Une analyse approfondie de la vulnérabilité de désérialisation SESSION de PHP

Cet article présente principalement la vulnérabilité de désérialisation session de PHP. Les amis dans le besoin peuvent se référer à

Il y a trois éléments de configuration dans php.ini :

session.save_path=""  --设置session的存储路径
session.save_handler="" --设定用户自定义存储函数，如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)
session.auto_start  boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动
session.serialize_handler  string --定义用来序列化/反序列化的处理器名字。默认使用php

Les options ci-dessus sont liées au stockage de session et au stockage de séquences en PHP.

Dans l'installation utilisant le composant xampp, les éléments de configuration ci-dessus sont définis comme suit :

session.save_path="D:\xampp\tmp"  表明所有的session文件都是存储在xampp/tmp下
session.save_handler=files     表明session是以文件的方式来进行存储的
session.auto_start=0        表明默认不启动session
session.serialize_handler=php    表明session的默认序列话引擎使用的是php序列话引擎

Dans la configuration ci-dessus, session.serialize_handler est utilisé pour définir le moteur de sérialisation de la session In. En plus du moteur PHP par défaut, il existe d'autres moteurs, et les méthodes de stockage de session correspondant aux différents moteurs sont différentes.

php_binary : La méthode de stockage est, le caractère ASCII correspondant à la longueur du nom de la clé + le nom de la clé + la valeur sérialisée par la fonction serialize()

php : Le stockage La méthode est, nom de la clé + barre verticale + valeur sérialisée par la fonction Serialize()

php_serialize (php>5.5.4) : La méthode de stockage est, valeur sérialisée par la fonction Serialize()

Le moteur PHP est utilisé par défaut en PHP. Si vous souhaitez le changer pour un autre moteur, il vous suffit d'ajouter le code ini_set('session.serialize_handler', 'Le moteur qui doit être réglé');. L'exemple de code est le suivant :

Le répertoire de la session se trouve dans /var/lib/php/sessions

<?php
ini_set(&#39;session.serialize_handler&#39;, &#39;php_serialize&#39;);
session_start();
$_SESSION[&#39;name&#39;] = &#39;spoock&#39;;
var_dump($_SESSION);

Sous le moteur php_serialize, les données stockées dans le fichier de session sont :

a:1:{s:4:"name";s:6:"spoock";}

Le contenu du fichier sous le moteur php est :

name|s:6:"spoock";

php_binary Le contenu du fichier sous le moteur est :

names:6:"spoock";

Depuis le la longueur du nom est 4, 4 correspond à la table ASCII C'est EOT. Selon les règles de stockage de php_binary, le dernier est names:6:"spoock";. (Soudain, j'ai découvert que les caractères avec une valeur ASCII de 4 ne peuvent pas être affichés sur la page Web. Veuillez vérifier vous-même le tableau ASCII)

Risques de sérialisation dans la session PHP

Il n'y a aucun problème avec l'implémentation de Session en PHP. Le préjudice est principalement causé par une mauvaise utilisation de Session par les programmeurs.

Si le moteur utilisé par PHP pour désérialiser les données $_SESSION stockées est différent du moteur utilisé pour la sérialisation, les données ne seront pas désérialisées correctement. Grâce à des paquets de données soigneusement construits, il est possible de contourner la vérification du programme ou d'exécuter certaines méthodes système. Par exemple :

$_SESSION['ryat'] = '|O:1:"A":1:{s:1:"a";s:2:"xx";}';

fichiers php tels que :

