[CTF][高校战疫]php-session反序列化题目

最新推荐文章于 2024-11-25 10:34:23 发布

原创

最新推荐文章于 2024-11-25 10:34:23 发布 · 6.4k 阅读

2 ·

CC 4.0 BY-SA版权

文章目录

前置知识
- session 的存储机制
- 利用session.upload_progress进行文件包含和反序列化渗透
wp部分

前置知识

session 的存储机制

php中的session中的内容并不是放在内存中的，而是以文件的方式来存储的，存储方式就是由配置项session.save_handler来进行确定的，默认是以文件的方式存储。
存储的文件是以sess_sessionid来进行命名的

php : 默认使用方式，格式键名|键值(经过序列化函数处理的值)
php_serialize: 格式经过序列化函数处理的值
php_binary: 键名的长度对应的ASCII字符 + 键名 + 经过序列化函数处理的值
利用session.upload_progress进行文件包含和反序列化渗透

直接看看freebuf写的这篇文章吧
利用session.upload_progress进行文件包含和反序列化渗透

wp部分

打开题目，代码审计后，发现无太多可利用点
根据ini_set(‘session.serialize_handler’, ‘php’)这句话，推测和 php 对对象的序列化有相关漏洞

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y4tacker

关注关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【网络安全 | CTF】记一次PHP序列化反序列化解题详析

等风来

08-24

5825

代码开门见山给出backdoor函数，而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发如何实现对象被销毁呢？当序列化后的语句被反序列化之后，对象会被销毁，从而触发destruct方法所以思路就是：在pipimi类中构造一个对象，当pipimi中的destru

CTF从入门到提升（十三）文件包含session及例题详解

anquanniu的博客

09-12

2894

具体场景——session 我们可以查一下手册，看看这个参数是默认开启：举栗子通过上传一个orange作为key传一个值传给这个变量，放到file函数中，再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配，如果是orange就会作为包含，否则就会显示源代码。这道题的难点在于包含一个文件要控制里面的内容，file函数的作用是把一个整一个文件读到一个数据中去，file...

1 条评论您还未登录，请先登录后发表或查看评论

php文件包含session,CTF PHP文件包含--session

weixin_39522423的博客

04-12

919

PHP文件包含 Session首先了解一下PHP文件包含漏洞----包含session利用条件：session文件路径已知，且其中内容部分可控。姿势：php的session文件的保存路径可以在phpinfo的session.save_path看到。常见的php-session存放位置：/var/lib/php/sess_PHPSESSID/var/lib/php/sess_PHPSESSID/t...

jarvisoj-web的一道SESSION反序列化题目

Firebasky的博客

08-14

589

哈哈哈，现学现卖。刚刚总结了session序列化漏洞。现在就来做一下这个题目还是参考师傅博客。题目地址 <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; function __construct() { $this->mdzz = 'phpinfo().

一道反序列化session题

qq_53063436的博客

10-30

156

index.php: <?php ini_set('session.serialize_handler', 'php'); require("./class.php"); session_start(); $obj = new foo1(); $obj->varr = "phpinfo.php"; ?> 这是foo1的析构函数 class.php <?php highlight_string(file_get_contents(basename($_SERVER[

SESSION反序列化

qq_51553814的博客

10-28

413

前几天打省赛，遇到一个seesion反序列化的题，当时没做出来，今天复盘学习了一下，写个笔记什么是SESSION 首先session是什么，就是一个会话控制，这样描述很肤浅，还得往更深的层次研究，这里是我学习的一个大佬的文章，讲的很透彻什么是session 大概流程就是，当你打开一个页面，php会先判断你有没有sessionid，没有就生成一个id，当你结束后会生成一个文件，当判断出你有id时，php会直接读取上回生成的文件，把里面的东西反序列化出来。这一套操作通常是用来，用户持续保持会话的，也就是用户退

