-session -t mysession 2>/dev/null; tmux new-session -d -s mysession ``` --- ### 五、深度排查方法 1. **启用tmux日志** ```bash tmux -vvv new-session > tmux.log 2>&1 # 创建带详细日志的会话 ``` 2. **检查信号中断** 在脚本开头捕获信号: ```bash trap 'echo "EXIT on signal: $?" >> /tmp/tmux_debug.log' EXIT ``` > **关键建议**:优先检查$HOME/.bashrc、$HOME/.profile中的环境变量设置,特别是PATH和LD_LIBRARY_PATH。引用[4]表明环境加载失败是crontab创建会话失败的常见原因[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值