 Après l'accès, le contenu du fichier de session est le suivant : 
root/var/lib/php/sessions cat sess_e07gghbkcm0etit02bkjlbhac6 
a:1:{s:4:"ryat";s:30:"|O:1:"A":1:{s:1:"a";s:2:"xx";
Mais à cette fois la simulation est sur d'autres pages Le contenu lors de l'utilisation de différents moteurs php pour lire est le suivant : (Par défaut, le moteur php est utilisé pour lire le fichier de session) 
a;
  }
}
// var_dump($_SESSION);
Lors de l'accès à cette page, la sortie xx
xxarray(1) {
 ["a:1:{s:4:"ryat";s:30:""]=>
 object(A)#1 (1) {
  ["a"]=>
  string(2) "xx"
 }
}
En effet, lors de l'utilisation du moteur php, le moteur php utilisera | comme séparateur entre la clé et la valeur, puis a:1:{s:4:"ryat"; s:30:" sera utilisé comme clé SESSION, et O: 1:"A":1:{s:1:"a";s:2:"xx";} comme valeur, puis désérialiser, et enfin, vous obtiendrez la classe A 
. La raison de la vulnérabilité de sérialisation de session PHP est que les différents moteurs utilisés pour la sérialisation et la désérialisation provoquent le déclenchement de la vulnérabilité lorsque la session lit le contenu de la session et le désérialise. lors du chargement d'une page à l'aide du moteur PHP Aucune sortie n'est requise 
Analyse d'une vulnérabilité de désérialisation de session sur GCTF : 
Le contenu dans l'index. .php est : 
<?php
//error_reporting(E_ERROR & ~E_NOTICE);
ini_set(&#39;session.serialize_handler&#39;, &#39;php_serialize&#39;);
header("content-type;text/html;charset=utf-8");
session_start();
if(isset($_GET[&#39;src&#39;])){
  $_SESSION[&#39;src&#39;] = $_GET[&#39;src&#39;];
  highlight_file(FILE);
  print_r($_SESSION[&#39;src&#39;]);
}
?>
<!DOCTYPE HTML>
<html>
 <head>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
 <title>代码审计2</title>
 </head>
 <body>
 En PHP, les opérations de sérialisation sont souvent utilisées pour accéder aux données, mais une mauvaise manipulation pendant le processus de sérialisation peut entraîner certains risques de sécurité 
<form action="./query.php" method="POST">    
<input type="text" name="ticket" />        
<input type="submit" />
</form>
<a href="./?src=1">查看源码</a>
</body>
</html>
query.php. . Le contenu de 
;
/************************/
/*
//query.php 部分代码
session_start();
header(&#39;Look me: edit by vim ~0~&#39;)
//......
class TOPA{
  public $token;
  public $ticket;
  public $username;
  public $password;
  function login(){
    //if($this->username == $USERNAME && $this->password == $PASSWORD){ //抱歉
    $this->username ==&#39;aaaaaaaaaaaaaaaaa&#39; && $this->password == &#39;bbbbbbbbbbbbbbbbbb&#39;){
      return &#39;key is:{&#39;.$this->token.&#39;}&#39;;
    }
  }
}
class TOPB{
  public $obj;
  public $attr;
  function construct(){
    $this->attr = null;
    $this->obj = null;
  }
  function toString(){
    $this->obj = unserialize($this->attr);
    $this->obj->token = $FLAG;
    if($this->obj->token === $this->obj->ticket){
      return (string)$this->obj;
    }
  }
}
class TOPC{
  public $obj;
  public $attr;
  function wakeup(){
    $this->attr = null;
    $this->obj = null;
  }
  function destruct(){
    echo $this->attr;
  }
}
*/
Assign attr à l'objet TOPB, et tostring sera automatiquement appelé lorsque echo TOPBMéthode magique
sera appelé. dans tostring
, parce que le jeton et le ticket sont utilisés plus tard, il s'agit évidemment d'un objet TOPA. Le jugement ultérieur nécessite echo $this->attr;, donc lors de la sérialisation, utilisez la référence du pointeur comme 
 pour contourner le jugement Pourquoi  afficher un indicateur ? La connexion écrite en arrière-plan peut être tostring. Il y a une fonction wakeup() dans la chaîne 
 désérialisée pour effacer les paramètres à l'intérieur, j'ai demandé. -2016-7124. Changer le champ représentant la quantité dans l'objet en une valeur supérieure au champ réel peut contourner la fonction de réveil 
Le code final est : 
La charge utile finale est :unserialize($this->attr)$this->obj->token === $this->obj->ticket
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!