CTF中的反序列化题目

weixin_50372036的博客

06-25

1046

其次是wakeup，wakeup只需要把序列化字串的对象属性个数1改为别的数字就行了，但是注意这里file 的类型是private，所以打印出来的串是有不可见字符%00的，不要复制出来自己base，不然结果就不一样了。方法有一个CVE漏洞，CVE-2016-7124，在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行，即当前函数中只有一个参数$flag，若传入的序列化字符串中的参数个数为2即可绕过。传入s中，就得到了执行phpinfo后的界面，完成了执行流程的改变。

php反序列化1_常见php序列化的CTF考题

书山有路勤为径，学海无涯苦作舟

11-25

1867

本质上serialize()和unserialize（）在php内部的实现上是没有漏洞的，漏洞的主要产生是由于应用程序在处理对象，魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时，那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法，造成意想不到的危害。__toString() 是魔术方法的一种，具体用途是当一个对象被当作字符串对待的时候，会触发这个魔术方法以下说明摘自PHP官方手册。

[EIS2019]EzPOP--反序列化题目

Dream'

06-19

1470

题目地址：https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ，所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);，使options['serialize']=trim，这样se

CTFweb篇-反序列化和SESSION(一)

weixin_44597701的博客

08-09

1230

前面讲到过一点SESSION，这里要继续说一点 SESSION的几种形式这里是binary session的形成方法可以在php.ini中设置。默认是php（可能是php_serialize) 例子： php形式： php_serialize形式: php_binary: ini_set() ini_set ( string $varname , string $newvalue ) 在配置文件中设置配置的值 ini_set('session.serialize_handles','php')

PHP session反序列化学习

qq_42077227的博客

10-29

907

php session 反序列化

Session反序列化利用

crispr的博客

04-30

682

Session反序列化利用转自安全客 https://www.anquanke.com/post/id/202025 什么是session? 在计算机中，尤其是在网络应用中，称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的Web页之间跳转时，存储在Session对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序...

session反序列化漏洞2——ctfshow web263

m0_73756016的博客

03-31

808

die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);会解析session文件里面的内容（用php处理器）（把它反序列化）然后这里就会触发_destruct()析构函数。通过inc.php反序列化触发析构函数用file_put_contents（）写入一句话木马getshell。看别人的wp分析猜测这里phpini的默认处理器应该不为php 才在这里声明的。这里的$_SESSION['limit']是可控变量。

有了这个网络安全面试题，面试就像开了挂！（附PDF）

lvaolan的博客

02-26

1732

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

反序列化漏洞之session反序列化&phar反序列化&POP实战

wz0819529的博客

10-21

3671

反序列化漏洞学习（二）本来想做漏洞复现，但是稍微看了几个漏洞之后发现复现对菜鸡来说不太友好，决定这里重做一下BUU的几道题目。主要是PHP的反序列化漏洞不太好找。 CVE-2016-7124 若在对象的魔法函数中存在的wakeup方法，那么之后再调用 unserilize() 方法进行反序列化之前则会先调用wakeup方法，但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行漏洞利用方法若在对象的魔法函数中存在的__wakeup方法，那么之后再调用 unse

CTFweb篇-Session包含

weixin_44597701的博客

08-07

4626

什么是Session Session就是保存在服务器的文本文件。默认情况下，PHP.ini 中设置的 SESSION 保存方式是 files（session.save_handler = files），即使用读写文件的方式保存 SESSION 数据，而 SESSION 文件保存的目录由 session.save_path 指定，文件名以 sess_ 为前缀，后跟 SESSION ID，如：sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列化之后的 SESSIO

文件包含漏洞之包含SESSION（CTF题目）

m0_70349048的博客

03-18

2035

文件包含漏洞之包含session

关于php的session.serialize_handler的问题

weixin_30345055的博客

10-05

843

前言 php的session信息是储存在文件中的 session.save_path="" 指定储存的路径 session.save_handler="" 指定储存时使用的函数（默认是file） session.auto_start boolen session.serialize_handler="" 定义序列化和反序列化的处理器的名字，默认是php(5.5.4后改为php_serialize)...

ctf-java反序列化