Anheng 429|Web 3 セッションのデシリアライゼーション

私が彼を別々に取り上げた理由は、以前にデシリアライゼーションで多くの穴や問題に遭遇したことがあったからです。これには、P がいつも思いついた 3 つのホワイト ハットや、特定の ctf に関するいくつかの問題が含まれます。この面。

しかし、この質問にはいくつか新しい発見があり、自分で考える価値があります

参考情報 http://drops.wooyun.org/tips/3909

そして、p の一般的なヒント:

連載session は、セッション ファイルに格納されているものがシリアル化された文字列であり、アクセスできる $_SESSION が解析された変数であることを意味します

まず第一に、PHP がデータを読み取るときに、シリアル化と逆シリアル化のプロセスになります。

__destruct()、__wakeup() などのオブジェクトのマジック メソッドが逆シリアル化中に呼び出されます。これらは非常に一般的なものなので、詳細は説明しません。

次に、設定オプション session.serialize_handler があります

ini_setを使用するか、php.iniに設定することができます

シリアル化を処理するには、次のプロセッサタイプがあります

プロセッサに対応する格納形式

phpキー名+縦棒+serialize()関数でデシリアライズされた値

php_binary キー名+キー名+serialize()関数でデシリアライズされた値の長さに対応するASCII文字

php_serialize

(php>= 5.5.4) 配列

php プロセッサの場合、最初に php_serialize を使用してシリアル化すると、そのような文字列

a:1:{s:4:"test";s:20:"|O:8:"stdClass":0:{}";}

は最終的に次のように解釈されます: キー名 これは a:1 のオブジェクト

です:{s:4:"test";s:20:"。PHP プロセッサのシリアル化は、$ _SESSION['test'] など、$_SESSION の各キー値を個別に取り出します。 は test|

のシリアル化された値です。そして、php_serialize はセッション配列全体を直接シリアル化します。最後に保存されるのは、配列全体のシリアル化された値です。

プロセッサの場合、これは理解しやすいです。 session.serialize_handler=php_serialize

という文字列を構築します。バー、および他のプロセッサが php である場合、偽のオブジェクトをデシリアライズできます

セッションを操作するには、明らかにそれが必要です。記事では

$_SESSION['ryat'] = $_GET['ryat'];

を使用します。しかし、多くの場合、この条件は利用できません。どうすればよいでしょうか。

http://php.net/manual/zh/session.upload-progress.php

php はアップロードの進行状況データを提供します

$n=ini_get("session.upload_progress.name");

はそれを保存します$_SESSION["$n"]

このようにして、ファイルアップロードページを構築すると、セッションに正常に書き込むことができます